클라우드보안인증(CSAP) 제도 등급제 개편이 업계 혼란을 가중한다. 정부가 상중하 중 ‘하’ 등급만 우선 시행한 것이 혼란의 발단이다. 중·상 등급에 해당하는 기존 서비스형 인프라(IaaS) 인증과 서비스형 소프트웨어(SaaS) 표준인증, 서비스형 데스크톱(DaaS) 인증을 받았던 사업자는 갈 곳을 잃었다는 입장이다.
정부는 복잡할 게 없다고 설명한다. SaaS 간편인증을 받은 사업자들에 하 등급을 부여한다는 사실만 달라졌을 뿐, 기존 인증 사업자들에게는 변하는 게 없다는 것이다. 아직 기존 인증제도와 하등급 보안 인증이 함께 가는 것일 뿐이라는 얘긴데, 일부 시장 기업들 사이에서는 탁상행정 아니냐는 지적이 나온다.
과기정통부 한 관계자는 "CSAP 등급제 개편은 기 인증 받은 사업자들에게 전혀 영향을 미치지 않는다"고 밝혔다.
아직 인증을 받지 않은 사업자는 제도 개편 후 1년쯤 기간의 여유를 두고 기존 제도대로 인증을 받을 수 있다. 모든 기준이 갑자기 바뀌면 기존에 인증을 위해 준비하던 사업자가 절차를 다시 시작해야 하는 만큼, 이런 불편을 없애기 위해 유예기간을 둔다는 것이다.
하지만 정부 사업과 직접 연관된 CSAP 기 인증 기업들은 현실적으로 불편함이 크다는 입장을 토로한다. 사실상 중·상등급 시장은 아직 열리지 않은 만큼, 우선 시작된 하 등급 시장에서 SaaS 간편인증 사업자와 경쟁을 해야 한다.
SaaS 인증은 표준인증과 간편인증 두 가지 등급으로 나뉜다. 표준인증은 78개 인증 항목을 점검받는 반면 간편인증은 30개 항목만 받으면 된다. 간편인증 등급은 법령상 필수항목과 공공 부분 보안요구사항 등 반드시 지켜야 할 요소만 체크하는 식이다.
인증에 걸리는 시간은 간편인증 쪽이 훨씬 짧다. SaaS 표준인증은 평가에 드는 기간이 17일인 반면 간편인증의 경우 14일이다. 사후평가와 모의침투 테스트 기간도 간편 등급은 절반 수준이다. 결과적으로 표준인증을 받는 사업자가 간편인증 사업자와 경쟁할 경우 ‘역차별’ 요소가 있는 셈이다.
개정된 국가정보보안기본지침에 따르면, 상등급은 국가 중대 이익(안보, 국가안전, 국방, 통일, 외교 등), 수사·재판 등 민감정보를 포함하거나 행정 내부업무 등을 운영하는 시스템, 중등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 포함 또는 운영하는 시스템으로 분류됐다.
하지만 정부가 중상 등급으로 어떤 사업을 진행할 지 정해지지 않은 만큼, 표준인증 사업자의 사업 준비 자체가 힘들다. 무턱대고 사업에 뛰어들 경우 자칫 비용적 손실도 발생할 수 있다.
과기정통부는 현재 기존 IaaS 인증과 SaaS 표준인증, DaaS 인증은 중등급으로 인정하는 방안을 검토 중이다. 확실히 정해지지 않았기 때문에 사업자가 무엇을 준비해야 하는지 단언하기 어렵다. 명확한 사업 내용이 언제 확정될 것인지도 예측이 안된다.
클라우드 업계 한 관계자는 "CSAP 등급제는 보안성 측면에서는 긍정적이다. 사업자들이 등급제 자체를 반대한 것이 아니라 전체 등급을 동시에 시행하자는 것이었다"며 "하 등급부터 실증없이 시행함에 따라 중 등급 이상을 받을 수 있는 사업자는 기다릴 수밖에 없는 상황이다"고 말했다.
이인애 기자 22nae@chosunbiz.com