한국에서 공공 클라우드 시장이 개막하지만, 다국적 클라우드 기업은 속앓이 중이다. 새로운 매출처를 확보할 수 있다는 기대감도 있지만, 시장 진출을 위해 클라우드 보안인증제(CSAP)를 통한 허들이 상당히 높은 탓이다.
CSAP는 과학기술정보통신부가 2015년 제정된 클라우드 컴퓨팅 발전법에 따라 시행 중인 인증 제도다. 과기정통부 산하기관 한국인터넷진흥원(KISA)의 평가·인증을 거친 클라우드서비스 사업자는 서비스형인프라(IaaS), 서비스형소프트웨어(SaaS), 서비스형데스크톱(DaaS) 등 유형별 인증서를 발급한다. 한국 기업은 인증을 받는데 큰 무리가 없지만, 외산 업체는 CSAP를 진입 장벽으로 판단한다. 한국 공공 부문 대상 비즈니스 시 소스코드 점검, 물리적 망 분리 등 부담 영향이 큰 탓이다.
행정안전부 '행정·공공기관 민간 클라우드 활용 가이드라인'을 보면, 공공사업에는 KISA의 보안인증을 받은 IaaS와 SaaS만 공참여할 수 있다. 하지만 2021년까지 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드, 오라클, IBM 등 외국계 클라우드 서비스 기업 중 클라우드 보안인증을 받은 곳이 한 곳도 없다.
정부는 보안을 이유로 소스코드 점검과 물리적 망 분리와 같은 조건 요구한다. 하지만, 해외 기업들은 이런 요구를 과도한 것으로 판단한다.
해외 클라우드 업계 한 관계자는 "모든 공공 기관이 국가 안보 관련 정보를 다루지 않을 것이며, 대민 서비스에 한해 CSAP를 적용하지 않도록 하는 등 조치가 필요하다"며 "행정안전부가 클라우드 서비스 가이드라인에서 적용 대상을 정하고 있기 때문에 CSAP를 의무화하지 않는 기관의 범위를 늘리는 정도의 재량권을 사용해 줄 것을 요청 중이다"고 말했다.
이어 "과기정통부가 클라우드 컴퓨팅 발전법의 하위 규정 일부를 수정하는 방법도 있다"며 "디지털 무역 협정 관점에서도 CSAP는 차별적 무역 장벽이라는 지적을 계속 받고 있으며, ISO27001과 같은 보안 관련 국제표준 인증을 복수로 인정하지 않고 이런 식의 장벽을 가진 나라는 우리나라와 중국밖에 없다"고 지적했다.
미국 무역대표부(USTR)가 매년 의회에 제출하는 무역장벽 보고서(NTE 보고서)는 디지털 무역장벽에 관한 미국의 시각과 개별 국가가 추진하거나 도입하는 디지털 서비스세에 대한 미국의 입장이 담겨 있다. USTR은 2020년 발표한 NTE 보고서에서 클라우드 컴퓨팅에 있어 한국의 특정한 보안 규정이 디지털 교역 활성화를 방해하는 요소라고 지적했다.
또 다른 해외 클라우드 업계 관계자는 "CSAP를 획득한 국내 클라우드 기업들이 글로벌 클라우드 기업들보다 보안 기술이 우월하냐고 묻는다면 그렇게 보긴 어렵다"며 "대부분 해외에서는 공공기관에서도 글로벌 클라우드를 많이 사용한다"고 말했다.
글로벌 기업들은 CSAP가 국내 중소기업들에도 피해를 미친다고 본다. MS, 구글, AWS에서 구동되는 소프트웨어 서비스(SaaS)까지 인증을 받지 못하다 보니 글로벌 클라우드 기반으로 서비스를 제공하는 스타트업과 중소기업의 공공사업 입찰 참여가 제한되기 때문이다.
이같은 불만은 사실 수년 전부터 있었지만, 관계 부처인 행안부와 과기정통부는 어쩔 수 없다는 입장이다. ‘안보'가 걸린 문제라 국가정보원의 결정에 달렸다는 것이다.
국정원 관계자는 "클라우드 인증 제도의 공공과 민간 클라우드 영역 물리적 분리 조항은 공공 데이터 유출 방지와 국가의 민간 개인 정보 접근 차단을 위해 필수적이다"며 "글로벌 표준을 복수 인정하기에는 클라우드 관련 국제표준 인증 제도가 없으며, 다른 나라도 자국 상황에 맞는 별도 보안정책을 기준으로 인증 제도를 운영 중이다"고 설명했다.
국내 클라우드 업계 한 관계자는 "사업자 입장에서는 당연히 시장이 커지니 진입하고 싶은 마음은 이해한다"며 "다만, 데이터 주권과도 연관된 문제기 때문에 바뀌기 쉽지 않을 것으로 보인다"고 말했다.
류은주 기자 riswell@chosunbiz.com