한국클라우드산업협회 5일 국내 대·중소 클라우드 서비스 제공 사업자(CSP) 기업들과 클라우드 보안인증 등급제 고시 개정안에 대한 논의를 진행했다.
우선 이들은 클라우드 보안인증 상·중·하등급 동시 시행에 대해 상·중·하 등급의 형평성 있는 진행이 필요하다는 입장이다. 상·중등급은 실증을 진행하면서, 하등급을 먼저 시행하는 부분이 역차별이라는 점을 강조하고 하등급에 개인정보뿐만 아니라 신용정보를 포함하는 시스템도 제외가 필요하다는 점을 언급했다.
또한 국내 CSP 기업들은 클라우드 보안인증 전 등급에 대한 실증 필요성을 제기했다. 등급제 추진과 시행이 기술·보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황이므로 실증에서 굳이 하등급을 제외할 필요는 없으며 하등급 또한 부처와 공공기관 데이터에 대한 안전성을 담보해야 하기 때문에 실증이 필요하다는 설명이다.
이와 함께 클라우드 보안인증 적용 범위의 명확화에 대한 필요성도 제기했다. CSP 기업들은 공공 클라우드 시장의 수요가 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보와 등급제 추진 세부계획을 발표해야 한다고 밝혔다.
특히 이들은 의견수렴기간을 거쳐 고시 공표 후 즉시 시행인데, 행정예고가 됐음에도 사업자가 준비를 할 수 있는 부분은 없는 것이 산업계의 어려움이라고 강조했다.
국내 CSP 기업들은 무엇보다 유관부처와 사업자가 참여하는 공론의 장(위원회 및 공청회 등) 마련이 필요하다고 보고 있다. 1월 하순 클라우드 고시 개정 발령 및 국가정보보안 기본지침 시행 예정이므로 과학기술정보통신부 뿐만 아니라 유관부처인 행정안전부, 국가정보원과 사업자가 참여해 클라우드 보안인증과 국가정보보안기본지침에 대해 논의하는 위원회 또는 협의체 구성을 통해 충분한 의견 수렴이 필요하다는 얘기다.
이에 따라 기업들은 업계, 관계기관 등이 참여하는 간담회를 공개적으로 개최해 부처에서 클라우드 보안인증 등급제에 대한 명확한 방향을 제시하고 클라우드 보안인증 등급제와 관련 사안에 대해 충분히 의견을 수렴하는 공론의 장으로 마련할 것을 요청했다.
한국클라우드산업협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중으로 기업들의 기술적·정책적으로 세밀한 검토 이후 의견을 제출할 예정이다. 이와 더불어 오는 10일 국내기업(SaaS·PaaS·MSP) 회원사 대상으로 간담회 개최를 통해 실질적 공공시장 참여 확대 측면 등 고시 개정안에 대한 의견을 수렴할 예정이다.