[정보통신신문=최아름기자]

정부가 추진 중인 클라우드 보안인증(CSAP) 제도 완화가 구글, 아마존, MS 등 해외 사업자에 공공 클라우드 시장 주도권을 넘겨줄 것이라는 우려 속, 개편 속도를 늦춘 정부의 행보에 귀추가 주목되고 있다. 국내 사업자 글로벌 경쟁력을 위해서도 제도 완화는 필요하다는 시각도 있어, 개편에 대한 보다 신중한 검토가 요구되는 시점이다.

클라우드는 4차 산업혁명 기술의 조력 기술이자, 데이터 저장‧가공 처리를 위한 인프라로, 자체 전산시스템 시장을 빠르게 대체하며 글로벌 기준 600조원 규모 시장으로 지속 성장하고 있다.

국내 클라우드 시장은 그 잠재성과 중요성이 매우 크지만, 전체 시장규모 3조7238억원에 불과한 태동기다.

현재 국내 5대 기업은 해외 탑3 클라우드를 중심으로 한 클라우드로 전환 중이며, 국내 민간클라우드 시장은 이미 90% 이상을 이들이 독점하고 있다.

이에 국내 기업들은 정부가 추진하는 공공 클라우드 전환 사업에 승부수를 걸었다. 한번 계약하면 호환성 등을 이유로 쉽게 바꿀 수 없는 클라우드 특성상 국내 기업들은 공공 시장에서의 점유율 확대를 기대해온 것.

한국지능정보사회진흥원(NIA)에 따르면 올해 정부·공공기관의 전체 클라우드 사업 규모는 1조2320억원이었다.

정부의 CSAP 완화 개편 움직임이 본격화되기 시작한 것은 ‘제3차 클라우드컴퓨팅 기본계획(2022~2024)’발표로부터 9개월이 지난 6월부터다.

CSAP란 클라우드보안인증제도로 민간 기업이 공공 클라우드 시장에 진입하고자 할 경우 이 인증을 반드시 획득해야 한다. CSAP 획득을 위해서는 물리적 망분리 설치 및 알고리즘, 소스 코드 등을 공개해야 한다. 현재 CSAP를 획득한 기업은 모두 국내 기업으로, CSAP 인증을 위해 작게는 수억원에서 크게는 수천억원의 비용을 감내했다.

국가정보원은 “인증 기준이 필요 이상으로 엄격해 국내 사업자들의 시장 진입을 막고 있다”는 명분 아래, 국내 CSP들의 ‘의견을 수렴’하고, 개편안 마련에 돌입했다. 과기정통부는 지난 8월 국정현안점검조정회의에서 개편을 확정했다.

개편안의 핵심은 그간 일원화됐던 보안인증의 등급화다. 데이터와 시스템을 중요도별 3등급(상‧중‧하)로 나누고, ‘하’ 단계에서는 물리적 망분리 요건이 ‘논리적 망분리’로 완화된다.

물리적 망분리란 통신회선을 업무용과 비업무(인터넷)용으로 물리적으로 분리하는 것인 반면, 논리적 망분리는 가상화 기술을 통해 통신망을 분리해 보안성을 확보하는 기술이다.

이같은 개편 추진의 배경에는 구글 등 해외 사업자의 요청에 의한 미국의 압력이 작용한 것으로 드러났다.

지난 7월 주한미국상공회의소(AMCHAM)는 조 바이든 미국 대통령 방한 직후 이종호 과기정통부 장관에게 CSAP 완화와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다. AMCHAM은 데이터 중요도에 따라 기관을 상중하로 나눠 국방부, 외교부 등 ‘상’ 등급을 제외한 기관은 논리적 망분리만을 할 수 있도록 요청한 것으로 나타났다.

개편안이 시행될 경우 국내 공공클라우드 시장이 민간처럼 해외 사업자에 의해 잠식될 것은 시간문제라는 것이 업계의 중론이다. 현재 정부에서 발주한 공공 클라우드 전환 사업은 개편안에 따르면 모두 ‘하’ 등급에 속하는 사업들로, 해외 사업자들의 진입 ‘허들’이 전혀 존재하지 않는 상황이다.
규모의 경제가 작동하는 클라우드 시장에서 해외 사업자의 강력한 가격 경쟁력, 일원화된 서비스와 시장 규모를 작은 국내기업들은 감당할 수 없을 것으로 전문가들은 보고 있다.

국가 보안과 직결되는 데이터 보안 이슈도 불거지고 있다. 코로나19와 같은 국가위기 발생 시 해외 사업자에 국내 사업자와 동일한 의무 부여가 불가능하고, 정부의 통제 불가에 따른 국민 피해는 지속적으로 증가할 것이라는 것.

손석우 건국대 교수는 “CSAP의 완화가 정부 시스템 보안이 미칠 영향도 검토는 물론, 인증 등급 분류방식 및 기준에 대한 최소한의 부처 내 합의나 이해관계자 의견 수렴, 인증제 본질에 대한 성찰 없이 성급히 추진되고 있는 면이 없지 않다”고 말했다.

