윤영찬 더민주 의원 주최한 '바람직한 클라우드 생태계 발전방안 토론회'서 지적
데이터 소재 국내 제한 보완책에 "여전히 데이터 주권 문제 허점" 우려
해외 리전 백업 데이터 체계 악용시 불가피
소버린 클라우드 관점에서 신중하게 접근해야
[서울=뉴시스]윤정민 기자 = 클라우드보안인증(CSAP) 등급제 도입을 앞두고 공공 데이터 주권 훼손 우려가 나오자 정부가 보완 대책을 내놨지만 이마저 무용지물일 수 있다는 지적이 제기됐다.
당초 공공 클라우드 부문에선 '물리적 망분리' 원칙을 고수해왔던 정부는 이번 보안인증 등급제 시행과 맞물려 최하위 등급('하')에 대해서는 논리적 망분리까지는 허용하는 대신 데이터 저장공간을 국내로 제한하겠다고 했다. 국외 데이터 유출 우려 때문이다. 그러나 해외 지역 백업 데이터 체계 등을 통해 얼마든지 해외로 데이터가 유출될 수 있다는 게 업계 전문가들의 주장이다.
16일 오후 국회 의원회관에서 개최된 '바람직한 클라우드 생태계 발전방안 토론회', 이날 토론회에 참석한 김병철 스마일서브 대표이사는 "글로벌 기업들은 국내에 영업 또는 마케팅 조직만 운영하고, 클라우드 시스템 관리권한은 한국에 없다는 게 문제"라며 "해외 정보기관이 시스템에 대한 무단접근도 가능할 수 있어 글로벌 기업의 클라우드 서비스를 받는 국내 정보가 노출될 우려가 있다"고 토로했다.
장애상황에 대한 책임소재도 불명확하다고 따졌다. 김 대표는 "'하'등급의 개인정보를 취급하지 않은 소규모 대민 서비스라 해서 보안 위협에 노출되지 않은 것은 아니다"라며 "글로벌 기업들의 국내 조직이 문제 발생시 국내 기업과 동일 조건 하에서 책임소재를 명확히 할 수 있는 지 봐야 한다"고 지적했다.
업계 관계자들도 이같은 의견에 동조했다. 김홍준 나무기술 상무는 CSAP 등급제 시행 취지를 공감하면서도 "미국은 영장 없이도 (미국 기업들의) 외부 리전(데이터센터)에 있는 데이터를 확보할 수 있다"며 "기존 물리적 망분리 조치는 한국에만 존재하는 불필요한 규제가 아니며, 국내 사업자에 대한 보호조치라고도 볼 수 없다"고 지적했다.
과학기술정보통신부는 2016년부터 시행한 CASP의 단일 인증체계를 시스템 중요도에 근거해 상·중·하 3대 등급을 나눠 보안인증 절차를 달리하는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 최근 행정 예고했다.
상 등급은 '민감정보를 포함하거나 행정 내부 업무 운영 시스템'으로 분류해 기존 CASP 인증 기준보다 높게 설정하고, '개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템'은 하 등급으로 분류한다. 클라우드서비스 제공자의 민간공공 영역 간 논리적 분리를 허용하기 위해서다.
하지만, 하 등급 개방에 있어 '클라우드 보안 인증 완화가 외산 클라우드 기업에 시장을 내주는 꼴'이라는 지적이 있었다. 현재 국내 민간 클라우드 시장은 아마존웹서비스(AWS) 등 글로벌 사업자들이 90% 이상 선점하고 있는 가운데 이들 기업이 공공 클라우드 시장까지 진출할 수 있기 때문이다. 데이터 국외 이전에 따른 주권 훼손 우려도 만만치 않게 제기됐다.
이에 과기정통부는 논리적 분리를 허용하는 대신 데이터의 물리적인 위치를 국내로 한정해 국외 이전을 막을 수 있도록 했다. 그러나 외산 기업들이 물리적 데이터를 국내에 저장하더라도 백업 데이터 저장 위치를 해외 지역으로 둘 수도 있다는 게 업계의 우려다.
윤대균 아주대 교수는 "CSAP를 보안등급 기준으로 재정의하는 것은 바람직한 방향으로 판단되지만, 데이터 주권 및 소버린 클라우드 관점에서 신중한 검토가 이루어져야 한다"고 지적했다. 소버린 클라우드란 특정 국가 또는 지역에 기반을 두고 해당 국가 또는 지역의 제도를 준수해 운영하는 클라우드서비스를 말한다. 국경 밖에서 저장되거나 처리될 수 있는 데이터를 제한하는 등의 목적으로 활용된다.
업계는 국내 산업 생태계와 데이터 주권 훼손 문제가 여전한 만큼 정부가 보다 신중하게 제도를 개편해줄 것을 요구했다.
윤동식 한국클라우드산업협회장도 CSAP '하' 등급 보안 요건 완화 후 우선 시행과 관련해 "클라우드 보안인증 전 등급에 대한 실증이 필요하다"며 업계, 관계기관 등이 참여한 간담회를 통해 클라우드 보안인증 등급제에 대한 명확한 방향을 제시하는 등 공론장을 마련해달라고 요청했다.
업계 일각에선 예정된 고시를 미루면 외국 기업들이 국내 공공클라우드를 더 장악할 거라며 '선(先) 제도 도입 후 개정'하자는 주장도 있었다.
조영훈 한국소프트웨어산업협회 산업정책본부장은 "서비스형 소프트웨어(SaaS) 사업자 입장에서는 서비스형인프라(IaaS) 프로그램을 쓰는 데 있어 매번 CSAP 인증을 걸치는 등 어려움이 있었다. 이제 클라우드 시장 활성화에 물꼬를 터주는 상황인데 더 완벽히 (등급제를) 만들고자 하면 그게 내년이 될지, 언제가 될지 모른다"며 "고시 개정은 우선 시행하고 개선 의견을 후에 더 보완해서 진행해주면 좋겠다"고 말했다.
이밖에 나종회 광주대 교수는 기조발제를 통해 "CASP의 등급 분류가 대상 시스템의 중요도가 아니라 데이터의 민감도에 따라 구분돼야 한다"며 주장했다.
한편, 이번 토론회는 클라우드 정책을 끌어나갈 정부 부처와 산업계 전문가들의 의견을 듣고, 디지털 시대의 핵심 인프라인 클라우드 분야를 선도하기 위한 올바른 정책 방향을 논의하기 위해 윤영찬 더불어민주당 의원이 마련했다.
나연묵 단국대 교수가 좌장을, 윤대균 아주대 교수, 윤동식 한국클라우드산업협회장, 기정수 NHN클라우드 상무, 김준범 네이버클라우드 이사, 김병철 스마일서브 대표이사, 김홍준 나무기술 상무, 엄열 과기정통부 인공지능기반국장, 서보람 행안부 디지털정부국장 등이 토론자로 참석했다.
◎공감언론 뉴시스 [email protected]