“정부 데이터 다루는 클라우드는 외국 정부도 자국 우선”
by최훈길 기자
2022.10.04 19:04:43
[데이터 주권 비상]④
김법연 고려대 정보보호대학원 연구교수 인터뷰
“일본서 국민적 저항 부딪혀 자국 기업으로 선회”
자국 클라우드 기업 있는 미·중도 데이터 주권법
우리나라 클라우드 법은 허술…보완 대책 필요
[이데일리 최훈길 기자] “일본 정부가 해외 기업의 클라우드를 쓰려다 국민적 저항에 부딪혔습니다. ‘왜 정부 데이터 관리를 해외 기업에 맡기냐’는 반발이 거셌기 때문입니다. 결국, 일본 정부는 자국 기업 키우기로 정책 방향을 수정했습니다.”
| 김법연 고려대 정보보호대학원 연구교수. △한국인터넷윤리학회 전 총무간사 △사이버커뮤니케이션학회 전 총무간사 △대한교육법학회 기획위원회 전 위원 △한국지방자치법학회 전 총무간사 △한국공법학회 정보간사 △개인정보보호법학회 총무이사 △한국IT서비스학회 재무위원장 △한국인터넷윤리학회 재무이사 (사진=이영훈 기자) |
|
김법연 고려대 정보보호대학원 연구교수는 최근 이데일리와의 전화 인터뷰에서 우리 정부의 클라우드 보안 인증(CSAP) 개편 관련해 “이대로 가면 일본과 비슷한 논란이 국내에서도 벌어질 것”이라며 “해외 기업이 국내 공공 영역의 클라우드 시장마저 장악하면 데이터 주권이 위협받을 수 있다”면서 이같이 말했다.
CSAP 개편으로 규제가 완화되면 아마존웹서비스(AWS), 구글, 알리바바, 텐센트 등 미국·중국 기업이 공공 시장에까지 들어올 수 있다.
김 교수는 인터뷰에서 “해외 기업이 우리나라 정부 데이터를 관리하면 공공 영역에서 국가안보, 데이터주권에 위협이 될 수 있다”며 “서버가 해외에 있기 때문에 해외에서 우리나라 국가정보를 자의로 열어볼 우려도 있다”고 지적했다. 대민 서비스에 포함된 개인정보가 국외로 이전될 가능성도 크다.
공공은 아니지만, 2018년 당시 AWS의 서울 리전(데이터센터)에서 84분간 장애가 발생했다. 쿠팡, 배달의민족, 마켓컬리, 넥슨, 업비트 등 수많은 기업들이 서비스 운영에 차질을 겪었지만 정부는 손을 쓰기 어려웠다. 물리적인 서버는 서울에 있어도 ‘관리 노드’가 호주 등에 있어서다.
같은 이유로 자국 클라우드 기업을 갖고 있는 미국과 중국도 별도의 법률을 통해 자국 데이터 철통 보안에 나서고 있다.
미국은 2018년에 ‘해외 데이터 이용 합법화’ 법률을 통과시켰다. 미국 수사기관이 법원의 영장 없이도 구글이나 마이크로소프트, 아마존, 애플 등 미국 IT 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할 수 있게 된 것이다.
중국은 2017년부터 ‘사이버보안법(네트워크안전법)’을 시행해 데이터의 저장·안전 인증 등에 관련된 광범위한 규제를 시행 중이다. 중국에서 영업하려면 개인정보나 중요 데이터를 중국 내에 저장(서버두기)해야 한다. 중국 정부가 중국 내 인터넷 네트워크 운영자를 통해 정보의 전송 중지나 제거도 지시할 수 있다.
그러나 우리나라 클라우드법에는 이 같은 통제 장치가 부족하다. 내국민의 개인정보 보호를 위해 몇 가지 책임규정을 두고 있을 뿐이다. 이런 와중에 당장 공공 시장에까지 미국과 중국의 클라우드 서비스 업체가 진입할 경우 데이터 주권 문제가 불거질 수 있다.
김 교수는 클라우드 정책의 1순위 과제에 대해 “국내 클라우드 산업을 키우는 정책을 우선 고민해야 한다”면서 “정부가 정책을 결정하기 전에 기업들과 머리를 맞대고 충분히 의견을 수렴했으면 한다”고 강조했다.
| 과학기술정보통신부는 클라우드 시스템을 중요도에 따라 3등급으로 나누고 차등화된 보안 기준을 적용하는 ‘클라우드 보안 인증(CSAP)’ 개편을 검토 중이다. 3등급으로 규제를 완화하는 개편이 이뤄지면 아마존웹서비스(AWS), 마이크로소프트(MS) 같은 외국계 클라우드 기업이 공공 시장에 진입할 수 있는 길이 열릴 전망이다. 국내 클라우드 산업 경쟁력이 해외보다 낮은 상황에서 섣불리 개방부터 하면, 국내 산업이 고사될 것이란 우려가 많다. 이때문에 네이버클라우드·KT클라우드·NHN클라우드·카카오엔터프라이즈 등 국내 클라우드 기업들이 난색을 표하고 있다. (자료=김법연 고려대 정보보호대학원 연구교수) |
|