[정보세계정치학회 칼럼] 공공기관 클라우드 보안기준의 필요성

2024-10-14 16:21
  • 카카오톡
  • 네이버 블로그
  • url
미국, 한국 클라우드 보안기준 인증인 CSAP에 과도한 차별인 무역장벽 주장
하지만 미국도 CLOUD Act 제정 등 통해 데이터 안보 관련 ‘공공의 안전’ 제도 수립
한국 역시 데이터 안보 조치로 국가 안보 관련 공공데이터 안전 보장 등 대응 필요


[보안뉴스= 이효영 국립외교원 부교수] 데이터 현지화(Data Localisation) 조치는 대표적인 데이터 안보 강화를 위한 정책 수단이다. 자국민의 데이터가 역외로 이전되거나 역외에서 저장 및 처리될 경우 해당 데이터에 대한 통제권을 상실하게 된다는 우려에서 비롯된다.


[이미지=gettyimagesbank]

특히 데이터 현지화 조치는 정부 당국이 자국민의 개인정보를 보호하기 위한 목적 및 규제 목적으로 필요한 데이터에 대한 접근권을 보장하기 위해 도입되기도 하며, 국가안보의 관점에서 민감한 데이터에 대한 보호 수단으로서 신뢰할 수 없는 국가로부터 데이터 접근권을 제한하기 위해 도입되기도 한다. 이 외에도 기술 발전 속도로부터 뒤처지지 않기 위해 데이터 현지화 조치를 통해 대량의 데이터를 다루는 외국 기업에 대해 국내 시장에서의 활동과 경쟁력을 제한하고자 하는 목적도 있다.

최근 데이터 안보에 대한 인식이 확산되면서 국가별 데이터 현지화 조치도 지속적으로 증가하고 있는 추세다. OECD 자료에 따르면 2017년 35개국에서 67건의 데이터 이전 제한 조치가 도입됐다면 2020년에는 62개국에서 144건의 데이터 이전 제한 조치가 도입된 것으로 집계된다.

특히 최근 5년간 데이터 현지화 조치의 도입 건수가 크게 늘어난 것으로 나타나는데, 2021년 기준으로 도입된 데이터 현지화 조치 중 70%는 가장 강력한 형태의 데이터 현지화 조치인 데이터의 국외이전 금지 및 현지 저장 요구인 것으로 나타났다.

개도국의 비중이 높은 OECD 비회원국들은 데이터의 현지 저장과 함께 데이터의 국외 이전 금지를 의무화하는 가장 강력한 형태의 데이터 현지화 조치를 많이 도입하고 있는 것으로 드러났다.

따라서 대량의 데이터 및 빅데이터를 다루는 클라우드 컴퓨팅 분야에서는 데이터의 저장 및 처리 문제가 매우 중요하다. 특히 자유로운 국경간 데이터 이전이 허용되는 환경에서는 가장 효율적인 서비스가 제공될 수 있다. 클라우드 컴퓨팅은 데이터를 인터넷상에 저장해두고 인터넷에 접속만 하면 언제 어디서든 다양한 IT 서비스를 활용할 수 있도록 하는 서비스이며, 인공지능과 빅데이터 처리를 위한 기본 인프라로 부상했다.

이에 따라 데이터의 자유로운 국외이전을 제한하는 데이터 현지화 조치는 클라우드 컴퓨팅 서비스 시장의 성장에 부정적인 영향을 줄 것으로 우려되고 있다.

그러나 다른 한편으로 정부당국 및 공공기관의 입장에서는 클라우드 서비스의 활용을 위해 자국 밖에 저장되어 있는 자국민의 데이터에 대해 외국정부가 접근할 수 있다는 것은 리스크 요인이며 국가안보 사안으로 간주되고 있다.

