공공시장 진입에 필수인 클라우드서비스 보안인증(CSAP) 획득 절차가 내년부터 간편해지지만 수수료가 유료로 전환된다. 국회가 수수료 유료화, 인증기관 확대 등 개정안을 입법해 제도 효력을 강화해서다. 입법기관이 직접 제도를 손보며 힘을 실어주는 모습이지만, 공공에서 실제 클라우드 수요가 증가할 수 있을지가 관건이다.
수천만원을 들여 CSAP를 획득했는데 공공에서 수요가 없으면 클라우드 기업 입장에서는 불만이 생길 수밖에 없다. 앞으로 공공기관의 민간 클라우드 이용을 활성화하는 게 정부 새로운 과제다.
클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률은 기존에는 고시에 근거해 운영하던 클라우드 보안인증 제도 관련 사항을 법률로 상향 입법하도록 올해 1월 개정됐다. 기존에는 행정기관의 결정에 맡기던 CSAP를 국회가 직접 법으로 다스리겠다는 것이다.
이에 2023년 1월 12일부터 KISA 외 다수 기관이 평가기관으로 활동할 수 있게 된다.
그간 CSAP 인증·평가는 KISA에서 모두 책임졌다. 정부에서 무료로 인증해주던 것인데, 국회에서는 정식 법 체계 아래서 직접 근거를 두고 CSAP 제도를 운영하라며 상향 입법했다.
앞으로 KISA는 평가기관으로 선정된 공공이나 민간기관들을 관리하며 인증업무에만 주력한다. 그동안 기업들 사이에서 나오던 CSAP 평가 과정이 느리다는 불만이 해결될 것으로 기대된다.
프로세스는 빨라지겠지만 고액의 수수료는 기업에 부담이다. 변경안에 따르면 시스템 규모 500대 기준 서비스형 인프라(IaaS), 서비스형 데스크톱(DaaS) 서비스의 최초·갱신 평가 수수료는 5112만원 수준이다.
중소기업에는 정부 지원이 들어간다. 중기업 50%, 소기업 70%씩 정부에서 수수료를 지원해주는 것이다. 하지만 70%를 지원받아도 소기업이 CSAP를 획득하기 위해서는 1500만원쯤을 부담해야 한다.
국내 한 클라우드기업 관계자는 "수수료 유료화가 부담되지 않는다고 하면 거짓말이다"라며 "국회와 정부에서 결정한 일이니 기업 입장에서 의견을 내기도 조심스러운 상황이다"라고 말을 아꼈다.
정부도 이 같은 상황을 안다. 기업들의 부담을 줄여주기 위한 지원책을 마련한 이유다.
과기정통부 관계자는 "관건은 앞으로 공공에서 얼마큼 민간 클라우드를 이용할 것인가다"라며 "정식으로 인증체계가 법적 근거를 갖게 되고, 전반적인 제도 정비가 완료되면 공공의 민간 클라우드 이용도 많아질 수 있어 수수료는 크게 문제되지 않을 것으로 보인다"고 말했다.
보안취약점 점검도 평가기관이 직접 수행하는 방식에서 사업자 자체 평가를 확인하는 방식으로 절차가 간소화된다. 자체 수행이 어려운 중소 사업자는 KISA 지원을 받을 수도 있다.
특히 기존 보안인증을 받은 서비스형 소프트웨어(SaaS)를 다른 IaaS 환경에 구축하는 경우 보안인증을 다시 받아야 했던 과정도 일부 사라진다. 앞으로는 변경사항 중심의 인증·평가만을 수행하면 돼 평가항목의 40%쯤이 간소화된다.
IaaS 공급업체 입장에서도 일부 긍정적인 효과가 발생할 수 있는 변화다. 국내 한 중소 IaaS 공급업체 관계자는 "업계 1등이 아니라면 규제 완화를 계기로 타사 IaaS에 묶여있던 SaaS들이 재구축에 좀더 열리게 된다고 생각할 수 있다"고 말했다.
이어 "직접적이지는 않더라고 그렇게 된다면 시장 영향력 같은 부분에서 조금씩 변화가 생길 수 있으니 반등의 기회를 노릴 수도 있을 것 같다"고 덧붙였다.
이인애 기자 22nae@chosunbiz.com