AWS·MS·구글 등 외산 업체가 최근 울상이다. 행정·공공기관 대상 정보시스템을 클라우드로 전환하는 사업(이하 공공 클라우드 전환 사업)을 추진 중인 행정안전부(이하 행안부)는 3월말 고시를 개정했는데, 새로운 고시에서는 외산 클라우드 사업자의 참여 여지를 막았다. 일부 업체는 당혹감을 보인다.
행안부가 공공 클라우드 전환 사업 고시를 개정하기 전 행정예고한 ‘행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시(이하 이용기준)’를 보면, 외산 업체의 참여 길이 열려 있었다. 교육(초 중등교육법), 의료(공공보건의료에 관한 법률), 금융(전자금융거래법), 연구개발(국가연구개발혁신법) 분야 참가 기업은 보안인증(CSAP)을 받지 않아도 됐던 덕이다. 하지만 고시에서는 해당 조항이 빠졌다.
보안인증(CSAP)은 공공기관에 클라우드를 공급할 때 반드시 받아야 하는 인증이다. 그동안 공공 클라우드 시장 진입을 노리는 외산 기업의 진입 장벽이었다. 인증을 받으려면 검증 기관에 소스코드를 전달해야 하는 탓이다.
애초 행안부 행정고시에는 교육, 의료, 금융, 연구개발 등 분야만 예외적으로 CSAP 인증 얘기가 없었는데, 최근 관보에 게재된 고시 개정안에서는 예외 조항이 빠졌다. 개정된 이용기준 고시에서는 ‘보안 인증을 받지 않은 클라우드 컴퓨팅 서비스를 이용하고자 하는 경우 국가정보원장과 사전에 협의를 거쳐 이용할 수 있다’는 문구가 들어갔다. 국정원의 허락 없이는 금융, 의료 분야에서 외산 클라우드 서비스를 사용할 수 없는 셈이다.
글로벌 클라우드 1~3위 사업자인 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드(GCP) 등은 공공 클라우드 사업 중 대민 서비스와 같이 국가 안보와 관련없는 업무에 한해 클라우드보안인증(CSAP) 의무화 해제를 요청해 왔다. 결과적으로 행안부는 개정된 고시를 통해 외산 업체의 요구를 받아들이지 않기로 했다.
한 외산 클라우드 기업 관계자는 "국정원과 협의를 통해 서비스를 할 수 있다고 돼 있지만, 이대로 될 것이라고 생각하는 사람은 아무도 없을 것이다"며 "미국 무역대표부(USTR)에서도 굉장히 예민하게 받아들이는 문제인 만큼, 행안부가 극히 일부라도 풀어줘야 국가 간 불필요한 논쟁을 없애는 데 도움이 될 것이다"고 말했다.
행안부 관계자는 "고시 직전까지 국정원과 예외 적용 가능 분야를 놓고 조율하느라 관보 게재 일정까지 지연이 됐다"며 "우리는 우리대로 국정원에 건의할테니 업계는 업계대로 건의를 해 달라"고 말했다.
류은주 기자 riswell@chosunbiz.com