클라우드 시대 개막 후 기업의 관심은 ‘보안' 분야에 쏠린다. 클라우드는 개방형이라는 특성 탓에 폐쇄적으로 운영하는 온프레미스(소프트웨어를 서버에 직접 설치해 쓰는 방식)보다 보안에 취약하다.
하지만 클라우드 도입을 통한 디지털 전환은 피할 수 없는 트렌드다. 최근 코로나19 백신 예약 시스템 오픈 후 발생했던 먹통 사태와 학생들 교육을 책임지는 EBS 온라인 강의 오류 등 문제는 클라우드를 왜 도입해야 하는지 보여줬다.
그동안 보수적이던 공공분야에도 클라우드 바람이 분다. 보안 등을 이유로 자체 전산실을 운영하던 공공·행정기관들이 정보시스템을 클라우드로 전환한다. 다만, 클라우드 서비스 보안인증(CSAP)을 받아야 한다는 단서 조항 때문에 잡음이 상당하다.
국내 클라우드·보안 기업들은 CSAP 인증 과정이 복잡하고 시간이 오래 걸린다고 지적한다. 외산 클라우드 기업은 사실상 인증 획득이 불가능하다고 토로한다. 글로벌 시장에서 뛰는 외산 업체들은 상대적으로 시장 규모가 작은 한국 공공시장을 위해 물리적 망 분리를 위한 자체 데이터 센터를 구축하기 어렵다고 본다. 투자 대비 수익(ROI)이 나오지 않기 때문이다.
과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 CSAP 평가와 인증을 담당하지만, 공공분야 보안을 국가정보원이 담당하고 있다. CSAP에 국정원이 연결되는 구조다.
최근 행안부는 민간 클라우드 활성화를 돕고자 CSAP를 받지 않은 클라우드 서비스 허용 방침을 내비쳤지만, 국정원이 이에 제동을 걸었다. 국정원은 금융, 의료 분야 민감 데이터의 보안이 뚫리면 국가 안보에 문제가 생긴다고 봤다. 결국 금융과 의료 분야에서의 CSAP 의무화에 힘을 실었다.
국정원 측은 원론적인 입장만 내놓는다. 최근 CSAP 관련 논란에 대해 "국내 기업과 해외 기업에 동일한 기준이 적용되며, 해외 기업에 대한 차별은 존재하지 않는다"고 밝혔다.
전 세계 클라우드 시장 점유율 1~3위를 차지하는 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등은 CSAP 때문에 국내 공공 시장에 진입하지 못한다. 외산 클라우드를 사용해 클라우드 서비스를 제공하는 중소·중견기업과 스타트업들도 덩달아 공공 시장 진출의 길이 막혔다.
CSAP 이슈는 잘못하면 국가 간 무역분쟁의 불씨가 될 수 있다. 미국 무역통상정책 총괄기관인 무역대표부(USTR)는 최근 몇 년간 보고서를 통해 한국의 CSAP가 미국 사업자의 주요 장벽으로 작용하고 있다고 지적했다. 한국 정부 차원의 대응책 마련이 필요한 셈이다.
보안을 위한 인증 제도를 만든다는 것은 잘못된 것이 아니다. 하지만 반드시 필요한 곳에만 적용할 필요가 있다. 공공·행정기관 시스템은 1만개가 넘는데, 모든 시스템에 CASP를 적용할 필요는 없다. 국가 안보와 관련한 영역은 아니기 때문이다. 일부 업체만 활약하는 두터운 진입장벽 쌓기는 괜한 오해와 분란을 일으키는 씨앗이 될 수 있다. 어느 정도는 비집고 들어올 수 있는 틈을 열어줘야 하지 않을까.
물론 CSAP를 통한 토종 클라우드 기업의 시장 점유율 증가는 긍정적 부분이다. 거꾸로 외산 클라우드를 활용한 서비스형소프트웨어(SaaS)를 제공하는 국내 기업은 장벽이다. 새롭게 출범하는 정부는 현실적이고 냉철한 판단을 통해 CSAP 이슈에 대응해야 할 것이다.
류은주 기자 riswell@chosunbiz.com