□ EU, ‘클라우드 서비스 인증 개정’ 움직임에 非EU 기업･단체 등 촉각

ㅇ 최근 EU 차원에서 非유럽권 기업(미국 IT기업)이 주도하고 있는 클라우드 시장에 대응해 유럽의 디지털 주권을 강화해야 한다는 인식 확산

- 클라우드 경쟁력은 디지털 경제와 직결되어 있고 디지털 전환과 4차 산업혁명의 핵심 요소인 ‘데이터’를 확보하는 핵심 인프라이기 때문

※ 시너지리서치그룹에 따르면 유럽 클라우드 시장 규모는 꾸준히 성장하고 있으나, 유럽업체의 점유율은 지속 하락. 상대적으로 아마존웹서비스･구글클라우드･마이크로소프트와 같은 미국 빅테크가 72% 차지(’22.2분기 기준)

ㅇ 이에 ENISA(EU Agency for Cybersecurity)는 클라우드 서비스 보안 강화 취지로, EU 회원국이 클라우드 서비스 공급자(CSP) 선택 과정에서 非EU 국가의 간섭을 방지하고 제한하는 것을 목표로 하는 EUCS 개정안 추진과 입법화 속도

- 지난 5월에 제안한 개정 초안에 따르면 EU 회원국에 본사와 글로벌 본사가 위치해 있고 EU 법인이 완전히 소유하고 관리하는 클라우드 서비스 제공업체(CSP)만 입찰 가능

- 또한 클라우드 유지 관리 서비스는 EU지역 내에서 운영･유지 관리되어야 하며 모든 클라우드와 관련된 고객 데이터 역시 EU 지역 내에서 저장 및 처리할 것을 명시

- 유럽법원에 분쟁 관할권을 부여하고 非EU 투자자들은 EU 내 서비스에 관여하지 않는다는 내용도 포함

ㅇ 이에 대해 미국 상공회의소, 외국무역협의회, 컴퓨터통신산업협회, 일본 신경제동맹(JANE), 영국 기술조합(테크UK), 라틴아메리카 인터넷연합 등은 성명서를 내고 ENISA가 제안한 새로운 클라우드 인증제도를 채택하지 말 것을 촉구(12.1)

- 이들은 EUCS 개정안은 非EU 업체가 EU업체와 동등한 조건으로 EU 시장에 접근할 수 없도록 하는 것이라며 잠재적으로 유럽에서 사용할 수 있는 클라우드 제품 수를 줄여 더 높은 비용을 초래할 것이라고 반박

- 또한 개정안이 세계무역기구(WTO) 협정과 EU의 정부조달협정을 준수하는지에 대해서도 의문을 제기

□ EUCS 개정안 추진은 신중하게 진행 중…각국 이해관계도 상이

ㅇ ENISA는 非EU 국가･업계의 우려에 대해 EUCS 개정 작업을 아직 완료하지 않았으며 균형있는 접근 방식 논의가 진행 중이라고 설명

ㅇ 또한 제안된 변경 사항 중 많은 부분이 민감한 정부 데이터나 중요 인프라와 관련되는 ‘최고 수준의 보안이 필요한 경우’에 한정될 것이라고 언급

ㅇ 이어 EU 회원국의 자발적 판단에 따라 이 조항을 수용할지 여부를 결정할 것이며 “만약 주어진 보안 수준에서 클라우드 서비스의 안전성이 보장되지 않으면 적용되지 않을 것”이라며 우려 불식

ㅇ 이미 ‘SecNumCloud*’를 도입한 프랑스를 비롯해 독일, 이탈리아, 스페인 등은 이번 개정안에 대한 찬성 의사 표명

* 프랑스 국가사이버보안국(ANSSI)이 신뢰할 수 있는 클라우드 사업자에게 제공하는 인증

ㅇ 반면, 아일랜드･스웨덴･네덜란드는 해당 조항들이 사이버 보안인증 체제에 해당하지 않는다는 견해

□ 마이크로소프트(MS)는 ‘라이선스 관행 불공정’ 이유로 유럽위원회 제소

ㅇ 유럽 클라우드인프라서비스제공업협회(CISPE: Cloud Infrastructure Service Providers in Europe)는 MS의 소프트웨어 라이선스 관행이 불공정하다는 소장을 지난 11.9일(현지 시각) 유럽위원회에 제출

