정부 클라우드 보안인증 정책, 정보유출 방지-양질의 서비스 제공 균형 필요 [기고/권오상]

  • 동아일보
  • 입력 2022년 5월 25일 03시 00분


코멘트
권오상 미디어미래연구소 선임연구위원
권오상 미디어미래연구소 선임연구위원
3월 30일 행정안전부가 ‘행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시(告示·이하 클라우드 고시)’를 확정, 발표했다. 앞서 1월 25일 행정 예고 당시에는 교육 목적, 공공보건 의료기관의 의료 목적, 금융회사에 해당하는 행정기관의 금융 업무 관련, 국가 연구개발 혁신을 위한 목적, 전자정부법에 따라 행안부 장관이 인정한 정보시스템 등에 대해서는 클라우드 보안인증(CSAP)이 없는 클라우드 서비스를 사용할 수 있도록 예외를 인정하는 안이 포함돼 있었다. 업계에서는 진일보한 정책이라 반기며 기대감이 컸다.

하지만 3월 30일 확정된 클라우드 고시에는 교육 목적 정보시스템을 제외하고는 CSAP에 관한 적용 예외 조항이 모두 삭제됐다. 교육 부문은 이전부터 허용됐던 분야라 사실상 과거와 달라진 게 없다. 게다가 클라우드 보안 인증 없는 클라우드 서비스를 사용하기 위해서는 국가정보원장과 사전 협의를 거치도록 하는 규정이 신설됐다. 일면 규제가 더 강화됐다고 볼 수 있으며, 이런 규제는 사용자들이 누리는 클라우드 서비스의 혜택을 제한하고 있다.

하루 뒤인 3월 31일(현지 시간) 미국 무역대표부(USTR)는 즉각 ‘세계 각국별 무역 장벽’ 보고서를 통해 한국의 공공 클라우드 인증 보안 문제를 선진국에서는 전례 없는 일이라며 한국 정부가 국제적으로 통용되는 클라우드 보안 인증 기준에 맞추도록 협의할 것이라고 밝혔다. USTR는 이 보고서에서 앞서 2016년 한국인터넷진흥원이 공공 클라우드 조달 시 클라우드 보안 인증을 받도록 했는데 이 인증이 미국 클라우드 업체에 걸림돌이 되고 있다고 주장했다. 결국 한국 시장에서만 사용할 수 있는 제품을 만들지 않고서는 이 인증을 받을 수 없다는 점을 지적한 것이다.

며칠 새 벌어진 두 사건에는 최근 급물살을 타고 있는 디지털 통상을 둘러싼 갈등이 함축돼 있다. 디지털 기술 발달에 따른 디지털 통상 확대는 교역에 소요되는 거래 비용을 혁신적으로 낮춰 기존에 국제통상에서 소외됐던 중소기업, 스타트업, 개도국 등이 국제무역과 글로벌 가치 사슬에 쉽게 합류할 수 있도록 돕는 효과가 있다. 또한 비교역재였던 교육이나 진료 등 서비스도 새롭게 무역 대상이 돼 글로벌 차원의 통상 활성화에 기여하는 결과 또한 기대할 수 있다.

반면 국가별로 자유로운 디지털 통상을 제한하는 조치들을 취하기도 하는데, 대표적인 예가 우리 정부의 데이터를 국경 안에만 두도록 하는 소위 데이터 현지화(Data Localization)규제다. 데이터 현지화를 위해 우리나라는 정부나 공공기관 등이 클라우드를 활용할 때 물리적으로 민간의 데이터와 분리하는 시설과 장비와 인력 등을 갖추도록 하는 ‘클라우드 보안 인증’을 획득한 민간 서비스만 사용하도록 규제하고 있다.

우리의 소중한 정보가 국외로 유출되는 것을 막는다는 취지에 이견을 제시할 전문가는 없다. 문제는 이런 규제가 선진국에서는 전례가 없다는 데 있다. 우리 정부가 민간 클라우드 활용을 규제하는 공공기관은 각급 학교, 연구 기관, 지자체, 국공립 의료 기관과 공공 금융회사들을 포함해 약 2만 개에 달한다. 이 기관들이 가진 데이터의 민감도나 중요도에 관계없이 클라우드를 활용하려면 클라우드 보안 인증을 받은 민간 서비스를 이용해야 한다.

클라우드 보안 인증으로 인해 각급 학교와 병원, 금융기관, 연구기관 등이 글로벌 클라우드서비스 기업의 다양한 서비스를 활용해 더 큰 부가가치를 창출해낼 수 있는 기회를 원천봉쇄당하고 있다. 정책의 수혜자들이 누리는 혜택도 단기적일 뿐만 아니라 지속 가능하지 않으며 장기적으로 글로벌 환경 측면에서 결국 벽에 부딪힐 수밖에 없다. 또한 국내 중소기업이나 스타트업 역시 이 인증을 취득하거나 유지하는 데 드는 시간과 비용을 감당할 수 없어 공공 시장 진출을 포기하고 있는 실정이다. 정보의 유출을 막기 위한 조치가 중소기업들을 막는 허들로도 작용하고 있는 것이다.

우리 정부는 디지털통상협정을 지속적으로 추진해왔다. 대통령도 디지털통상협정 체결 의지를 공약으로 밝히고 있다. 최근 한국규제학회의 한 연구에서는 클라우드 보안 인증이 디지털무역협정에 위배될 소지가 있다는 결과가 발표되기도 했다. 미국 정부는 수년째 한국의 클라우드 보안 인증을 불공정 무역 관행으로 지적하고 있다. 업계에서도 공공기관들이 국민에게 더 질 좋고 다양한 공공 서비스를 제공할 수 있는 기회를 확대하지 못하는 클라우드 보안 인증에 대한 개선이 필요하다는 의견을 제기하고 있다.

정책의 기본 방향은 클라우드 보안 인증 규제를 합리적으로 개선해 더 적은 비용으로 규모에 관계없이 기업들의 성공적인 비즈니스를 돕고, 결과적으로 양질의 서비스를 더 저렴한 가격에 국민에게 제공하는 데 둬야 한다. 정보 유출이라는 이슈에만 몰입돼 제대로 된 정책을 펼치지 못하는 것은 국익에도 도움이 안 된다. 정보의 유출을 막는 조치와 함께 새로운 서비스를 통한 혜택이라는 두 가지 요소가 균형을 찾는 정책 개발이 필요한 시점이다.

권오상 미디어미래연구소 선임연구위원
#클라우드 고시#디지털 통상#보안
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스