이미지투데이
정부가 최근 업계가 제시한 일련의 의견들과 관련 "합리적 대안은 수용하되 개정안 시행을 미루기 위한 목적의 억지 제안은 받아들이지 않겠다"는 입장을 내비쳐서다.
이번 개정 고시는 국가·공공기관을 중요도에 따라 상·중·하 등급으로 나누고 이 중 '하' 등급에 해당하는 클라우드 시스템에는 현행 '하드웨어 분리 방식의 물리적 망분리 보안' 외에도 'SW 방식 논리적 망분리'도 허용하겠다는 게 골자다. 이는 공공기관에 범용 클라우드를 허용한다는 의미로, 사실상 외국계 기업들의 진입장벽을 없애는 것이다. 외국계 클라우드 기업들은 자국이 아닌 해외에서 사업을 할 때 물리적 망분리가 아니라 프로그래밍을 통해 망분리 효과를 내는 방식으로 보안조치를 취해왔다.
지난 5일 IaaS(서비스형 인프라) 사업을 주로 영위하는 CSP(클라우드 서비스기업)들이 "상·중 등급은 실증을 진행하면서 하등급에 먼저 (개정 고시안을) 시행하는 부분은 역차별"이라며 "하등급에 개인정보 뿐만 아니라 신용정보를 포함하는 시스템도 제외가 필요하다"고 강조했다. 상·중·하 등급 모두 실증을 거쳐 보안문제가 없는지 확인한 후에야 개정안을 시행해야 한다는 주장이다.
지난 11일에는 SaaS(서비스형 소프트웨어) 기업과 PaaS(서비스형 플랫폼) 기업, MSP(클라우드 관리서비스 업체) 기업 등 21개사들이 모여 정부의 가이드라인이 불명확하다고 지적했다. 자사가 제공하는 각종 서비스들이 정부기관 중 상·중·하 어디에 적용될지 알 수 없는 만큼 모든 등급기준이 명확해졌을 때 시행하는 게 바람직하다는 주장도 있었다.
이 시각 인기 뉴스
협회 소속 한 기업 관계자는 "등급제 추진 및 시행이 기술 및 보안 측면에서 어떤 결과를 초래할 지 담보할 수 없다"며 "실증을 할 때 굳이 하등급을 제외할 필요가 없다"고 했다.
또 "하등급 또한 부처 및 공공기관 데이터에 대한 안전성이 담보돼야 하기 때문에 실증이 필요하다"며 "클라우드 보안인증은 사업자격이 아닌 보안인증이므로 상·중·하 등급의 안정성을 파악하고 시행하는 게 클라우드 보안인증 등급제 도입 취지에 부합한다"고 주장했다.
반면 정부의 입장은 다소 다르다. 과기정통부 관계자는 "지금까지 업계가 제시한 의견들 중 우리가 참조할 만한 의견들도 있고 (원안에서) 수정이 필요한 부분들도 있었다"며 "(일정 연기 등에 대해) 아직 정해진 바 없다"고 했다.
다만 이 관계자는 "모든 사안에 대해 업계 의견을 다 받아들이겠다는 것은 아니다"며 "업계에서는 하등급에 대해서도 상·중 등급과 마찬가지로 실증을 거쳐야 한다고 주장하는데 단지 (개정안을) 지연시키기 위한 식으로 의견을 내는 것은 받아들이기 어렵다"고 했다.
이어 "(큰 변경사항이 없다면) 설 연휴가 지나고 고시가 공포될 것"이라며 "하등급 실증을 추가로 하고 하등급에 대해서도 신중하게 해야 할 이유를 업계가 제대로 설명하지 않는다면 일정은 그대로 진행된다"고 했다.