Your browser does not support JavaScript!

CSAP 개편: 클라우드 산업의 새로운 도전

일반 리포트 2024년 12월 23일
goover

목차

  1. 요약
  2. CSAP 개편의 배경
  3. CSAP 개편의 주요 이슈
  4. 정부와 민간 클라우드 업계의 반응
  5. CSAP 개편의 향후 전망
  6. 결론

1. 요약

  • 이 리포트는 클라우드 서비스 보안인증제(CSAP)의 개편 필요성을 중심으로 현재 상황을 분석합니다. CSAP는 한국 공공기관이 안전한 클라우드 서비스를 이용할 수 있도록 보장하는 제도로, 2016년 도입되었습니다. 최근에는 미국 정부와 국내 중소기업의 다양한 요구에 의해 개편 논의가 활발히 진행 중입니다. 주요 이슈로는 CSAP의 물리적 분리 의무화, 데이터 보관 서버의 국내 위치 의무화, 단일 등급 인증 제도의 불합리성이 제기되고 있습니다. 이러한 문제들은 국내 클라우드 서비스 기업의 경쟁력에 영향을 미칠 수 있으며, 이에 따라 정부와 민간 기업 간 충분한 소통과 협력이 필요합니다.

2. CSAP 개편의 배경

  • 2-1. 클라우드 서비스의 정의 및 중요성

  • 클라우드 서비스는 개인용 컴퓨터나 기업 서버에 저장하던 데이터 및 프로그램을 클라우드 서비스 기업의 대형 컴퓨터에 저장하고 인터넷을 통해 언제 어디서나 접속 가능하도록 하는 컴퓨팅 환경입니다. 이러한 서비스는 시간과 공간의 제약을 받지 않고 데이터를 저장하고 활용할 수 있게 하여 디지털 전환의 기반 플랫폼 역할을 합니다. 비용 절감과 최신 기술의 적용을 통해 비즈니스 민첩성을 높여 공공 분야를 포함한 다양한 분야에서 채택되고 있습니다.

  • 2-2. CSAP의 도입 및 발전 과정

  • CSAP(클라우드 서비스 보안인증제)는 2016년에 도입되었으며, 이후 미국 정부와 국내 중소기업으로부터 지속적인 개선 요구가 있었습니다. 특히 미국 정부는 CSAP가 자국 기업인 아마존웹서비스, 마이크로소프트, 구글 등의 국내 공공 분야 진출을 저해하고 있다고 주장하며 제도 개선을 요구하고 있습니다. 국내 중소기업들도 CSAP가 공공 시장 진입의 장애물로 작용하고 있다고 보고 있습니다. 현재 CSAP는 특정 데이터 민감도에 따라 등급을 구분하여 인증을 부여하고 있으며, 인증 기준은 ISO/IEC 27001 및 다양한 국가적 규정을 기반으로 하고 있습니다.

  • 2-3. 개편 필요성에 대한 국내외 요구

  • 현재 CSAP 제도에 대한 이슈는 크게 세 가지로 제기되고 있습니다. 첫째는 공공과 민간 영역의 물리적 분리 의무화로, 이는 정부의 사이버 보안 정책을 클라우드 서비스에 적용하기 위한 것입니다. 둘째는 데이터 보관 서버의 국내 위치 의무화로, 외국 데이터 저장으로 인해 국내 법 집행이 어려운 상황을 방지하고자 하는 것입니다. 셋째는 단일 등급의 인증제 운영으로, 이는 다양하고 민감한 데이터 처리에 따른 불합리성 문제를 야기하고 있습니다. 따라서 이들 요구를 반영한 CSAP 개편이 필요하다는 목소리가 높아지고 있습니다.

3. CSAP 개편의 주요 이슈

  • 3-1. 물리적 분리 의무화 문제

  • 물리적 분리 의무화는 공공기관이 민간 클라우드 서비스를 이용할 때, 해당 서비스의 물리 자원(서버, 네트워크, 보안 장비 등)을 일반 이용자용 서비스와 물리적으로 분리하도록 요구하는 사항입니다. 이 의무화는 클라우드 서비스의 중요한 이점인 정보 자원의 공유를 제한하게 되어, 클라우드 서비스 제공자가 보유한 정보 자원을 효율적으로 활용하지 못하게 되고, 이로 인해 서비스 사용자가 지불해야 하는 이용 단가가 상승하게 됩니다. 이는 서비스의 가용성과 경제성을 저하시킬 수 있습니다. 하지만 이러한 조치는 정부가 공공기관 정보통신망을 해킹 및 침해사고로부터 보호하기 위해 사이버 보안 정책을 실시하기 위함입니다. 현재로서는 이러한 물리적 분리를 통해 보안성을 확보하는 것이 필요하다고 판단되고 있으며, 상대적으로 덜 중요한 데이터에 대해서는 민간 영역과의 논리적 분리를 허용할 가능성도 충분히 검토되고 있습니다.

