한국은 공공 클라우드 시장을 열며 ‘클라우드보안인증(CSAP)’ 등급을 상중하로 나눴다. 보안 관련 민감도가 상대적으로 ‘하’ 등급은 외산 업체도 참여가 가능하게끔 문호를 개방했다. 서버를 논리적으로 분리해도 사업에 참여할 수 있도록 빗장을 열었다.
그런데 미국 정부는 하 등급은 물론 보안 기준이 높은 상중 등급 사업의 논리적 망분리를 허용해 달라고 요구했다. 남북 분단 상황인 한국의 클라우드 보안 기준을 더 낮추라는 논리를 편다. 국내 클라우드 업계는 미국의 요구에 공동 데이터 보안은 물론 데이터 주권마저 완전히 빼앗어 가려 한다며 강력 반발한다. 정부는 공문만 접수했다는 반응이다.
과기정통부는 올해 1월부터 국가·공공기관의 시스템을 중요도에 따라 CSAP 등급제를 도입해 운영 중이다. 하 등급의 경우 논리적 망분리 조건을 적용한다는 내용의 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 시행했다.
당초 국내 공공시장에 진입하기 위해서는 민간 기업용 클라우드 서버와 공공기관용 클라우드 서버를 각기 다른 공간에 조성하고, 관리 인력도 별도로 둬야 한다. 이른바 물리적 망 분리 조건이 필수였다.
이는 서버와 인력이 해외에 있는 글로벌 클라우드 사업자는 국내 공공시장 진입장벽으로 작용했다. 다시말해 국내 클라우드 사업자는 민간 시장 70% 이상을 확보한 외산 클라우드 기업이 참여하기 어려운 공공시장을 선점할 수 있는 방법이었다.
하지만 글로벌 클라우드 업체들은 미국 정부를 통해 국내에 지속적으로 압력을 가했다. 한미 통상문제로 이어질 수 있다는 우려도 나오면서 정부는 데이터 보안 중요도에 따라 상·중·하로 구분하고, 하 등급에 대해서는 물리적 망분리 외 논리적 망분리를 허용했다.
당시에도 국내 클라우드제공사업자(CSP) 사이에서는 잡음이 심했다. CSAP 획득을 위해 물리적 망 분리 등 이미 투자를 진행한 상황에서 역차별을 당했다는 목소리가 높았다.
이에 대해 정부는 기존에 CSAP 중·상 등급 등 상위 등급에 준하는 보안능력을 획득한 사업자가 역차별을 당하지 않도록 제도를 마련하겠다고 입장을 밝혔다. 그러던 중 미국 정부에서 중등급에 대해서도 글로벌 기업에 빗장을 풀라고 요구하자 잠잠해질듯 하던 국내 CSP 사이 잡음이 다시 거세지는 모습이다.
과기정통부 한 관계자는 "미국 상공회의소에서 CSAP 중등급에 대해 논리적 망분리를 허용해달라는 공문을 보냈다"며 "요구에 응하지 않을 시 불이익을 주겠다던지 패널티 관련 내용은 전혀 없고 그냥 서신만 받은 것이다"고 말했다.
그러면서 "아직 논의하고 있는 내용은 전혀 없고 공문만 받은 상태다"고 전했다.
국내 CSP들은 공공데이터 보안이나 데이터주권 문제는 물론이고 국내 클라우드 산업 발전에도 악영향을 미칠 수 있다는 우려를 보이고 있다.
클라우드업계 한 관계자는 "미국이나 일본에 해외 기업에 대한 공공 클라우드 시장 진입 규제가 없다고 해 국내도 규제를 없애야 한다는 논리는 맞지 않다"며 "체계 자체가 다르기 때문에 동일선상에서 비교하기도 어렵고, 다른나라 공공 정책에 미국이 간섭하는 것은 옳지 않다"고 말했다.
이어 "정부가 CSAP 중등급까지 논리적 망분리를 허용할 경우 공공데이터 보안은 물론이고 데이터주권마저 빼앗길 수 있고, 국내 클라우드 산업 발전에도 악영향을 끼칠 것이다"고 덧붙였다.
이인애 기자 22nae@chosunbiz.com