올해 10월 SK C&C 판교 데이터센터(IDC) 화재로 인한 카카오톡 서비스 마비로 사회적으로 큰 혼란이 일어나면서 정부가 IDC를 적극적으로 관리해야 한다는 목소리가 나온다. 다만 과도한 시장 개입 시 정부 검열 논란이 일 수 있어 신중한 상황이다.
클라우드 업계도 정부의 역할에 고민이 많다. 정부가 클라우드보안인증(CSAP) 등급제 도입을 논의하면서 국내 기업이 글로벌 업체에 공공시장을 뺏길 수 있다는 지적이 이어진다. 정부가 국내 클라우드 기업을 역차별한다는 것이다.
반면 해외 클라우드 사업자의 국내 공공시장 진입을 막고 있는 정부 논리에 허점이 많다는 지적도 나온다. 국민들의 사생활 영상을 해외에 유출한 월패드 해킹 사건 때도 논리적 망분리를 허용했던 정부가 물리적 망분리를 의무화하면서 해외 클라우드 기업의 CSAP 획득을 막고 있는 행위가 논리에 맞지 않는다는 것이다.
이 자리에서 ▲김정삼 과학기술정보통신부 정보보호네트워크정책관 ▲김민서 서울여대 교수 ▲김종효 인포스탁데일리 전문위원 ▲박세웅 클라우드산업협회 팀장 ▲최양오 ISD기업정책연구원장 등이 토론자로 나서 의견을 나눴다.
조승래 의원은 "국내 클라우드 산업은 이제 막 발걸음을 뗐다고 본다"며 "한국적 특징을 고려하면서 제도를 만들어야 우리나라 클라우드 생태계가 제대로 만들어질 것이라고 생각한다. 토론자들 좋은의견 내주시길 바란다"고 인사말을 전했다.
정부 클라우드 전환 사업이 쏘아올린 ‘CSAP 논란’
먼저 손석우 건국대학교 겸임교수가 ‘해외사업자만 득보는 공공클라우드 규제 완화…도대체 왜?’를 주제로 발제했다.
손 교수는 "10월까지 정부의 개편안이 확정돼 개정까지 이루겠다는 계획을 갖고 있다가 지금은 잠정 보류된 상태다"며 "민간 업계쪽이나 각 이해관계 측 의견수렴이나 더 깊이있는 논의와 면밀한 검토가 필요하다는 공감대 이뤄지고 있다"고 말했다.
현재 부처 내에서도 CSAP 등급제 찬반 의견이 갈리는 상황에서 등급기준을 어떻게 나눌 것인지 조차도 명확한 기준이 없다.
특히 국내 클라우드 업계에서는 이용자별로 데이터베이스를 분류해 저장하도록 하는 요건들 완화해 달라고 요청했는데, 정부는 이런 부분을 논의하지 않고 등급제 도입을 논의하고 있으니 업계 반발이 당연하다는 의견이다.
손 교수는 "아주 기본적인 얘기지만 클라우드생태계 전체를 고려한 정책을 검토해야 한다"며 "시간을 가지고 여러 이해관계자들 의견을 모아 조금 더 생택 전체를 고려한 정책을 구상할 필요가 있다"고 지적했다.
양희동 이화여자대학교 교수는 ‘정부의 클라우드 전환 사업 문제점 및 개선방안’을 주제로 발제를 이어갔다.
현재 공공산업 관행을 바꾸지 않는한 제도만 바꾸는것으로는 국내 클라우드 생태계 발전을 돕는다고 보기 얼렵다는 입장이다.
클라우드는 표준제품을 가져다 쓰는 것인데, 수요자인 정부가 와서 맞춤제작(커스터마이징) 해달라고 하면 클라우드의 매력이 사라진다는 것이다. 정부 입맛에 맞춰 지속적으로 시스템을 변경해주다 보면 눈에 보이지않는 비용들이 증가하며 사업자들 입장에서 이득이 없을 수 있다는 우려다.
근본적인 클라우드 시장에 대한 이해와 함께 업체들의 입장도 고려해줘야 한다. 등급제로 국내 기업을 보호할 수 있다는 생각은 무리라는 얘기다.
스타트업얼라이언스가 2021년 4월 발표한 보고서에 따르면. 망분리 규제 때문에 개발자들 생산성이 절반으로 떨어지고 인건비는 30%가 더 발생했다.
양 교수는 또 최근 우크라이나 정부 키이우 데이터센터 파괴 때도 이미 데이터가 외국에 저장돼 있어 데이터 소실을 최소화했던 것처럼 국가비상발생시 국가데이터 외국 저장도 필요하다고 설명했다.