특히 외국 클라우드 서비스 사업자들의 데이터센터에 정보를 저장할 경우 해당 정부의 열람 대상이 될 수 있다는 점이 우려되고 있으며, 외국의 클라우드 서버에서 개인정보가 유출될 경우 구제받기 힘들다는 점도 우려사항이 되고 있다. 무엇보다 미국은 해외 데이터 접근권을 명시하고 있는 CLOUD Act에 따라 역외에 있는 자국 기업의 클라우드 서버에 저장된 데이터에 접근할 수 있도록 법제도를 마련 중인 상황이다.

이와 같은 국가 데이터의 유출 관련 국가안보 리스크에 대응하기 위해 우리나라는 공공기관 클라우드 보안 정책의 일환으로 ‘공공기관 클라우드 보안 인증 제도(Cloud Security Assistance Program, CSAP)’을 채택하고 있다.

공공기관 클라우드 보안정책은 정부 및 공공기관의 클라우드 서비스 도입을 위해 준수되어야 하는 보안 기준을 마련하고 있다. 과학기술정보통신부의 CSAP 인증 제도를 활용해 CSAP을 통과한 클라우드 서비스는 공공기관 클라우드 보안 기준을 만족한 것으로 간주해 국가기관으로의 도입을 허용하고 있다.

이와 관련해 최근 몇 년간 미국은 우리나라의 CSAP에 대해 글로벌 클라우드 서비스 제공 기업들에 대한 디지털 무역장벽이라고 문제를 제기해왔다. 2021년 이후 미국무역대표부(USTR) 무역장벽보고서(NTE Report)를 통해 한국의 CSAP 제도를 지적해 왔으며, 우리의 CSAP 보안 기준으로 인해 미국 클라우드 서비스 제공업체들이 한국의 공공 클라우드 시장에 진출하지 못하고 있다고 주장하고 있다.

특히 우리나라의 CSAP 보안 기준을 충족하려면 미국 클라우드 서비스 제공업체들이 한국 시장 진출을 위한 고유한 클라우드 서비스 제품을 만들어야 하기 때문에 한국의 중앙 및 지방정부부처, 공공기관 및 교육기관으로의 서비스 제공을 위한 공공조달 시장으로부터 배제되어 왔다는 것이다.

무엇보다 CSAP 보안기준 중 △데이터 현지화 △안정성이 검증된 정보보호 제품의 사용 △정부에서 인증한 암호화 알고리즘 사용 △물리적 망 분리 등의 요건들이 글로벌 표준에 부합하지 않는 과도한 차별적인 무역장벽이라 주장해왔다.

미국의 지속적인 보안기준 완화 요구에 대응하기 위해 우리 정부는 지난해 CSAP를 개정해 보안등급을 3등급으로 구분해 물리적 망 분리 조건을 완화했다. ‘상’과 ‘중’ 등급으로 분류되는 보안등급이 높은 공공 데이터에 대해서는 물리적 망 분리 조건을 지속 적용하고, 보안등급이 낮은 ‘하’ 등급으로 분류되는 데이터에 대해서는 논리적인 망 분리를 허용해 알고리즘을 통해 민간 및 공공 데이터를 구분하도록 했다.

이 외에는 백업 시스템에 대해 현지화 요건을 부과하고 클라우드 서버 관리 인력도 현지화하도록 요구하고 있다. 또한 안보, 외교, 금융 관련 데이터에 대해서는 계속 현지화 요건이 적용되도록 했으며, 공공기관 데이터의 저장 위치를 공공기관이 지정할 수 있도록 새로운 의무규정이 신설됐다.

미국도 CLOUD Act의 제정 등을 통해 데이터 안보 관련 ‘공공의 안전’을 보장하기 위한 제도를 수립하고 있으며, 데이터 안보를 위한 정부 및 수사기관의 규제 권한을 확대하기 위한 움직임이 진행 중이다.

결국 공공데이터와 관련해 ‘공공이익’ 및 ‘공공안전’ 관점에서 우리나라와 미국 등 주요국들이 동일한 방향성을 추구하고 있는 상황이므로, 이러한 점을 염두에 두고 미국이 우리와의 통상현안으로 제기하고 있는 문제에 대한 대응이 필요할 것으로 보인다.
[글_이효영 국립외교원 부교수]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기