  • 3-2. 데이터 보관 서버의 국내 위치 의무화

  • 데이터 보관 서버의 위치를 국내에 두도록 하는 규제는 공공분야 정보 시스템이 외국에 있을 경우, 해킹이나 개인정보 유출 시 국내의 행정 및 사법권이 미치지 않아 효율적으로 대응하기 어렵기 때문입니다. 국가별로 상이한 법률 및 대응체계로 인해 어떤 국가의 법률을 적용할지가 논란이 될 수 있으며, 이는 데이터 주권 측면에서도 매우 중요합니다. 공공기관의 행정정보와 민감한 개인정보가 외국에 위치한 글로벌 기업의 서버에 저장되고 처리될 경우, 국내 정책이 제대로 적용되지 못할 수 있으며, 이러한 이유로 많은 국가들이 클라우드 데이터 센터를 자국에서 운영하도록 의무화하고 있습니다. 따라서 클라우드 서버의 국내 위치 의무화는 데이터 주권 확립과 효율적인 데이터 보호를 위해 필수적인 조치로 판단되고 있습니다.

  • 3-3. 단일 등급 인증 제도의 불합리성

  • CSAP는 현재 단일 등급으로 운영되고 있으며, 데이터와 정보 시스템의 중요도에 관계없이 동일한 인증 조건을 적용하고 있습니다. 그러나 FedRAMP 같은 경우에는 High, Moderate, Low 등으로 인증 등급을 구분하고 인증 기준을 차별화하여 적용하고 있습니다. 상대적으로 민감하지 않은 데이터와 중요한 기밀 데이터를 동일한 기준으로 인증하는 것은 불합리하게 여겨질 수 있습니다. 따라서 CSAP도 FedRAMP와 같은 방식으로 데이터와 정보 시스템의 등급에 따라 인증 기준을 달리하는 방안을 고려할 수 있을 것입니다. 그러나 CSAP는 규제로서 국내 클라우드 산업을 지원해 온 역할도 가지고 있어, 인증 기준의 개선이 국내 산업에 미치는 영향을 면밀히 검토해야 할 필요가 있습니다.

4. 정부와 민간 클라우드 업계의 반응

  • 4-1. 정부의 CSAP 개편 계획

  • [컴퓨터월드]의 보도에 따르면, 공공 클라우드 서비스 제공을 위한 필수 인증인 '클라우드 서비스 보안인증제도(CSAP)'의 개편 논의가 활발히 이루어지고 있습니다. 과학기술정보통신부(과기정통부)와 행정안전부(행안부), 국가정보원(국정원) 등 관련 부처 간의 의견 차이가 존재하며, 특히 CSAP 보안 인증이 데이터의 민감도에 따라 '상', '중', '하'로 세 등급으로 통합·개편될 것이라는 계획이 발표되었습니다. 이러한 개편 계획은 국내 클라우드 서비스 제공사들(CSP)로부터 강한 반발을 사고 있습니다. 국내 CSP들은 해외 CSP와의 공공 시장 경쟁에서 불리해질 것이라는 우려를 나타내고 있습니다.

  • 4-2. 민간 클라우드 기업의 우려 및 반발

  • 국내 클라우드 서비스 기업들은 CSAP 개편의 근본적인 이유에 대한 명확한 답변이 없다고 주장하며, CSAP 완화가 이들을 위한 것이 아니라 미국 기업의 요구에 따른 것이란 비판을 하고 있습니다. 국내 CSP들은 CSAP 완화가 이루어질 경우 해외 CSP들이 공공 시장에 진입할 수 있는 실질적인 근거를 제공하게 되고, 이로 인해 국내 기업들이 민간 시장에서 이어지는 피해를 입을 수 있다는 입장을 보이고 있습니다. 이와 관련하여, 한 CSP 관계자는 '정부의 물리적 망분리와 소스코드 공개 요구가 글로벌 표준에 맞지 않아 공공 시장에서 경쟁력이 떨어지고, 이는 향후 영업 정책에도 부정적인 영향을 미칠 것'이라며 우려를 표명했습니다.

  • 4-3. 국제적 압력과 통상 이슈

  • 미국 정부는 CSAP가 자국 기업의 국내 시장 진출을 저해하고 있다고 판단하여, 매년 무역장벽 보고서를 통해 제도 개선을 촉구해왔습니다. 이에 따라 CSAP 개편에 대한 압박은 증가하고 있으며, 이는 정부가 CSAP 제도를 개편하게 되는 핵심적인 이유 중 하나로 작용하고 있습니다. 또한, CSAP가 공공기관의 데이터와 정보시스템을 안전하게 보호하기 위한 제도임에도 불구하고, 국내 CSP들은 제도가 외부 압력으로 인해 완화되고 있다는 주장에 동의하지 않고 있습니다. CSAP 개편이 자국의 데이터 주권을 약화시키고 동시에 글로벌 표준에 부합하지 않는다면, 이는 클라우드 산업의 경쟁력에 심각한 영향을 미칠 것이라고 업계는 우려하고 있습니다.

