정부가 공공 클라우드(가상서버) 시장을 외국계 기업에 개방하려 하자 데이터 주권이 훼손될 것이란 우려가 나오고 있다. 글로벌 클라우드 '강자'인 아마존과 마이크로소프트, 구글 등이 민간을 넘어 공공 시장까지 잠식할 수 있기 때문이다.
전날(4일) 정부세종청사에서 열린 과학기술정보방송통신위원회(과방위)의 과학기술정보통신부 국정감사에선 '클라우드 서비스 보안 인증제(CSAP)' 완화 방침을 놓고 의원들의 성토가 쏟아졌다.
이날 의원들은 데이터 주권까지 훼손하면서 외국 클라우드 회사에 공공 시장을 개방할 필요가 있느냐며 정부를 질타했다.
현재 기업들이 공공 클라우드 시장에 진출하기 위해서는 CSAP라는 보안 인증을 받아야 한다. 정부는 여기에 등급제 도입을 추진하고 있다.
즉 클라우드로 사용될 시스템을 중요도에 따라 3개의 등급으로 구분하고, 등급별로 다른 보안인증 기준을 적용하겠다는 것이다. CSAP 인증을 위해선 물리적(하드웨어) 인프라 분리가 필수였는데 등급제 도입에 따라 하위 등급에선 논리적(소프트웨어) 망 분리도 허용키로 한 것이다.
그동안 외국계 기업은 국내에서 클라우드 서비스를 할 때 논리적(소프트웨어)으로 인프라를 분리해 사업을 하다보니 물리적 분리라는 조건을 충족하지 못했다. 이에 외국계 기업들은 국내 공공 시장에서 CSAP 철회를 줄곧 요구해왔다. CSAP가 글로벌 기업들의 국내 공공 시장 진입을 막는 '빗장'으로 여겨진 이유다.
하지만 정부가 인증을 완화해 논리적 망 분리를 허용키로 하면서 외국계 기업들이 공공 시장에 진출할 수 있는 길이 열렸다. 아마존과 마이크로소프트, 구글 클라우드 등은 국내 민간 클라우드 시장에서 무려 82%의 점유율을 차지하고 있다. 이로 인해 공공 클라우드 시장마저 이들에게 넘어갈 수 있다는 우려가 나오는 것이다.
무엇보다 데이터 주권이 침해될 것이란 우려가 제기되고 있다. 해외 기업이 공공 클라우드에 쌓인 개인 정보를 자국 서버에 저장할 가능성이 있어서다.
전날 국감에서 박찬대 더불어민주당 의원은 "교육행정 정보시스템에는 개인의 민감한 정보가 대량으로 포함돼 있다"며 "국외 클라우드 회사가 정보에 접근할 수 있다"고 지적했다.
이에 대해 박윤규 차관은 "교육행정 정보시스템이 대민 기능을 갖고 있다고 해서 3단계로 분류할 계획은 없다"고 말했다.
CSAP 개편안 과정에 문제가 있었다는 지적이 나왔다. 윤영찬 더불어민주당 의원은 "국내 업체의 요청으로 CSAP를 개편했다고 했는데 독자적으로 서비스를 구축하고 있는 기업들은 반대하고 있다"며 "일부 의견을 전체인 것처럼 언급하면 안 된다"고 비판했다.
이에 김정삼 정보보호네트워크정책관은 "부처 간 논의 과정을 거치고 있다"며 "잘 살펴서 개선하도록 하겠다"고 말했다.