더군다나 현재 정부가 논의중인 CSAP 인증제도 3등급 구분은 데이터가 아닌 시스템을 기준으로 하고 있어 문제가 되고 있다.

국회 과학기술정보방송통신위원회 소속 윤영찬 의원은 지난 10월 국정감사에서 이와 관련해 “시스템은 다양한 데이터를 기반으로 한 여러 가지 서비스가 연계돼 있어 시스템을 기준으로 중요도를 구분한다면 민감 데이터가 하나라도 포함될 경우 나머지 모두가 상등급으로 묶이는 결과를 초래할 것”이라고 경고하며, “시스템 안에 데이터가 어떻게 연결돼 있는지를 읽어내고 그 데이터를 기준으로 중요도를 나누는 것이 클라우드의 특성을 제대로 반영한 것”이라고 일침하기도 했다.

국회 과학기술정보방송통신위원회 소속 박완주 의원은 ‘디지털 주권’ 관점에서도 글로벌 흐름에 역행하고 있는 개편이라고 지적했다.

박 의원은 “유럽에서는 EU가 지난 2018년 데이터를 국외로 이전하는 것을 규제하는 내용을 담은 데이터 보호 규제방안을 발표했고, 중국 역시 2017년 네트워크 보안법을 통해 중국 내에서 생성된 데이터를 중국 내에 저장되도록 강제하고 있다”고 사례를 제시했다.

그뿐만 아니라 지난 2020년 미국에서는 자국 클라우드 기업이 수사기관의 요청이 있을 경우 해외 서버에 저장된 데이터까지 제출해야 한다는 내용의 클라우드법(CLOUD Act)을 제정한 바 있다.

클라우드 업계는 몇 년 동안 시행해 온 제도를 단시간에 재정립해서 시행하기에는 국가의 중요 업무와 기밀 정보 등 안정성에 위협이 우려되는 만큼 중장기적으로 순차적 점검과 확인을 통한 개편이 시행돼야 한다는 입장이다.

이러한 업계와 국회 등의 강한 반발로 정부는 CSAP 개편 속도를 늦췄다. 과기정통부는 앞서 9월 말까지 세부안을 발표하겠다고 밝혔다가 10월 말로 미룬 데 이어, 현재까지도 발표를 보류하고 있다.

지난 10월 열린 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안 설명회’에서 설재진 과기정통부 사이버침해대응과 과장은 이에 대해 “여러 부처와 이해관계자가 지속적으로 논의 중이며, 등급 기준 분류 등 전체적인 틀을 모두 논의해야 하는 상황으로 현 시점에서 확정안을 발표하기는 어렵다”면서도 “CSAP 등급제 개편이 무산된 건 아니”라고 못박았다.

해외 사업자들은 이 같은 개편안에 대해 반기는 기색이다. 지난달 장화진 구글 클라우드 코리아 사장은 ‘넥스트 리캡’ 행사에서 “CSAP 정책이 바뀐다면 구글 클라우드는 관련 인증 절차 등을 통해 공공사업에 나설 예정이다. CSAP 완화가 돼 공공 고객들에게 선택권이 생기면 시장 경쟁을 통한 혁신이 가능할 것으로 본다“고 밝혔다.

반면, 국내 클라우드 산업 발전을 위해서라도 논리적 망분리는 수용해야 한다는 입장도 있다.

지난달 조승래 더불어민주당 의원 주최로 열린 ‘국내 클라우드와 IDC, 정부의 역할과 한계’ 정책토론회에서 양희동 이화여대 교수는 ”스타트업얼라이언스의 보고서에 따르면 망분리 규제 때문에 개발자들의 생산성은 50% 떨어지고 인건비는 30% 더 발생하고 있다“며 ”장기적으로는 국내 클라우드 사업자의 해외 진출 시 제3국이 물리적 망분리가 적용된 CSAP의 적용을 고집해 역효과가 발생할 우려도 있다“고 설명했다.

그는 ”다만 글로벌 사업자에게는 데이터 주권에 대한 명확한 인식을 심어줘야 하며, 이를 위해 일본, 호주 등과 함께 국제 통상 교섭 노력도 병행해야 할 것“이고 덧붙였다.

김민서 서울여대 교수는 ”자국 산업 보호 정책이 혁신이나 기업 경쟁력을 저하시킬 우려는 분명히 존재한다“면서도, ”국내 클라우드 기업 1400개 중 92.8%가 중소기업이다. 글로벌 경쟁력 확보를 위해서는 아직 많은 보호가 필요하고 거대 기업들과의 경쟁시키는 것은 부적절해보인다“고 밝히기도 했다.

이날 조승래 의원은 “한국은 미국과 중국을 제외하고 플랫폼을 보유한 유일한 나라”라며 “반독점 경쟁, 소비자 보호, 자국기업 육성의 세 박자를 갖춰야 하는 어려운 과제에 놓여 있다. 클라우드 산업이 이제 첫발을 뗐는데, 한국의 특성을 고려한 제도 설계가 절실하다”고 전하기도 했다.

최아름 기자 다른기사 보기