의원실의 국정감사자료
[박완주의원실-20221011]주한미국상공회의소, 과기부에 공공의료·금융 업무 보안인증 면제까지 요구
의원실
2022-10-17 15:50:58
55
55
“주한미국상공회의소, 과기부에 공공의료·금융 업무 보안인증 면제까지 요구”
- 당초 알려진‘하’등급 망 분리 요건 완화 넘어 면제 범위 확대 및 적용 기관 축소까지 요구
- 박윤규 과기부 2차관 “공공업무 보안인증 면제 및 적용 범위 축소는 검토 안할 것”공식 답변
-
국회 과학기술정보방송통신위원회 소속 박완주(3선, 충남 천안을) 의원이 CSAP제도 개편과 관련 주한미국상공회의소가 인증 면제 범위 확대 및 적용 기관 축소를 요구한 것에 대해 묻자 과학기술정통부가 “검토하고 있지 않다.”고 밝혔다.
지난 7월 11일 주한미국상공회의소(AMCHAM)는 과학기술정보통신부에 정책건의서 형태의 공문을 발송했다.
공문에는 ‘지난 5월 한미 양국 정상께서는 회담을 통해 공정한 무역과 디지털 기술 표준 및 공급망 강화를 위한 여러 원칙에 합의’하였고, ‘미국 정부가 지속적으로 차별적 무역 장벽으로 지적해온 클라우드 보안인증 제도가 개선의 물꼬를 튼 것은 환영할 일’이라고 언급되어 있다.
이어 주한미국상공회의소는 CSAP제도의 문제점으로‘글로벌 클라우드 기술 표준에서 물리적으로 분리된 데이터 센터의 구축을 의무화하지 않는다.’며 그 근거로 ‘논리적 분리’만으로도 정부 데이터의 보안을 강화할 수 있음을 들었다.
또한 현재 미국의 보안인증제도인 FedRAMP의 의무 적용 범위가 연방정부 기관에 한정되며 주정부 및 산하기관에는 적용되지 않는다는 점을 들며 학교와 공사·공단까지 보안인증 제도 적용을 포괄하는 한국의 제도는 국내 사업자와 글로벌 사업자 간에 차등을 발생시키고 있다고 주장했다.
이러한 이유로 주한미국상공회의소는 과기부에 ① 데이터 중요도에 따른 3단계 분류 시 ‘중’, ’하’ 단계에서 논리적 분리 원칙 허용 ② 일상적 공공업무(공공의료, 공공금융, 공공교육, R&D, 공사∙공단 등)에 대한 보안인증 면제 ③ 보안인증 제도 적용 범위를 중앙행정기관(및 그 소속기관)으로 한정해줄 것을 요청했다. 기존에 알려진 ‘물리적 망 분리’ 원칙 완화를 넘어 적용 기관 축소, 공공 업무 영역 면제까지 완화 범위를 한층 확대한 건의안이다.
오늘(11일) 정보통신산업진흥원 등 6개 기관이 출석한 국정감사에서 “주한미국상공회의소의 3가지 요청에 대해 허용할 생각이 있느냐”는 박완주 의원의 질의에 박윤규 과기부 2차관은 “현재 검토하고 있지 않다.”고 답변했다.
또한 이러한 답변을 과기부의 공식 입장이라고 봐도 되겠냐는 박 의원의 질의에 박윤규 과기부 2차관은 “현재로서는 3등급제로 도입하되 ‘하’등급에서의 논리적 망 분리 여부만 검토하고 있다.”고 밝혔다. <끝>
- 당초 알려진‘하’등급 망 분리 요건 완화 넘어 면제 범위 확대 및 적용 기관 축소까지 요구
- 박윤규 과기부 2차관 “공공업무 보안인증 면제 및 적용 범위 축소는 검토 안할 것”공식 답변
-
국회 과학기술정보방송통신위원회 소속 박완주(3선, 충남 천안을) 의원이 CSAP제도 개편과 관련 주한미국상공회의소가 인증 면제 범위 확대 및 적용 기관 축소를 요구한 것에 대해 묻자 과학기술정통부가 “검토하고 있지 않다.”고 밝혔다.
지난 7월 11일 주한미국상공회의소(AMCHAM)는 과학기술정보통신부에 정책건의서 형태의 공문을 발송했다.
공문에는 ‘지난 5월 한미 양국 정상께서는 회담을 통해 공정한 무역과 디지털 기술 표준 및 공급망 강화를 위한 여러 원칙에 합의’하였고, ‘미국 정부가 지속적으로 차별적 무역 장벽으로 지적해온 클라우드 보안인증 제도가 개선의 물꼬를 튼 것은 환영할 일’이라고 언급되어 있다.
이어 주한미국상공회의소는 CSAP제도의 문제점으로‘글로벌 클라우드 기술 표준에서 물리적으로 분리된 데이터 센터의 구축을 의무화하지 않는다.’며 그 근거로 ‘논리적 분리’만으로도 정부 데이터의 보안을 강화할 수 있음을 들었다.
또한 현재 미국의 보안인증제도인 FedRAMP의 의무 적용 범위가 연방정부 기관에 한정되며 주정부 및 산하기관에는 적용되지 않는다는 점을 들며 학교와 공사·공단까지 보안인증 제도 적용을 포괄하는 한국의 제도는 국내 사업자와 글로벌 사업자 간에 차등을 발생시키고 있다고 주장했다.
이러한 이유로 주한미국상공회의소는 과기부에 ① 데이터 중요도에 따른 3단계 분류 시 ‘중’, ’하’ 단계에서 논리적 분리 원칙 허용 ② 일상적 공공업무(공공의료, 공공금융, 공공교육, R&D, 공사∙공단 등)에 대한 보안인증 면제 ③ 보안인증 제도 적용 범위를 중앙행정기관(및 그 소속기관)으로 한정해줄 것을 요청했다. 기존에 알려진 ‘물리적 망 분리’ 원칙 완화를 넘어 적용 기관 축소, 공공 업무 영역 면제까지 완화 범위를 한층 확대한 건의안이다.
오늘(11일) 정보통신산업진흥원 등 6개 기관이 출석한 국정감사에서 “주한미국상공회의소의 3가지 요청에 대해 허용할 생각이 있느냐”는 박완주 의원의 질의에 박윤규 과기부 2차관은 “현재 검토하고 있지 않다.”고 답변했다.
또한 이러한 답변을 과기부의 공식 입장이라고 봐도 되겠냐는 박 의원의 질의에 박윤규 과기부 2차관은 “현재로서는 3등급제로 도입하되 ‘하’등급에서의 논리적 망 분리 여부만 검토하고 있다.”고 밝혔다. <끝>