클라우드법 작년 9월부터 시행됐지만 … 세부안 없어 SW업계 `혼선`

보안인증·책임규정 불명확해
4월 최종안 확정후 입찰참여

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


클라우드법 작년 9월부터 시행됐지만 … 세부안 없어 SW업계 `혼선`

클라우드법이 시행된 지 5개월이 지났지만, 보안과 품질에 대한 세부안이 확정되지 않아 소프트웨어(SW)업계가 혼란을 겪고 있는 것으로 나타났다.

21일 SW업계에 따르면 올해 클라우드 관련 공공사업 발주가 시작됐지만 적극적으로 입찰에 참여하지 않고 있는 것으로 나타났다. 이유는 관련 사업 발주가 시작됐지만 클라우드법과 관련한 세부안이 확정되지 않았기 때문이다. SW업체들은 오는 4월 세부안에 따라 사고 시 책임 한계와 인증 관련 부문이 바뀔 수 있기 때문에, 세부안 발표를 보고 입찰 참여를 결정하겠다는 입장이다.

한 SW업체 관계자는 "대기업은 비용이 드는 인증 부문은 준비가 돼 있어 바로 입찰에 참여할 수 있지만, 중소기업은 사정이 다르다"며 "가장 민감한 보안 부문 인증과 책임에 대한 규정이 명확하지 않아 지켜보는 중"이라고 말했다.

실제 클라우드법(클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률)은 정부가 2012년 입법 예고한 지 3년 만인 지난 9월부터 시행됐지만, 세부안은 확정되지 않은 상황이다. 미래창조과학부는 지난달 22일 공청회를 통해 '클라우드 솔루션 품질과 성능·정보보호 고시안'을 발표했지만, 정보보호 관련 제도적 장치에 대한 발표는 오는 4월 1일로 미룬 상황이다.

미래부는 아직 세부안이 확정되지 않았지만 행정자치부, 국가정보원과 협력해 정보 민감도에 따라 정보자원 등급체계를 마련할 예정이고, 기존 정보보호 인증을 참고해 입찰을 진행하면 문제가 없다는 입장이다. 미래부는 공청회를 한 번 더 진행한 뒤 오는 4월 1일 최종안을 확정하겠다는 계획이다.

하지만 SW업계는 클라우드 도입시 핵심 장애요인이 될 수 있는 정보보호 관련 사안이 확정되지 않은 상황에서 입찰에 참여하는 부담을 질 수 없다는 입장이다. SW업계는 현재 공공정보화사업에서 인정하는 정보보호 관련 인증은 공통평가기준(CC) 인증 밖에 없어 비용이나 기간이 부담이 된다고 주장하고 있다. CC인증을 받는 데는 일반적으로 6개월 전후, 비용은 1억원 전후로 알려졌다.

SW업계 관계자는 "정보보호 관련 인증은 공통평가기준(CC) 인증밖에 없는데 규모가 작은 중소기업은 관련 비용과 시간이 큰 부담이 된다"며 "해외 사례를 참고해 클라우드 솔루션에 맞는 인증 체계를 새롭게 도입할 필요가 있다"고 말했다. SW업계는 시행안이 확정되는 4월 1일 이후에야 클라우드 관련 공공정보화 사업 참여가 본격화될 것으로 예상하고 있다.

이형근기자 bass007@dt.co.kr
▶이형근기자의 블로그 바로가기

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사