“클라우드 보안인증제 완화, 너무 서둘러..회의는 고작 4번”
by김현아 기자
2023.10.15 10:42:53
[2023 국감]
박완주 의원(무소속) 지적
‘상’ 등급 인증 모델 없는데 실증과 기준 마련 동시 추진
인증위 예산 3 억 배정했는데 회의는 다 4 번
“검증 주체는 결국 국정원 ..고시 개정해놓고 예산 졸속편성”
[이데일리 김현아 기자]
지난해 한덕수 국무총리로부터 정책이 변경됐다는 의혹을 받은 클라우드 서비스 보안인증제(CSAP)완화가 결국 고시 개정까지 이뤄졌지만, 정작 관련 실증 사업을 위한 예산은 제때 편성하지 못했고, 기준 마련을 위한 사업 역시 회의 개최 수준에 머무는 등 졸속으로 운영된다는 비판이 제기됐다.
과학기술정보통신부는 지난해 8 월 「 정보보호 규제 개선 추진 상황 및 계획 」 을 발표하며 올해 1 월 CSAP 등급제 고시 개정안을 발표했다 .
주요 내용은 ‘ 개인정보 ’ 를 제외한 공공 정보 운영 시스템을 ‘ 하 ’ 등급으로 분류하는 동시에 ‘ 논리적 망 분리 ’ 를 인정해 주는 것이었다 .
다만 고시 개정을 하면서도 상 · 중 등급은 실증과 검증을 통해 평가 기준을 보완하겠다고 단서를 달았다 .
이에 따라 실증은 한국지능정보화진흥원 (NIA), 기준 마련은 한국인터넷진흥원 (KISA) 등 2 개 기관이 수행하고 있다 .
그러나 정작 실증 사업을 위한 예산이 제때 편성되지 못해 과기부 사이버침해대응과가 인터넷진흥과의 예산을 빌려 추진하고 있는 것으로 드러났다.
박완주 의원이 과기정통부로터 제출받은 자료에 따르면 , 과기부가 추진하는 상 · 중 등급 실증은 「 클라우드컴퓨팅산업육성 」 사업의 내내역 사업인 「 공공부문 클라우드 활용 선도과제 발굴 · 지원 」 사업의 과제 일부로서 9.9 억 원을 받아 한국지능정보사회진흥원과 KT 클라우드가 추진하고 있다 .
이런 연유로 과제 시작도 올해 4 월 28 일에서야 시작됐고 8 개월간 추진한다 .
게다가 상 · 중등급에 대한 실증은 ‘ 상 ’ 등급 기준이 핵심이지만, ‘ 중 ’ 등급에 초점이 맞춰있는 실정이다 .
기존 CSAP 인증 기준이 ‘ 중 ’ 등급에 해당하다 보니 ‘ 상 ’ 등급의 기준은 명확하지 않아 과기부가 임의로 과기부 내부 행정시스템을 ‘ 상 ’ 등급이라 판단하고 실증을 추진하고 있다 . 이마저도 향후 국정원의 모의 침투 등 검증을 거쳐야 하기 때문에 사업 실효성도 담보하기 힘든 상황이다 .
더 큰 문제는 ‘ 실증 ’ 과 ‘ 기준 마련 ’ 이 1 년의 짧은 기간 사이 동시에 이뤄지고 있다는 점이다 .
NIA 의 실증이 끝나고 국정원 검증까지 받은 후에 그 결과를 반영해 CSAP 인증 기관인 인터넷진흥원 (KISA) 도 기준 마련을 할 수 있다 .
하지만 KISA 는 올해 CSAP 인증 운영 사업비 예산 25 억원에서 3 억 원을 편성해 등급 개편 기준 마련 사업을 추진하고 있다 .
KISA 의 기준 마련을 위한 사업 운영도 부실했다 .
‘ 클라우드 보안인증 제도 개선 및 운영 ’ 명목으로 편성된 3 억 원은 사실상 평가 기준 개편을 위한 ‘ 인증 위원회 ’ 운영비에 해당했는데 , 지난 6 월부터 8 월까지 4 번의 회의 개최가 전부였다 .
박완주 의원은 “ 이미 지난해 국정감사에서 성급한 CSAP 추진에 대해 우려를 표했는데 과기부는 개편을 공식화한 지 반년도 되지 않아 고시까지 개정해놓고 정작 이를 위한 사업조차 예산 마련조차 하지 않는 등 졸속으로 추진하고 있다”고 지적했다 .
이어 “사업 수행 기관조차 결국 검증 주체는 국정원이라고 하는 상황에서 과기부가 왜 먼저 나서 CSAP 인증 완화를 서둘렀는지 묻지 않을 수 없다”고 우려를 표했다 .