클라우드 서비스 보안인증제(CSAP) 개편 필요한가
  • 뉴스1
클라우드 서비스 보안인증제(CSAP) 개편 필요한가
  • 뉴스1
  • 승인 2023.01.01
  • 댓글 0
이 기사를 공유합니다

클라우드 서비스는 기존에 개인용 컴퓨터나 기업용 서버에 개별적으로 저장해서 활용하던 데이터나 프로그램을 클라우드 서비스 기업이 제공하는 대형 컴퓨터에 저장해 두고 인터넷을 통해 언제 어디서나 접속해서 다양한 작업을 할 수 있도록 해주는 컴퓨팅 환경이다. 이는 시간과 공간의 제약 없이 언제 어디서나 데이터를 저장하고 활용할 수 있도록 해주기 때문에 디지털 전환의 기반 플랫폼이 되고 있다.

클라우드 서비스는 비용을 절감시키고 최신기술의 적용성 및 비즈니스의 민첩성을 제고시키므로 민간 부문 외에 공공분야에도 도입되고 있다. 이와 관련 최근 정부·공공기관에 클라우드 서비스를 제공하기 위한 필수 요건인 클라우드 서비스 보안인증제(CSAP: Cloud Service Assurance Program)가 이슈가 되고 있다.

CSAP는 2016년 도입 이후 줄곧 미국 정부와 국내 중소기업 등으로부터 개선 요구를 받아왔다. 미국 정부는 CSAP로 인해 아마존웹서비스, 마이크로소프트, 구글 등 자국 기업의 국내 공공분야 진출 실적이 전무하다며 매년 무역장벽보고서 등을 통해 제도 개선을 압박하고 있다. 국내 중소기업도 CSAP가 공공시장에 대한 진입장벽으로 작용하고 있다며 완화를 요구하고 있다. 이와 관련 정부는 CSAP를 데이터의 민감도에 따라 ‘상’, ‘중’, ‘하’ 등 세 등급으로 통합·개편한다는 계획을 발표하면서, 국내 클라우드 사업자들이 반발하고 있다.

CSAP는 공공기관에 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 한국인터넷진흥원이 주관하는 클라우드 서비스 보안 인증 제도이다. 클라우드 서비스 사업자가 제공하는 서비스를 대상으로 정부가 제시하는 정보보호 기준을 준수하는지 여부를 평가·인증하여 이용자들이 안심하고 이용할 수 있도록 지원한다. CSAP는 크게 IaaS(Infrastructure as a Service), SaaS(Software as a Service), DaaS(Desktop as a Service) 인증으로 나뉘며, SaaS 인증은 표준등급과 간편등급으로 구분된다. CSAP의 인증항목은 ISO/IEC 27001과 가상화 보안, 서비스 공급망 관리, 공공기관 요구사항 등의 규정을 기반으로 14개 분야 30개~117개 항목으로 구성되어 있다.

미국의 경우 연방 데이터를 처리하는 모든 클라우드 서비스는 FedRAMP(Federal Risk and Authorization Management Program)라는 인증을 통과해야 한다. FedRAMP는 FIPS(Federal Information Processing Standard) 199를 기반으로 4가지의 등급으로 구분하고 등급별로 차등화된 통제항목을 운영하고 있다. 즉, CSO(Cloud Service Offering)는 FIPS 199 보안 범주에 따라 낮음(Low), 보통(Moderate), 높음(High)이라는 세 가지의 영향 수준(impact level)으로 분류되고, 여기에 통제항목을 대폭 완화한 맞춤형 서비스(Low Impact?SaaS)를 추가하여 총 네 개의 등급으로 구분된다.

CSAP에 대해 제기되고 있는 이슈는 크게 공공과 민간 영역의 물리적 분리 의무화, 데이터를 보관하는 서버의 국내 위치 의무화, 단일 등급의 인증제 실시 등 3가지이다.

첫째, 물리적 분리 이슈이다. 정부는 공공기관이 민간 클라우드 서비스를 이용하는 경우, 공공기관용 클라우드 서비스의 물리자원(서버, 네트워크, 보안장비 등), 출입통제, 운영인력 등을 일반 이용자용 클라우드 서비스 영역과 물리적으로 분리하도록 의무화하고 있다. 물리적 분리는 클라우드 서비스의 대표적인 장점 중 하나인 정보자원(서버, 데이터베이스, 네트워크 등)의 공유가 각각의 영역 내에서 제한적으로 이루어질 수밖에 없어 클라우드 서비스 제공자는 보유한 정보자원을 효율적으로 활용할 수 없게 되고 그로 인해 서비스 사용자가 지불해야 하는 이용단가가 높아지게 되어 가용성과 경제성이 저하된다.

다만, 물리적 분리를 하는 이유는 공공의 데이터와 정보시스템을 민간 영역과 분리 운용함으로써 정부가 공공기관 정보통신망을 해킹 등 침해사고로부터 보호하기 위해 수행하고 있는 사이버보안 정책을 클라우드 서비스 환경하에서도 집행하기 위함이다. 공공기관의 데이터나 정보시스템은 해킹 등 침해사고로 유출되거나 마비되는 경우 국가안보와 국익에 중대한 피해를 유발할 수 있음에 따라 민간보다 높은 수준의 보안을 요구하는 것이다.

