공공 클라우드 시장에 긴장감이 흐르고 있다. 공공 클라우드 시장의 필수관문인 클라우드보안인증제(CSAP) 등급제 시행에 이어 엄격하던 국가 망분리 정책 또한 완화됐기 때문이다. 토종 기업들이 지켜온 공공 클라우드 시장에 글로벌 빅테크 기업들의 진입이 본격화되리라는 전망이 나온다.
견고하던 공공 방파제…'하'등급은 뚫렸다
CSAP는 과학기술정보통신부가 주관하고 한국인터넷진흥원(KISA)이 평가하는 클라우드 서비스 보안인증제도다. 민간 클라우드 기업이 공공기관에 진출하기 위해 필수적으로 받아야 하는 인증이다.
당초 CSAP는 국내 기업에 유리하다보니 외산 기업의 공공 클라우드 시장의 진입을 막는 장벽으로 작용했다. 서버 하드웨어를 민간용, 공공용으로 나눠 분리하도록 하는 '물리적 망분리'와 아리아(ARIA) 또는 시드(SEED) 등 국내 암호화 알고리즘 기반 암호 모듈만 인정한다는 규정 등이 방파제로 작용했다. 외국계 클라우드 기업은 국제암호화표준(AES)를 채택하고 있다.
그러나 단일 등급이던 CSAP가 지난 2023년부터 상·중·하로 분류되면서 외산 클라우드가 도전할 수 있는 길이 열렸다. CSAP는 비공개 업무자료·민감정보가 포함된 시스템은 상·중등급, 공개된 공공 데이터 운영 시스템은 하등급으로 분류한다. 이 가운데 하등급은 가상공간을 활용해 망을 분리할 수 있는 '논리적 망분리'가 허용된다.
정부가 공공기관 암호모듈 안전성 검증에 국산 인증 알고리즘 뿐만 아니라 AES를 허용하기로 하면서 한층 허들이 낮아졌다. 마이크로스프트(MS)는 지난해 말 빅테크 중 최초로 CSAP 하등급을 받았고, 아마존웹서비스(AWS)와 구글클라우드(GCP)도 CSAP 하등급을 신청해 심사를 받고 있다.
국정원 "N²SF와 CSAP 혼선 없어"
국가정보원이 새로 발표하는 국가망보안체계(N²SF)도 토종 클라우드 기업의 근심을 더한다. 당초 과기정통부는 지난해 CSAP 상·중등급에 대한 세부요건을 담은 고시를 마련할 계획이었다. 그러나 국정원이 신규 망분리 가이드라인을 발표하겠다고 밝히면서 고시 개정을 연기했다.
국정원은 지난 23일 N²SF 가이드라인을 공개하고, 데이터의 중요도에 따라 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open)로 구분해 차등적으로 보안 의무를 부과하기로 했다. 이 때문에 국정원의 C·S·O등급이 도입되면 과기정통부의 CSAP 등급제와 혼선이 있을 수밖에 없다는 우려가 나왔다.
이와 관련해 국정원은 CSAP와 N²SF는 대상과 목적이 다르다며 선을 그었다. 그러면서 보안성 검토 과정에서 CSAP 인증항목을 인정하겠다는 방침을 밝혔다. CSAP 인증을 받은 클라우드 서비스는 중복 심사나 추가적인 보안성 검토없이 검증하겠다는 것이다. 과기정통부는 국정원 보안기준을 참고해 CSAP 인증 개선에 나설 전망이다.
김승주 고려대 정보보호대학원 교수는 "CSAP 인증기준에 망 분리 관련 항목이 들어있다보니 N²SF와 충돌하는 것처럼 보이지만, 주무부처가 각각 과기정통부와 국가정보원으로 엄연히 다르다"면서도 "CSAP가 데이터중요도 중심의 보안정책을 일부 선반영한 부분이 있긴 하지만, 완전히 일치된 건 아니므로 세심한 조정이 필요할 것"이라고 말했다.
