컨텐츠 바로가기

03.29 (금)

정부 보안인증 개편에 클라우드 업계 근심…"데이터 주권 뺏길라"

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
아주경제

<이미지를 클릭하시면 크게 보실 수 있습니다>



윤석열 정부가 올 3분기 완료 목표로 국내 공공 조달 클라우드 시장 관문인 '클라우드 보안인증(CSAP)' 제도 개편을 서두르고 있다. 인증 등급을 종전 보안 수준과 이보다 더 엄격한 수준과 다소 완화한 수준 등 세 단계로 나눠 인증 최저 기준선을 낮추는 방안이 유력하게 논의된다. CSAP 제도에 통상 마찰 소지가 있다고 주장해 온 글로벌 클라우드 사업자가 CSAP 기준 완화를 기회 삼아 국가·공공기관 수요 공략에 나설 것으로 보인다.

이에 업계에선 이제 막 클라우드 전환을 시작한 공공 분야에서 국내 클라우드 사업자들과 수요 선점 경쟁을 벌일 것이라는 관측이 나온다. 장기적으로는 연간 수백억에서 수천억원 규모의 공공부문 민간 클라우드 수요가 규모의 경제와 기술력으로 글로벌 시장을 선도하는 외국 업체 손에 넘어가고, 데이터를 비롯한 정보통신기술(ICT) 분야에 대한 국가·공공기관의 디지털 주권(digital sovereignty)마저 흔들릴 수 있다는 불안감이 팽배한다.

8일 본지 취재를 종합하면 국내 공공조달 클라우드 시장과 보안 관련 정책을 추진하는 정부 부처들이 9월 말 완료를 목표로 CSAP 제도 개편 작업에 속도를 내고 있다. 정부는 CSAP 등급을 △현행 인증 요건보다 보안 수준이 높은 등급(상) △현행 인증과 같은 등급(중) △현행 인증 요건보다 보안 수준이 낮은 등급(하) 등 셋으로 나누고 사업자가 보유한 인증 등급에 따라 해당 클라우드 서비스를 쓸 수 있는 공공 정보시스템 범위나 유형을 차등화할 계획이다.

CSAP 정책기관인 과기정통부가 제도 개편 작업을 맡았다. 과기정통부가 내건 목표는 국내 클라우드 산업 활성화와 규제 개선이다. 하지만 업계 관계자들은 실제 정부가 우선시하는 목표가 보안인증 기준을 완화해 글로벌 클라우드 사업자에 국내 공공시장 진출 기회를 열어 주는 것이라고 입을 모은다. 지난달부터 CSAP 제도 개편을 논의하기 위해 여러 번 마련된 간담회에서 과기정통부 관계자들과 만나 관련 설명을 들은 국내 사업자들이 내린 결론이다. 아직 행안부와 국정원 등 유관 부처 간 입장차도 남아 있는 분위기다.

윤석열 정부가 CSAP 제도 개편 추진 과정에 기존 정책 목표와 조화를 이루거나 민간 산업과 시장에 끼칠 영향을 충분히 고려하지 않았을 것이란 진단이 나온다. 과기정통부 관계자는 이와 관련된 문의에 "제도 개편 방안은 아직 결정된 것이 아니고 내부적으로 논의 중인 사안"이라며 "(CSAP 인증을 3단계로 세분화하는) 등급제 자체가 어떻게 될지 결정되지 않았다"고 답했다. 이 관계자는 또 "산업적인 영향 등을 구체적으로 말씀드리긴 곤란하다"면서도 "개정되면 (클라우드) 산업에 도움이 되는 방향으로 갈 것"이라고 덧붙였다.
섣부른 CSAP 제도 개편 부작용 우려…정부에 "국익 고민해야"

하지만 국내 클라우드 사업자들은 이런 정부의 메시지를 대체로 믿지 않는다. 익명을 요구한 클라우드 업계의 한 관계자는 "그간 정부 간담회에서 CSAP 제도 개편안을 제시하고 의견을 달라고 했는데 (개편 방향에 대해) 긍정적으로 답한 곳은 없는 것으로 안다"면서 "정부가 (CSAP 제도 개편으로) '국내 사업자에게 피해가 가지 않도록 하겠다'고 얘기했지만 이를 위해 명확한 방안을 갖고 있지 않았고, 업계에 파급력이 큰 정책인 만큼 '공청회를 열자'는 제안도 나왔는데 그럴 의지는 없어 보였다"고 설명했다.

오히려 사업자들은 정부가 CSAP 제도의 클라우드 산업과 시장에 대한 영향력을 간과한 채 두 달이 채 남지 않은 목표 일정에 맞춰 일방적으로 개편안을 밀어붙일 수 있다고 우려를 표하고 있다. 익명을 요구한 또 다른 클라우드 업계 관계자는 "공공부문 보안인증과 관련된 제도 개편을 이렇게 단기간에 추진하는 건 유례가 없다"면서 "주무 부처가 섣부른 제도 개편을 추진해 산업 기반을 해칠 뿐 아니라 국가 안보와 데이터 주권마저 침해될 수 있는데 이 정책이 국익에 부합하는 일인지 심도 깊이 고민할 필요가 있다"고 주장했다.

실제로 윤석열 정부는 디지털 주권 확보에 대해 뚜렷한 관심이나 의지를 보이지 않는다. 출범 후 발간된 '120대 국정과제'에서 주권을 명확히 강조한 분야는 △식량 주권 △지방 과학기술 주권 △해양 주권 △문화 주권 등이다. 과기정통부 소관 국정과제인 '민·관 협력을 통한 디지털 경제 패권국가 실현'을 위해 클라우드·소프트웨어 분야를 인공지능과 데이터의 핵심 인프라로 규정하고 있지만 정작 데이터나 디지털 신기술 분야 주권 확보와 강화를 논하지는 않았다.

