미래부, '클라우드 정보보호 고시' 확정…'CC인증' 규제 그대로

[아시아경제 강희종 기자]미래창조과학부는 지난 4일 '클라우드컴퓨팅서비스 정보보호에 관한 기준(정보보호 고시)' 및 '클라우드컴퓨팅서비스 품질·성능에 관한 기준'(품질·성능 고시)을 고시했다고 7일 밝혔다.

이번 고시는 지난해 시행된 '클라우드컴퓨팅 발전법'과 '제1차 클라우드 기본계획' 및 '클라우드 정보보호 대책'에서 시행하기로 한 사항이다. 이를 통해 공공부문을 포함한 클라우드 이용자를 보호하기 위한 세부적인 제도 마련이 완료됐다.

정보보호 고시에서는 클라우드서비스 제공자에게 권고하는 정보보호 측면의 기술적·관리적·물리적 보호조치 기준과 더불어, 공공기관의 민간 클라우드 이용에 필요한 보안인증제 운영 근거 및 인증 세부기준을 함께 정했다.

품질·성능 고시에서는 클라우드 시장이 초기형성 단계임을 감안해 클라우드서비스 품질·성능의 주요항목 등 서비스 품질·성능의 조기 향상을 위한 기본적인 측정기준을 제시했다.

서석진 미래부 소프트웨어정책관은 "국내 클라우드 산업 활성화를 위해서는 정보보호 및 품질·성능 경쟁력 강화가 필수적인데 이번 고시 발령을 통해 클라우드서비스 수준이 업그레이드 되고, 공공부문의 클라우드 도입도 조속히 확산될 것"이라고 기대했다.

하지만 이번 고시에는 그동안 공청회 및 의견수렴 과정에서 제기됐던 문제들이 반영되지 않았다. 대표적인 조항이 공공기관에 클라우드를 제공하기 위해서는 국정원의 CC인증을 받도록 한 규정이다.

미래부는 고시의 '공공기관용 클라우드컴퓨팅서비스 추가 보호조치' 사항에서 "클라우드컴퓨팅서비스 구축을 위해 도입되는 서버·PC 가상화 솔루션 및 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용해야한다"고 규정했다.

국내 클라우드 기업들은 국정원 CC인증을 받기 위해서는 1억원 이상의 비용이 들고 기간도 1년 이상 걸린다는 이유로 대체 방안을 강구해줄 것을 요구해 왔다. 이에 대해 미래부 관계자는 "관련 기관과 논의한 결과 국정원CC인증을 대체하기 어렵다는 결론을 내렸다"며 "대신 CC인증 기관을 수를 대폭 늘려 비용과 시간을 단축하도록 조치할 계획"이라고 설명했다.

한편, 고시에 따르면 공공기관에 클라우드 서비스를 제공하기 위해서는 국내에 데이터센터를 두어야 하고 일반 클라우드 서비스와는 망을 분리해야 한다. 고시는 "클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고, 공공기관용 클라우드컴퓨팅서비스의 물리자원(서버, 네트워크, 보안장비 등), 출입통제, 운영인력 등은 일반 이용자용 클라우드컴퓨팅서비스 영역과 분리해 운영해야 한다"고 규정했다.

강희종 기자 mindle@asiae.co.kr