클라우드 서비스
[기획/CSAP④] "CSAP 인증 개선보다 ISMS 인증 확대 고려해야"
디지털데일리
발행일 2022-11-13 09:17:35
과학기술정보통신부의 클라우드 보안인증(CSAP)은 공공기관의 정보기술(IT) 인프라를 중요도에 따라 3단계로 나눠 낮은 단계의 서비스에 그동안 이 시장에 진입하지 못했던 글로벌 클라우드 서비스 업체(CSP)에 길을 열어주는 것을 내용으로 한다. 과기정통부의 이러한 정책에 대해 업계는 다양한 의견을 제시하고 있는 상황이다. <디지털데일리>는 상시기획으로 이러한 CSAP에 대한 업계의 전략을 들어본다.<편집자>
[디지털데일리 이상일기자] 정부의 클라우드 보안인증(CSP) 완화 정책은 표면적으로는 공공 부문의 클라우드 이용을 보다 확대하는데 초점을 맞추고 있다. 다만 정책세부 사항에 대해 업계 간 이견이 갈리고 있는 상황이다.
때문에 공공부문의 클라우드 확산이라는 전제로 업계의 지혜를 모아야 할 때라는 의견도 나오고 있다.
서버호스팅, 코로케이션, 클라우드 등 IaaS 서비스를 주력으로 하고 있는 국내 중소기업인 스마일서브 김병철 대표는 “지금까지 정부가 추진한 행정, 공공 기관 정보 시스템 클라우드 전환 사업 방향은 잘 잡았다. 이 시장도 주축 인력의 고령화가 빠르게 진행되고 있어 만성적인 인력 부족 상황이 이어지고 있다. 일손이 모자라다 보니 서버 관리가 제대로 안되는 곳이 많다. 이런 문제는 지방으로 갈수록 더 심한데, 서버가 방치된 경우와 심지어 전산 담당자가 없는 곳을 심심찮게 볼 수 있다”고 진단했다.
결국 IT 인력 부족으로 유지보수가 제대로 이루어지지 않은 시스템 방치 문제는 클라우드에서 해결책을 찾아야 한다는 것이다. 행정, 공공 기관 정보 시스템 클라우드 전환 사업은 관리해야 할 서버는 많아지는데 사람은 없는 문제의 현실적 해결책이라는 것이 김 대표의 생각이다.
한편 행정, 공공 부문의 클라우드 전환은 정부가 예고한 클라우드 보안 인증제 개선으로 크고 작은 변화가 예상된다는 시각이다.
김 대표는 “일각에서는 글로벌 CSP에 시장을 내줄 수 있다고 보지만, 기존의 CSAP 인증의 난이도가 높아 인증 받지 못한 국내 사업자에게 시장 진입의 새로운 기회가 될 수 있으리라 생각한다. 다만 공정한 경쟁을 할 수 있는 토대가 있었으면 하는 바람”이라며 “정부에서 해당 서비스를 이용할 때 외국계 클라우드 업체의 국내 조직이 시스템 최상위 접근권이 있는지 따져보고 문제 발생 시 책임 소재를 명확히 해야 한다. 문제 발생 시 대한민국에서 아무도 책임 지지 못하는 클라우드 서버의 대한민국 공공기업의 이용은 배제되어야 한다”고 주장했다.
대안에 대한 의견도 내놓았다. 김 대표는 “정부가 3단계 인증을 도입하며 가장 낮은 단계를 좀 더 완화하는 방안을 검토한다고 하는데, 그 수준이면 별도의 정부 인증보다는 국내 민간 기업에서 많이 이용되는 보안 인증인 ISMS 보안 인증의 효력을 인정해주는 게 필요하다”며 “정보통신산업진흥원의 클라우드 컴퓨팅 서비스 품질·성능 인증을 SDN, 스토리지 가상화, 보안 서비스 제공 수준, CDN 등의 부가서비스를 정부 이용 수준으로 업그레이드하고 자격 요건을 평가하는 기준으로 삼아서 ISMS를 보완하는 것도 좋은 방법”이라고 전했다.
또한, ISMS 인증에 SAAS, DAAS, MSP, SI, 솔루션 유지 보수 사업자 등 비교적 지금까지 보안 레벨 수준을 낮게 요구했던 사업자에 인증 받는 것을 독려하는 방안도 생각해 볼 수 있다는 설명이다.
한편 김 대표는 클라우드 전환에서 답을 찾는 방향에는 공감하지만 기존 IT 생태계를 배제한 사업 추진 방식에는 아쉬움이 남는다는 의견을 내놨다.
그는 “한국 IT 산업 생태계는 전국 주요 도시를 중심으로 형성되어 있다. 행정, 공공 기관 시스템 구축과 유지보수 사업은 주로 현지 중소기업이 맡으며, 중요 솔루션 공급은 지역에 뿌리를 둔 총판이 담당한다. 이 생태계를 활용했다면 행정, 공공 기관 정보 시스템 클라우드 전환 사업 비용을 사이트에 따라서는 절반 이하로 줄일 수 있었을 것”이라고 밝혔다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지