5. CSAP 개편의 향후 전망

  • 5-1. CSAP 개편 후 예상되는 변화

  • CSAP(클라우드 서비스 보안인증제)는 공공기관에 클라우드 서비스를 안전하게 제공하기 위한 필수 인증 제도입니다. CSAP 제도의 개편은 데이터의 민감도에 따라 상, 중, 하로 세 등급으로 통합될 계획이며, 이는 민간 클라우드 서비스 제공사(CSP)들에게 큰 영향을 미칠 것으로 보입니다. 현재까지의 상황에서 CSP들은 개편안으로 인해 공공 시장에서 외국 CSP들의 무혈입성을 우려하고 있으며, 이러한 변화가 국내 클라우드 산업의 경쟁력을 저해할 수 있다는 지적이 있습니다. 예를 들어, 미국 정부는 CSAP로 인해 자국 기업들의 국내 공공 분야 진출이 원활하지 않다고 주장해왔으며, 이러한 외부 압력이 CSAP 개편의 주요 배경이 되고 있습니다.

  • 5-2. 국내 클라우드 산업의 경쟁력 강화 방안

  • 국내 클라우드 서비스 제공사들은 CSAP 개편으로 인한 어려움을 해소하기 위해 원활한 규제 개선과 공공 시장에서의 입지를 강화할 필요가 있습니다. 국내 CSP들은 자국 데이터의 보안과 보호를 강조하며, 정부에 대한 신뢰성을 높이고, 클라우드 서비스에 대한 적극적인 투자를 통해 기본적인 경쟁력을 개발해야 합니다. 예를 들어, 미국 등 외국 기업들이 자국의 클라우드 시장에 침입하는 것을 방지하기 위한 전략으로 데이터 보호와 보안 관련 정책 강화를 제안할 수 있습니다. 현재 한국 클라우드 시장에서 공공 및 민간 부문에서의 지속적인 경쟁력을 확보하기 위해서는 산업계, 정부, 학계 등 이해관계자 간의 협력이 필요합니다.

  • 5-3. 글로벌 클라우드 시장에서의 위치

  • 글로벌 클라우드 시장에서 한국의 클라우드 산업은 기술 및 시장 점유율 등의 여러 요소에 의해 영향을 받고 있습니다. 현재 국내의 클라우드 서비스 제공사들은 아마존웹서비스(AWS), 마이크로소프트, 구글 클라우드 등과 같은 글로벌 대기업과 경쟁하고 있으며, CSAP 제도는 이러한 경쟁을 더욱 복잡하게 만들고 있습니다. 또한, 미국 정부의 압박으로 인해 CSAP가 인증기준을 완화하는 방향으로 변화할 가능성이 높아지면서, 이는 한국 클라우드 산업에 대한 국제적 위상을 악화시킬 수 있는 요인으로 작용할 수 있습니다. 따라서 한국은 클라우드라는 핵심 산업의 국제 경쟁력을 강화하기 위해 정책적인 대응이 필요하며, 데이터 주권과 사이버 보안을 동시에 확보하는 것이 중요합니다.

결론

  • CSAP의 개편은 한국의 클라우드 서비스 산업에 중대한 영향을 미칠 전망입니다. 주요 이슈로는 물리적 분리, 데이터 주권, 그리고 단일 등급 인증 방식의 불합리성이 있습니다. 이러한 문제 해결을 위한 CSAP의 개편 과정에서, 정부와 민간 클라우드 서비스 기업 간의 협력이 중요합니다. 특히, FedRAMP와 같은 국제적 인증 기준을 참고하여 CSAP의 개편 방향을 설정해야 할 필요가 있습니다. 앞으로 CSAP 개편은 한국 클라우드 산업의 경쟁력을 강화할 기회가 될 수 있으며, 이는 공공기관과 민간 기업 모두가 데이터 주권과 사이버 보안을 확보하기 위한 균형 잡힌 정책 수립으로 이어져야 할 것입니다. 추가로, 한국의 클라우드 업계는 글로벌 시장에서의 경쟁력을 높이기 위한 지속적인 노력이 필요합니다.

용어집

  • 클라우드 서비스 보안인증제(CSAP) [제도]: CSAP는 공공기관의 클라우드 서비스 보안성을 검토하여 인증하는 제도로, 공공기관에 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 한국인터넷진흥원이 주관합니다. CSAP의 개편은 국내 클라우드 서비스 기업의 경쟁력과 데이터 주권 확보에 중요한 역할을 합니다.
  • FedRAMP [제도]: FedRAMP는 미국 연방 정부가 클라우드 서비스 제공업체의 보안성을 평가하고 인증하는 프로그램으로, CSAP와 유사한 목표를 가지고 있습니다. CSAP의 개편 시 FedRAMP의 인증 기준을 참고할 필요성이 제기되고 있습니다.

출처 문서