공공 클라우드 보안 인증·심사, 국정원으로 통합되나

바람 잘 날 없던 공공부문 클라우드 보안 관련 제도가 또 다시 격변을 맞이할 전망이다. 인공지능(AI) 3대강국(G3) 도약을 뒷받침하기 위한 공공 클라우드 전환과 국가 AI전환(AX)을 제때 이루기 위해선 범정부 차원의 명확하고도 조속한 행보가 요구된다. 20일 클라우드 및 정보보호 업계에 따르면, 정부는 공공부문에 공급되는 클라우드 서비스에 대한 보안 심사·인증 관련 업무를 국가정보원에서 일괄적으로 수행하도록 하는 방안을 검토하고 있다. 다만, 그 방식과 시기에 대해선 아직 구체적으로 정해지지 않았다. 기존에 과학기술정보통신부 산하 한국인터넷진흥원(KISA)가 담당해온 클라우드서비스보안인증(CSAP) 심사·인증 업무 중 공공 관련 부분이 국정원으로 이관될 수 있다는 말이 나온다. 이와 달리 국정원에서 아예 별도의 인증·심사 제도를 신설할 수 있다는 관측도 제기된다. 공통점은 공공 클라우드 보안 관련 업무와 창구가 향후 국정원으로 일원화되는 것이다. 공공부문에 정보기술(IT) 제품·서비스를 공급하려면 국정원의 보안성 검토를 거쳐야 하는데, 클라우드의 경우 클라우드법에 따라 공공부문 도입에 CSAP 획득 서비스를 우선 고려하게 돼있다. 때문에 민간 클라우드 사업자들은 CSAP를 받고도 보안성 검토를 거쳐야 하는 등 중복규제 문제가 불거져왔다. 이번에 추진되는 방안은 이런 문제를 해소할 뿐만 아니라 국가 IT 거버넌스에도 도움이 될 전망이다. 지난해 행정안전부 산하 국가정보자원관리원(국정자원) 화재 계기로 국가AI전략위원회 내 출범한 'AI인프라 거버넌스·혁신 TF'도 부처 간 칸막이로 인한 비효율성을 문제로 짚었다. 행안부는 국정자원 중심 정부 주도 센터 운영을, 과기정통부는 CSAP를 통한 민간 클라우드 공공 도입을, 국정원은 국가망보안체계(N2SF) 등 보안을 중시하며 제각기 규제했다는 지적이다. 하지만 단기적으로는 공공 클라우드 시장에 긍정적으로만 작용하진 않을 것으로 보인다. 그동안 기업들은 주로 공공 클라우드 수요를 바라보고 많게는 수억원의 비용을 CSAP 획득·유지에 치렀다. 특히 클라우드 인프라 기업들의 경우 이 제도에 발맞춰 투자를 진행해왔다. 정부가 공공 클라우드 보안 인증 관련 개편을 추진한다면 어느 쪽으로든 이에 대한 고려가 충분히 동반돼야할 상황이다. 무엇보다 다시금 공공 클라우드 시장이 얼어붙을까 우려된다. 국무조정실 주도로 2023년 급격히 도입된 CSAP 등급제, 망분리 규제 개선 정책으로 국정원이 2024년 준비에 들어간 N2SF 등으로 제도적 불확실성이 커질 때마다 공공부문의 클라우드 사업은 번번이 멈춰 설 수밖에 없었다. 이번에 또 제도가 바뀐다면 이런 불확실성을 단기간에, 또 중장기적으로 해소할 수 있는 방향이 돼야한다는 게 업계의 시선이다. 당초 AI전략위의 AI인프라 거버넌스·혁신 TF가 지난해 11월 내놓기로 했던 디지털 인프라 종합대책을 비롯해 법제도 및 정책과도 정합성을 갖춰야함은 물론이다. 해당 종합대책은 현재 최종 검토 단계이며 조만간 발표 예정인 것으로 전해졌다. 한 클라우드 업계 관계자는 "사실이라면 지난해 내내 여러 곳에서 이어졌던 해킹과 정보유출 사고 때문에 정부가 보안 강화에 무게를 두고 추진하는 행보로 해석된다"면서도 "국내 클라우드 산업 진흥에도 힘썼던 과기정통부와는 달리 국정원은 오직 보안만 신경 쓰면서 우리로선 사업적으로 운신의 폭이 좁아질 수 있다"고 말했다. 팽동현 기자 dhp@dt.co.kr