현재로서는 경제성과 생산성 측면에서 다소의 비효율성을 감내하더라도 보안성을 담보하기 위해서는 공공과 민간 영역의 분리가 필요할 것으로 판단된다. 다만, 미국의 사례와 같이 상대적으로 중요도나 민감성이 낮은 데이터나 정보시스템은 민간 영역과 함께 즉, 논리적으로 분리된 영역에 두는 것을 허용할 것인지에 대한 검토는 가능할 것이다..

둘째, 데이터를 보관하는 서버를 국내에 위치하도록 하는 규제이다. 이는 공공분야 정보시스템이 외국에 위치하는 경우, 해킹 등 침해사고가 발생하거나 개인정보 유출 등이 발생할 때 국내 행정권과 사법권이 미치지 않아 효율적으로 대응하기가 곤란하기 때문이다. 특히, 국가별로 상이한 법률과 대응체계를 운영하고 있어 어느 나라 법률을 적용해야 하는지 논란이 발생할 수 있다. 이는 특히, 데이터 주권의 측면에서도 중요하다. 공공기관의 행정정보와 국민의 민감한 개인정보가 외국에 위치한 글로벌 기업의 서버에 저장되고 처리되는 경우 그러한 데이터의 저장과 처리에 관한 국내 정책이 제대로 적용되지 못하게 되기 때문이다.

이러한 이유로 미국을 비롯하여 영국, 일본, 독일, 프랑스 등 많은 국가들이 클라우드 데이터센터를 자국에서 운영하도록 의무화하고 있다. 클라우드 서버의 국내 위치 의무화는 데이터 주권의 확립과 효율적인 데이터 보호를 위해 필요한 조치라고 봐야 할 것이다.

셋째, 단일 등급의 인증 제도 이슈이다, 언급한 바와 같이 FedRAMP는 High, Moderate, Low 등으로 인증 등급을 구분하고 등급에 따라 인증기준을 차별화하고 있다. 반면 CSAP는 단일 등급으로 운영하면서 인증조건도 클라우드 서비스를 통해 처리하는 데이터나 정보시스템의 중요도에 상관없이 획일적으로 설정하고 있다. 상대적으로 민감하지 않은 데이터와 정보시스템을 처리하는 클라우드 서비스와 중요한 기밀 데이터를 처리하는 클라우드 서비스를 동일한 기준에 따라 인증을 받는 것은 불합리할 수 있다. 따라서 CSAP도 FedRAMP와 같이 데이터와 정보시스템의 등급에 따라 인증기준을 달리하는 것을 검토할 수 있을 것이다.

다만, CSAP는 규제임과 동시에 사실상 국내 클라우드 서비스 산업을 지원하는 역할을 해 왔다. 국내 클라우드 서비스 기업들은 그간 정부 정책에 따라 공공분야 시장 진입을 위해 물리적 영역 분리 등에 많은 투자를 해왔다. 이런 상황에서 정부가 충분한 의견수렴과 이해득실에 대한 고려 없이 지금껏 유지해 온 정책을 하루아침에 변경한다면 정부 정책에 대한 신뢰는 무너지게 될 것이다.

또한 다국적 클라우드 서비스 기업들은 압도적인 기술력과 시장지배력을 바탕으로 국내 시장을 순식간에 잠식할 가능성도 배제할 수 없다. 따라서 인증기준 개선이 가져올 국내산업에의 영향을 면밀하고 구체적으로 고려하여야 한다. 즉, 정부는 국가의 데이터 주권, 사이버안보 정책의 안정적 수행, 국내 산업지원 등 클라우드 서비스와 연계된 다양한 요소들을 종합적으로 고려하여 인증기준 개편 여부, 개편 시 등급 구분의 기준과 구체적 보완책 등에 대한 신중하고 현명한 정책적 판단을 내려야 할 것이다. 클라우드 서비스의 규제로 인한 이익과 규제 완화로 인한 이익을 비교형량하여 국가안보와 국익을 최대화할 수 있는 방향을 고민해야 할 것이다.

이성엽 고려대 기술경영전문대학원 교수/기술법정책센터장


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

최신기사
  • 경북 포항시 남구 중앙로 66-1번지 경북도민일보
  • 대표전화 : 054-283-8100
  • 팩스 : 054-283-5335
  • 청소년보호책임자 : 모용복 국장
  • 법인명 : 경북도민일보(주)
  • 제호 : 경북도민일보
  • 등록번호 : 경북 가 00003
  • 인터넷 등록번호 : 경북 아 00716
  • 등록일 : 2004-03-24
  • 발행일 : 2004-03-30
  • 발행인 : 박세환
  • 대표이사 : 김찬수
  • 경북도민일보 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 경북도민일보. All rights reserved. mail to HiDominNews@hidomin.com
ND소프트