업계는 정부가 검토하고 있는 CSAP 제도 개편 방향에 대해 자국 정부 시스템 통제권을 강화하는 글로벌 흐름에 역행할 뿐 아니라 민간 클라우드 시장을 글로벌 기업이 선점한 상황에서 자국 산업과 기업을 육성하기 위한 정책으로 보기 어렵다고 비판한다. 앞서 소프트웨어 업계에서 공공 클라우드 시장에 공급하는 서비스형 소프트웨어(SaaS)를 각 사업자 클라우드 환경에 맞춰 여러 벌 만들고 각각에 CSAP를 취득해야 해서 비용 부담이 크다고 호소했는데, 이 문제를 고려한 흔적이 정작 이번 CSAP 제도 개편안에 전혀 없다는 것도 문제다.

이번 CSAP 제도 개편이 장기적으로 공공 인증 제도에 대한 신뢰도를 떨어뜨리고 기존 과기정통부 산업 정책과 맞물려 있는 소프트웨어 기업 육성 효과도 저해할 수 있다는 비관론마저 불거진다. 업계는 CSAP 제도 개편을 위해 표면적으로 움직이고 있는 부처가 과기정통부지만 실질적인 정책 추진 의지는 국무총리실에서 나오는 것으로 인식하고 있다. 사업자들은 과기정통부가 소프트웨어 기업 육성이라는 핵심 분야 정책 목표 우선순위를 젖혀 놓고 기한 내 제도 개편을 서두르는 이유도 여기에 있다고 본다.
CSAP 개편, '통상 문제' 거론해 온 미국 정부·기업에 유리해지나

이제까지 CSAP를 취득한 사업자는 모두 국내 기업이다. 그렇다고 현행 CSAP 제도가 글로벌 기업을 원천 배제한 것은 아니다. 검증 대상 클라우드 서비스가 CSAP 인증 기준을 준수한 것으로 확인되면 그 운영사가 국내 업체든 글로벌 업체든 인증을 취득할 수 있다. 다만 국내 사업자와 달리 글로벌 사업자는 현행 인증 기준 가운데 민간 서비스와 별도로 운영·관리되는 데이터센터 구축을 요구하는 '물리적 망 분리'와 클라우드 운영 환경 안전성 검증을 위한 '소스 코드 제출' 등 기준을 현실적으로 수용할 수 없다는 입장을 유지해 왔다.

미국 연방 정부 통상정책을 총괄하는 무역대표부(USTR)는 몇 년째 무역장벽보고서를 통해 인증 취득 요건에 물리적 망 분리 등을 포함하는 CSAP가 한국 공공조달 클라우드 시장에서 '무역 장벽'으로 작용한다고 주장해 왔다. 이는 미국 연방 정부가 주한미국상공회의소(AMCHAM) 등을 통해 수렴한 자국 클라우드 사업자 입장을 대변한다. 윤석열 정부가 물리적 망 분리 등 CSAP 취득 요건으로 포함된 주요 인증 기준을 완화하면 이런 CSAP 제도 개편이 글로벌 클라우드 사업자가 원하는 형태로 공공시장 진출 기회를 열어 주는 셈이 된다.

CSAP 제도 개편이 이대로 추진되면 당장 공공·민간 클라우드 관련 행안부·과기정통부 전략도 수정이 불가피하다. 앞서 행안부는 2021년부터 2025년까지 진행되는 '행정·공공기관 정보자원 클라우드 전환·통합 추진계획'을 통해 모든 국가·공공기관 정보시스템을 클라우드 기반으로 전환하기로 하고 올해 2100여개 시스템 전환에 2400억원 규모 예산을 배정했다. 과기정통부는 지난해 마련한 '제3차 클라우드 기본계획'을 바탕으로 올해부터 2024년까지 클라우드 대전환을 통해 디지털 선도국가로 도약하기 위한 3대 전략과 11개 과제를 추진하고 있다.

CSAP는 2015년 처음 발표된 '클라우드컴퓨팅 기본계획'에 따라 지난 2016년부터 과기정통부와 산하기관 한국인터넷진흥원(KISA)이 시행 중인 산업 보안 인증 제도다. 공공기관에 안전성·신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 운영된다. CSAP 평가·인증 기관인 KISA가 클라우드 사업자 신청을 받아 클라우드 서비스형 인프라(IaaS), 데스크톱(DaaS), 소프트웨어(SaaS) 등 분야별 인증기준에 맞는 관리적·물리적·기술적 보호조치와 공공기관용 추가 보호조치가 이뤄졌는지 확인하고 평가 결과에 따라 최장 5년간 유효한 인증서를 발급한다.

CSAP 제도 시행 6년간 국내 사업자들은 인증서 68건을 취득했고 현재 63건에 대한 인증 자격을 유지하고 있다. 이 가운데 아마존웹서비스(AWS)·마이크로소프트(MS) 등 업계 선두를 달리는 글로벌 기업이 취득한 인증서는 하나도 없다. 이들은 국내에서 수년간 인증서를 취득해 공공 시장을 공략하기보다 광범위한 민간 시장을 선점하는 데 주력했다. 후발주자인 KT, 네이버, NHN, 카카오 등 국내 주요 ICT 기업은 글로벌 클라우드 기업과 전면전을 벌이는 대신 공공을 비롯해 국내 산업별 맞춤 서비스를 제공하고 업종 특화 경쟁력을 키우며 성장했다.

아주경제=임민철 기자 imc@ajunews.com

- Copyright ⓒ [아주경제 ajunews.com] 무단전재 배포금지 -
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.