정부가 국내 서비스형소프트웨어(SaaS) 산업 활성화의 걸림돌로 지적받는 클라우드보안인증(CSAP) 제도를 손본다. 연내 공공 서비스의 데이터 중요도에 따라 민감도를 분류해 상대적으로 민감도가 낮은 영역에 대해서는 CSAP 기준을 완화한다.
CSAP는 공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 마련한 제도다. 공공기관에 클라우드 서비스를 공급하려면 반드시 CSAP 인증을 받아야 한다. 하지만 획득하기까지의 과정이 복잡하고 시간이 오래 걸려, 규모가 작은 스타트업과 중소기업에는 공공시장 진입 장벽으로 작용했다. 특히 서비스형소프트웨어(SaaS) 기업의 경우 규모가 작은 기업이 많다 보니 더욱 CSAP 제도 개선에 대한 목소리가 컸다.
박 차관은 "안정성과 관련된 우려가 많았지만, 관계기관과 현재 어느정도의 컨센서스(동의)가 형성돼가고 있다"며 "업계에서 요구하는 CSAP 문제 중에서 다는 아니지만 일부는 가시적인 성과를 낼 수 있도록 협의하고 있다"고 말했다.
이어 "기준을 바꿨을 때 보안에 문제점이 있을 지는 검증해 볼 필요가 있다"며 "미국과 같은 해외사례를 살피며 공유의 철학이 보안 측면에서 실현가능한지 검증하고 있으며 빠른 시일내에 개선하겠다"고 말했다.
아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드와 같은 글로벌 클라우드 기업의 경우 CSAP의 ‘물리적 망분리' 요건을 충족하지 못해 그동안 공공 클라우드 시장 진출을 하지 못했다. 과기정통부가 기준을 완화하면 해외 사업자들에게도 국내 공공 시장 진입의 여지가 생기게 된다. 다만 과기정통부는 CSAP가 무역장벽으로 작용한다는 일부 글로벌 클라우드 사업자들의 주장에 우리나라 정부가 과도한 요구를 하는 것은 아니라는 점을 분명히 했다.
설재진 과기정통부 사이버침해대응과장은 "해외에서도 물리적 분리 형태를 띈 요구조항들이 있는 것으로 알고 있다"며 "국내에서만 과도한 인증을 요구하는 것은 아니다"고 강조했다.
이어 "다만, 이번에 등급제를 시행하게 되면 공공에 들어올 수 없었던 해외 인프라형서비스(IaaS)를 사용하는 국내 사업자들이 어느정도 들어올 수 있다"며 "가장 낮은 등급은 많이 완화하기 위해 협의하는 상황이다"고 말했다.
류은주 기자 riswell@chosunbiz.com