특히 "국민들의 사생활이 노출된 월패드 해킹 당시에도 논리적망분리를 허용했는데 CSAP에서만 물리적망분리만 고집하는 것도 모순이다"고 꼬집었다. 논리에 어긋난 주장을 이어가는 정부가 외산 클라우드의 공공시장 진입을 막을 명분이 없다는 주장이다.
이어진 토론에서는 산학연 전문가들이 모여 첨예하게 가리는 의견을 나눴다.
먼저 CSAP 등급제 도입 이유에 대해 묻는 사회자의 질문에 김정삼 과학기술정보통신부(과기정통부) 정보보호네트워크정책관은 "공공서비스 혁신과 국내클라우드 소프트웨어산업 경쟁력 강화를 위한 CSAP가 현재 하나의 등급으로 가는게 맞냐는 의문에서였다"며 "익숙한 방식이 있는데 공공부문 담당자들이 굳이 사고라도 나면 책임져야 하는 민간 클라우드를 쓸 것인가 하는 고민에서 그 근거로 보안 등급을 상중하로 등급을 나눠 안전성 신뢰성 보장하려는 목적이다"고 설명했다.
그러면서 "CSAP관련 다양한 의견이 있고 고려해야 할 부분이 많다 보니 전체적으로 협의가 안된 부분이 있어 계속 논의 중이다"며 "시기를 특정해서 언제쯤 논의 결과를 정부측에 제안을 해줄지 모르겠지만 계속 논의를 하고있다. 보류는 아니다"고 강조했다.
CSAP 등급제 도입 반대 의견 많아…해외업체, 국내에서 혜택 주면 규제권도 줘야
김민서 서울여자대학교 교수는 "우리나라 클라우드 시장점유율을 보면 아마존이 50%이상을 차지하고 있다. 우리나라 주요기업들 합보다 더 큰 상황이다"며 "(공공부문까지 열어주면) 우리는 해외기업들에게 시장을 다 장악하도록 만들어놓은 상황이다"고 말했다.
이어 "전문가들은 해외사업자들이 CSAP를 받는 것은 어렵지만 불가능한 수준은 아니다라고 말하고 있다"며 "정부가 해외사업자 진입을 더 쉽게 만들어주는 것이다"고 전했다.
김종효 인포스탁데일리 전문위원은 ‘동일혜택 동일규제’에 중점을 뒀다.
김 위원은 "구글 클라우드 같은 외산업체는 검찰을 대동하고 가도 허가받지 못하면 회사 안으로 들어갈 수 없는 것으로 안다"며 "논리적 망분리를 허용할 거면 적어도 구글이나 아마존에 정부가 특정 정보를 요구할 때 분명히 물리적 망분리를 해야하며, 그렇게 하지 않으면 징벌적 손해배상을 청구하겠다라는 명확한 규정이 만들어지지도 않은 상태에서는 (공공시장 개방이) 말도 안된다"고 목소리를 높였다.
불법행위 등을 저질러 수사가 필요한 상황에서도 외국기업의 경우 기업의 허가가 없으면 국내에서 강제로 수사할 권리가 없기 때문이다.
박세웅 클라우드산업협회 팀장도 "공공업무 성격상 민감정보 취금 안정성 보안성 확보해야 한다는 것에는 모두가 공감할 것이다"며 "하지만 클라우드 보안인증을 규제로 바라보는 시각이 문제다"는 입장을 밝혔다.
CSAP는 규제가 아니라 민감한 공공데이터를 다루는 클라우드서비스에 대한 최소한 보안요건으로 규제가 아니라는 것이다.
그러면서 "기존 정부정책에 맞춰 투자를 진행했고 믿고 따라서 진행했던 국내 클라우드 기업들의 경우 인증제도 완화 논의 힘이 빠지는 상황이다"며 "이런 논의들은 충분한 협의를 거쳐 진행돼야 한다고 생각한다"고 말했다.
대부분 외산업체에 공공 클라우드 시장을 개방하는 것에 대해 부정적인 견해를 가지고 있었다. 결론은 같지만 그에 따른 다양한 이유에 대해 소통하는 자리였다.
상대적으로 카카오 장애를 일으킨 IDC 관련 논의는 간단히 마무리됐다.
국민 생활에 큰 어려움을 줄 정도로 사회에서 중요한 역할을 하고 있는 IDC 장애에 대해 정부의 확실한 대응 방안과 매뉴얼이 필요하다는 입장과 과도한 개입 시 민간서비스 독창성과 혁신성이 떨어질 수 있다는 우려가 동시에 나온다.
데이터주권을 잃지 않는 선에서 정부의 역할도 일부 필요하다는 입장에는 이견이 없었다.
이인애 기자 22nae@chosunbiz.com