아마존웹서비스(AWS), 마이크로소프트(MS), 오라클, IBM 등 빅테크가 소속된 글로벌 소프트웨어(SW) 기업 연합체 BSA가 우리 정부에 클라우드컴퓨팅서비스 보안인증(CSAP) 중 등급도 논리적 망분리를 허용해 달라고 요청했다.
28일 업계에 따르면 BSA는 과학기술정보통신부가 지난 2월 6일에 발표한 'CSAP에 관한 고시'와 관련한 규제 개선 요구를 과학기술정보통신부에 전달한 것으로 확인됐다.
BSA는 CSAP 취득 요건에 '물리적 망 분리', '데이터 현지화', '한국에서 개발한 알고리즘 사용', '국내 인력 상주 요건'은 지나친 규제라며 법 개정을 요구했다.
특히 CSAP 중 등급에 대해서 '논리적 망분리' 허용을 강력하게 주장했다.
CSAP 중 등급 대상 시스템은 비공개 업무자료를 포함 또는 운영하는 시스템으로 대부분 공공기관 정보 시스템이 중 등급에 해당한다.
과기정통부는 지난해 CSAP에 관한 고시를 개정하면서 CSAP를 상·중·하 등급으로 나누고 이 중 하 등급에는 논리적 망분리를 허용, 글로벌 기업도 공공 클라우드 시장에 진출할 수 있는 길을 열어줬다.
하 등급 대상 시스템은 개인정보를 포함하지 않고 공개된 공공데이터를 이용하는 시스템에 한정된다. 글로벌 기업들은 공공 업무시스템 상당수를 아우르는 중 등급도 논리적 망분리를 허용해야 한다고 주장해왔디. 이번에 BSA를 통해 정식 요청을 한 것이다.
CSAP는 공공기관에 안전성이 검증된 민간 클라우드 서비스를 공급하기 위해 시행되는 제도로 공공기관은 CSAP 인증을 획득한 민간 클라우드만 이용할 수 있다. CSAP 중 등급 인증을 받으려면 국내에 물리적으로 공공 전용 공간을 마련하는 물리적 망 분리 요건을 충족해야 한다.
BSA는 다른 국가는 국방이나 국가 보안에 한해서만 물리적 망 분리를 요구하는 데 반해 한국은 민감성이 떨어지는 데이터를 처리하는 공공 기관 전반에 물리적 망 분리를 적용한다고 주장했다. 이런 경우는 드물다고 지적했다.
물리적 망 분리는 클라우드 산업에서 규모의 경제를 막고 최첨단 보안 기능인 클라우드 컴퓨팅 서비스의 장점도 상쇄하는 조치로 글로벌 기준에 역행한다고 비판했다.
BSA는 또 국내 CSAP 규정에서 국제적으로 널리 사용되고 있는 암호화 알고리즘이 아닌 국내에서 개발한 암호화 알고리즘(ARIA)만을 사용하고, 클라우드 컴퓨팅을 운영하는 인력의 국내 상주 항목도 개선해야 한다고 주장했다.
탐 쉔 홍 BSA 아태지역 매니저는 “한국의 CSAP 요건은 보안상 이점이 없이 과도한 부담을 부과한다”라며 “공공기관이 클라우드 이점을 극대화할 수 있게 최고의 기술력을 자유롭게 선택해야 한다”고 말했다.
과기정통부 관계자는 “BSA가 제출한 권고 사항처럼 논리적 망 분리로 가야 한다는 이야기는 듣고 있다”면서 “국내 소프트웨어 업계 의견도 반영해야 하고, 국정원과 협의할 부분이 있어 신중하게 검토해 나갈 것”이라고 밝혔다.
박두호 기자 walnut_park@etnews.com
