[전문가기고] CSAP 제도 개편과 국내 클라우드 산업

실시간
뉴스

보안

[전문가기고] CSAP 제도 개편과 국내 클라우드 산업

디지털데일리 발행일 2023-06-02 17:15:37

박춘식 아주대 사이버보안학과 교수

URL복사

글: 박춘식 아주대 사이버보안학과 교수·전 국가보안기술연구소장

우리나라 클라우드 산업 육성 정책은 현재 어떻게 되고 있는지, 최근의 클라우드 보안인증(CSAP) 제도 개편을 통한 정부의 정책을 보면 이러한 궁금점이 생겨난다. 정부가 개편 추진하는 CSAP는 상중하 등급의 공공기관의 데이터나 정보를 구분하여 공공기관이 민간 클라우드 서비스를 이용하는 제도로, 하 등급의 인증을 받은 클라우드 서비스 제공자에게 공공기관의 하 등급 분류 데이터 등에 관해서는 클라우드 서비스를 이용할 수 있게 하는 것이 골자다.

이러한 제도는 전 세계 시장은 물론이고 국내 민간 시장을 지금도 거의 장악하고 있는 외국 클라우드 서비스 제공자(CSP)들이 국내 공공 클라우드 시장도 쉽게 장악할 수 있음을 예측할 수 있게 해준다.

그동안 CSAP를 마련하여 보안 검증을 CSP가 클라우드 서비스를 제공하고자 하는, ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’을 2015년에 제정하고, 3차례의 클라우드 발전 기본 계획 및 시행 등, 공공 시장의 클라우드 활성화를 통한 국내 클라우드 산업을 조금이라고 발전시켜보고자 지금까지 정부는 물론이고 국내 클라우드 산업계는 노력해 왔다고 생각한다.

그러나 지금 어떠한가. 거의 매년 발표하던 클라우드 산업 기본 계획과 전략 시행 정책은 최근 사라진 지 오래이며, 관련 부처나 관련 부처 내의 부서조차 파악할 수 없는 상황이 되었다. 창조 경제나 4차산업혁명위원회의 클라우드 산업 육성 의지는 어디로 간 것이며 우리나라의 클라우드 산업 발전 방향은 어떻게 되고 있는 것인가?

이러한 관점에서 정부가 추진하는 클라우드 보안 인증 제도 개편에 대해서 몇 가지 언급하고자 한다,

첫번째, 클라우드 인증 제도의 개편을 위해서는 기존의 CSAP의 문제점이 무엇인지 논한 후, 이에 대한 개선 정책을 마련하는 것이 먼저라고 생각한다. 그러하지 않으면 새롭게 개편되는 제도가 보안상의 문제는 없는지, 오히려 보안 관점에서는 퇴보하고 있지는 않는지 살펴보기 어렵기 때문이다.

이번처럼 공공기관의 취급 데이터에 대한 상중하 등급에 대한 분류 가이드라인이 먼저 공개되지 않은 상황에서 어떠한 보안 평가 방안이나 기준이 적절한지 알기가 쉽지 않을 것으로 생각되는 점도 있다.

두 번째는 앞으로 서비스형 인프라(IaaS) 기반의 CSP의 육성을 통한 전체 국내 클라우드 산업 육성은 어떻게 할 것인지에 대한 정부의 정책이나 비전 제시가 제도 개편과 함께 병행되어야 한다고 생각한다. 우리나라 클라우드 산업은 관리 서비스 제공자(MSP), 호스팅서비스제공자 등 많은 이해당사자가 존재하지만, IaaS 사업자 중심의 클라우드 생태계 구축이 불가피하며 이를 통한 클라우드 산업 육성 정책 시행이 전략적으로 필요하다.

국내 클라우드 시장 활성화, 특히 공공기관 및 정부 등의 공공 클라우드 시장에 대한 활성화, 국내 클라우드 서비스 제공자의 투자 강화, 기술력 및 전문 인력 확보 등 글로벌 경쟁력 확보를 위한 정부의 끊임없는 정책 지원이 너무도 절실하다. 미래 인프라 구축과 데이터 주권이 고려된 클라우드 서비스 제공자 중심의 산업 육성 후, MSP, 서비스형 소프트웨어(SaaS) 애플리케이션(앱) 제공자 등 클라우드 산업 전반의 생태계를 발전시켜 나가는 전략이 우리나라에 적합하고 효율적인 정책이라고 생각된다.

세 번째는 데이터 주권과 보안 문제다. 공공기관의 데이터는 국민의 개인정보는 물론이고 데이터 주권과 국가안보와 관련된 것이 많을 것으로 예상된다. 이러한 중요 데이터가 어느 나라 어느 곳에 위치한 서버 등에 저장되는지, 그리고 외국 기업이 얼마나 보안이 철저한지를 위한 보안 통제와 거버넌스, 그리고 유출로 인한 국가 보안 문제, 데이터에 대한 오남용 문제, 문제나 분쟁 발생 시 재판관할권들의 법적 문제 등은 신중하게 접근하지 않으면 안 된다.

특히 이번 정책 변경으로 인하여 알리바바 등 중국의 클라우드 사업자도 국내 공공 시장 진출이 쉽게 예상될 수 있으므로 화웨이나 틱톡 사태와 같은 보안 문제가 다시 거론될 수 있게 된다.

네 번째는 인공지능(AI), 빅데이터, 사물인터넷(IoT), 블록체인 등 앞으로의 4차산업혁명의 가장 핵심 인프라인 클라우드 플랫폼을 어떻게 마련할 것인가에 대한 비전과 철학의 부재 문제다. 우리나라가 최소한의 클라우드 플랫폼, 클라우드 인프라를 갖지 못하게 될 경우 겪어야 할 정보기술(IT) 및 산업 발전, 국가 미래 성장 동력, 데이터 주권이나 국가안보 등에 대한 고민도 필요하다고 생각된다.