CSAP 상중하 등급 구분 무용지물…공공 클라우드 외국계 잠식 우려

임유경 기자I 2024.11.26 05:00:02

국정원, 내년 2월 MLS 가이드라인 발표 준비
O등급만 민간 클라우드 서비스에 개방
CSAP 검증 인정되지만 등급별 차등 없어
토종 클라우드, 외국계와 무한 경쟁 예정

[이데일리 임유경 기자] 공공 클라우드 시장 진출을 위한 필수 인증인 클라우드보안인증(CSAP)의 상·중·하 등급 구분이 무의미해질 전망이다. 국가정보원이 국가 망정책 개선 방안으로 다층보안체계(MLS) 전환을 추진하면서 클라우드 활용 기준에 CSAP 상중하 등급에 따른 차이를 두지 않기로 해서다. 이에 따라 이미 중등급을 획득한 네이버클라우드·KT클라우드·NHN클라우드 등 국내 회사와 하등급을 획득 중인 마이크로소프트(MS)와 구글 등 외국계 간 참여할 수 있는 시장에 차이가 사라지고, 공공 클라우드 시장도 외국계가 잠식할 수 있다는 우려가 커지고 있다.

25일 IT업계에 따르면 국정원은 내년 2월 발표를 목표로 MLS 가이드라인을 만들고 있다. MLS는 획일적인 망분리 정책에서 벗어나 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수 있게 하는 새로운 망정책이다. 데이터 등급을 C(기밀·Classified), S(민감·Sensitive), O(공개·Open)로 분류하고, 3개 등급별로 차등화된 보안정책을 운영하는 것이 골자다.

[이데일리 이미나 기자]


MLS 가이드라인에는 공공 기관이 클라우드를 활용할 수 있는 요건도 담긴다. C등급 시스템은 구축형인 ‘프라이빗 클라우드’로, S등급 시스템은 국가정보자원관리원 대구선터처럼 정부 통제에 따라 민간이 별도의 인프라를 구축·운영하는 ‘PPP 방식’을 이용해야 한다. O(공개) 등급은 민간의 클라우드 서비스를 이용할 수 있다. 따라서 사실상 O등급을 놓고 국내외 클라우드 기업들이 경쟁할 것으로 보인다.

국정원에 따르면 CSAP를 획득한 경우 O등급 시장 참여 시 검증 항목 일부가 대체 가능하다. CSAP는 과기정통부가 마련한 클라우드 보안 인증 제도로, 국정원은 MLS 체계 도입 후에도 O 등급 사업에 참여하는 기업이 CSAP를 보유한 경우 검증항목이 겹치는 부분은 CSAP로 대체하기로 했다. 국정원 관계자는 “CSAP가 O등급 사업에 참여할 수 있는 ‘프리패스’는 아니지만, 기업이 중복 검증을 받지 않도록 간소화한다는 취지”라고 설명했다.

주목되는 부분은 CSAP 상중하 등급에 대한 차이를 MLS 체계에서는 따로 구별하지 않는다는 점이다. 과기정통부는 CSAP를 상·중·하 3개 등급으로 나눠, 하등급은 논리적 망분리를 허용해 외국계 클라우드에 열어줬다. 하지만 MLS 등급 체계에선 CSAP 상·중·하 등급 중 어떤 것을 따더라도 O등급 사업에 참여하는 데에는 차등이 없다.

네이버클라우드·KT클라우드·NHN클라우드 같은 토종 업체와 MS·구글 등 외국계가 CSAP 상중하 구분없이 O등급 공공 시장을 놓고 경쟁하는 상황이 벌어지게 되면, 민간 클라우드 시장처럼 공공 시장도 외국계가 점령하는 상황이 벌어질 수 있다. 과기정통부가 발표한 ‘2023 부가통신사업 실태조사’에 따르면 아마존웹서비스(AWS)와 마이크로소프트(MS)의 이용률이(복수 응답) 각각 60% 24%로 1·2위를 차지했을 만큼 외국계 클라우드의 영향력이 압도적이라서다.

한편, 과기정통부도 CSAP 상중하 구분을 놓고 고심에 빠진 상황이다. 과기정통부는 당초 9월 말까지 CSAP 상·중 등급에 대한 요건을 담은 고시를 마련할 계획이었으나, 국정원의 MLS 체계와 맞추기 위해 고시 개정을 연기한 상태다. CSAP 상중하 등급이 큰 의미가 없어진 만큼 재검토될 수도 있다는 전망도 나온다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지