정부, 공공 정보보호 규제 대폭 개선 추진··· 산업계 ‘갑론을박’

이종현 2022.08.18 17:09:58

[디지털데일리 이종현기자] 공공 정보보호 규제가 대폭 개선될 전망이다. 이와 관련 산업계의 갑론을박이 한창이다.

18일 과학기술정보통신부(이하 과기정통부)는 국가정보원 등 관계부처와 함께 정보보호 규제개선 추진 상황 및 계획을 국정현안점검조정회의에서 발표했다고 밝혔다. 혁신 서비스 확산과 산업 발전을 저해하는 보안지침의 기존 규제를 대거 고친다는 방침이다.

보고된 사항은 ▲정보보호제품 보안인증 및 클라우드 보안인증(CSAP) 제도 개선 ▲위성영상 보안 규제 완화 ▲무선영상전송장비 시험인증 서비스 실시 등이다.

사이버보안업계는 정보보호제품 보안인증제도 개선에 집중했다. 현재 공공 분야에 정보보호제품을 공급하려면 공통평가기준(CC)인증이나 보안기능확인서 등을 받아야 하는데, 평가기준이 없는 제품의 경우 수요가 있더라도 공급하지 못하는 상황이다.

이에 과기정통부는 패스트트랙 제도인 신속확인제를 도입, 평가기준이 없는 신기술 및 융·복합 제품도 공공기관에 납품할 수 있도록 한다는 계획이다.

홍진배 네트워크정책실장은 “신속확인제를 통해 신속확인 기관 및 위원회 등의 검토과 심사를 거쳐서 확인서를 발급받으면, 외교나 국방 등 민감한 기관을 제외한 공공기관에서는 제품을 이용할 수 있도록 할 것”이라며 “4분기부터 시행할 예정으로, 필요한 절차를 위해서는 2~3개월 정도 소요될 것으로 추정된다”고 말했다.

과기정통부는 제도 시행 정 국내 사이버보안 기업을 대상으로 신속확인 신청 방법 및 운영 절차 등을 안내하는 설명회를 진행할 예정이다.

이와 관련 국내 보안기업 관계자는 “CC인증의 폐쇄성에 대한 대안으로 보안기능확인서가 등장했지만, 여전히 많은 문제가 있다. 정부가 밝힌 신속확인제가 업계의 가려운 부분을 긁어줄 것으로 기대한다. 다만 산업계에서 바라는 정도일지는 제도기 시행돼야 알 것 같다”고 전했다.

신속확인제와 함께 발표한 CSAP 제도 개선의 경우 논란에 휩싸였다.

과기정통부는 기존 획일인 CSAP 체계를 시스템 중요도에 따라 3등급으로 구분하는 등급제를 적용하겠다고 밝혔다. 현재 적용 중인 CSAP 평가기준을 보완·완화해 보안 위험이 상대적으로 낮은 공개 데이터를 다루는 클라우드에 대해해서는 부담을 완화하겠다는 취지다.

다만 국내 클라우드 업계에서는 공청회도 거치지 않고 지나치게 빠르게 개선 작업에 나섰다며 정부 발표에 각을 세우는 중이다. 아마존웹서비스(AWS)로 대표되는 외산 클라우드가 시장을 지배하는 가운데, 규제로 외산 클라우드의 진입이 어려웠던 공공 클라우드 마저도 개방된다면 국내 클라우드 기업으로서는 타격을 받을 수밖에 없다.

외국계 기업과 국내 기업의 입장이 엇갈렸다. 국내 클라우드 기업 관계자는 “현재와 같이 공공의 민간클라우드 시장 확대가 정체된 상황에서 CSAP 세분화를 하는 목적이 불분명하다. 등급제를 도입한다면 기존에 CSAP로 이관하지 않았던 행정-공공기관의 모든 업무정보시스템도 민간클라우드로 이전될 수 있다는 전제가 우선돼야 할 것”이라며 비판적인 입장을 전했다.

반면 외국계 클라우드 기업 관계자는 “한국 정부, 국내 고객사 및 파트너사의 요구사항을 지원하기 위해 최선을 다하고 있다. 한국 정부가 클라우드에 대한 국제 표준 인증을 채택함으로써 공공 서비스의 효율성을 개선하고 정보기술(IT) 지출 비용을 줄이기 위한 혁신을 가속화할 수 있을 것”이라고 기대감을 내비쳤다.

이와 관련 과기정통부는 오는 9월 출범하는 디지털플랫폼정부위원회를 통해 논의를 이어가겠다는 입장이다.