- CISPE는 소프트웨어 라이선스 시장에서 MS의 지배적 위치가 클라우드 인프라 시장에 대한 경쟁 우위를 유지하기 위해 활용됐다고 주장

- MS는 생산성 소프트웨어에 더 높은 가격을 부과하고 BYOL(Bring Your Own License) 거래를 금지. 또한 부당한 청구 관행을 요구하고 라이선스 조건을 사후에 변경한 뒤 제품을 함께 묶음으로써 경쟁 클라우드 서비스와의 공정한 경쟁을 저해했다는 혐의

- CISPE 사무총장(프란시스코 밍고런스)은 성명서에서 ‘MS는 생산성 소프트웨어의 지배력을 활용해 유럽 고객이 다른 클라우드로 이동하려는 선택을 제한하고 비용을 과장해 유럽 디지털 경제를 왜곡하고 있다고’ 언급

ㅇ MS는 지난 10월 라이선스 변경으로 전 세계 고객과 클라우드 제공업체에 클라우드에서 소프트웨어를 실행하는 더 많은 옵션을 제공할 수 있게 되었다고 설명

- 이는 라이선스 문제를 해결하고 모든 공급자가 성장할 수 있는 경쟁 환경을 지원하기 위한 것이라고 반박

□ 국내에서도 ‘클라우드 보안인증 등급제’ 개편 여부에 촉각

ㅇ 과기정통부는 ‘클라우드컴퓨팅 서비스 정보보호에 관한 기준’ 개정안 설명회를 개최(11.14)하며 CSAP 등급제 개편과 관련해 디지털플랫폼정부위원회 중심으로 아직 등급제 논의를 진행하고 있다고 설명

- CSAP(Cloud Security Assurance Program)는 공공 클라우드 시장에 진입하기 위한 필수 요소로 클라우드 시스템 중요도를 3단계로 구분해 단계별로 보안 수준을 충족하는지 안전성･신뢰성을 검증하는 제도

- 올해 8월 발표한 CSAP 개편안은 시스템 및 데이터 중요도에 따라 3단계로 구분하되, 하위 등급에 대해서는 규제를 완화하는 것이 골자

- 이 개편안을 도입하면 중요도가 높은 시스템에는 현재와 동일한 수준의 보안이 적용되고 보안 등급이 낮은 시스템에는 완화된 규제가 적용

- 즉, 현재 공공 클라우드 분야에는 NHN클라우드, 네이버클라우드, KT클라우드 등 국내 클라우드 사업자만 진출할 수 있지만 CSAP 개편안 통과 시 물리적 망 분리 조건이 사라져 구글･아마존･MS 등 해외 사업자 참여가 가능하다는 점에서 국내 업계는 우려

ㅇ 우리 정부는 등급제에 대한 다양한 이해관계자 의견을 수렴하여 세부 사항을 결정해 나가겠다는 입장

ㅇ CSAP 등급제 개편안에 대한 업계･부처 간 협의･조율이 길어지면서 인터넷 기반 자원공유(클라우드) 보안인증 제도의 법적 근거를 마련한 「인터넷 기반 자원 공유(클라우드)컴퓨팅 발전 및 이용자 보호에 관한 법률」 개정법*을 먼저 시행(’23.1.12) 예정

* ‘인터넷 기반 자원공유(클라우드)컴퓨팅서비스 정보보호에 관한 기준(고시)’에 근거를 두고 있던 인터넷 기반 자원공유(클라우드)컴퓨팅서비스 보안인증(’16.6.1~) 관련 사항을 법률로 규정

- (인증･평가기관 지정절차 등) 지정공고 방법, 제출서류 등 업무수행 요건･능력 판단기준, 재지정･지정취소 등 규정(제3조~제8조)

- (인증･평가 신청･수수료) 기업 부담경감을 위하여 일정 요건에 따른 경우 평가 생략이 가능함을 규정하고, 수수료 산정 방식 규정(제9조~제13조)

- (인증･평가 방법 등) 인증･평가 기준, 평가원 자격, 최초･사후･갱신평가 및 인증위원회 구성･운영(KISA) 등 규정(제14조~제32조)