[한‧미 디지털 무역 갈등] 韓 디지털뉴딜 미국과 통상마찰 우려

디지털뉴딜 과제, 2025년까지 공공부문 클라우드로

보안인증 취득한 민간 클라우드에도 공공시장 기회

미국 "한국 보안인증제, 미국 기업에 핵심 무역장벽"

바이든 시대 미국 보호무역주의 강화변수 주목해야

조 바이든 미국 대통령 당선인(왼쪽)과 문재인 대통령. [사진=AFP·연합뉴스]

문재인 정부가 '디지털뉴딜' 핵심 과제를 추진하는 과정에, 보호무역주의 확대가 예상되는 바이든 시대의 미국과 통상마찰을 빚을 가능성이 고조되고 있다. 디지털뉴딜 일환으로 공공 정보시스템에 도입될 민간 클라우드에 필수인 한국의 보안인증 제도를 두고, 미국이 자국의 클라우드 제공 기업에 대한 '핵심 무역장벽'이라 지목하면서다.

미국 정부는 국가 통상교섭을 총괄하는 기관 '미국무역대표부(USTR)'의 국별무역장벽보고서(National Trade Estimate Report on Foreign Trade Barriers)'를 통해 이같은 인식을 드러냈다. 이 보고서는 USTR이 매년 자국 기업·단체가 제기하는 해외시장 진출 애로사항, 정부가 수집한 자료를 토대로 미국 상품·서비스 수출에 영향을 미치는 요소를 담는다.

USTR은 보고서를 통해 이 제도가 "미국 기업이 한국 고유의 별도 제품을 제작하지 않고는 인증의 일부 구성요건을 충족할 수 없도록 한다"면서 "한국 공공부문 시장에서 미국 클라우드서비스 사업자에게 핵심 무역장벽"이라고 설명했다. 이어 "그 결과 모든 중앙·지방의 정부부처, 산하 공공기관, (초등학교부터 대학교까지의) 교육기관들에게 미국 기업의 클라우드서비스 도입이 금지돼 있다"고 진단했다. USTR이 국별무역장벽보고서에 한국의 클라우드 보안인증제를 직접 언급한 것은 이번이 처음이다. 

클라우드 보안인증제는 앞서 2017년판 보고서부터 등재된 '클라우드컴퓨팅서비스 정보보호에 관한 기준(Data Protection Standards for Cloud Computing Services)'에 대한 내용과는 별개로 다뤄졌다. 둘 다 한국의 클라우드컴퓨팅발전법을 근거로 도입됐다는 점은 같다. 다만 USTR은 기존 클라우드 정보보호에 관한 기준을 가이드라인(CCPA Guideline)으로 인식해 왔다. 일종의 '권고' 성격으로 명시적 제약 조건은 아님을 인정했던 것이다.반면 클라우드 보안인증제는 공공 클라우드 사업을 하려는 민간 기업에 명시적으로 통과가 요구된다는 점에서, USTR 보고서에서 더욱 직접적인 제약 조건으로 해석됐다.

통상전문가 관점에서 공공부문 클라우드 시장 정책과 관련해 한미간 갈등이 당장 표면화될 가능성은 높지 않지만, 이 보고서에 담긴 USTR의 시각은 해당 사안에 대한 양국의 극명한 인식차를 드러낸다.

고준성 산업연구원 선임연구위원은 "USTR 국별무역장벽보고서는 자신들의 관점에서 교역국을 상대로 국제규범 위반 소지가 있다고 판단하는 내용을 담긴 하지만 (클라우드가 포함되는) '디지털 무역' 분야에는 확립된 국제규범이나 한미자유무역협정(FTA)에 규정된 내용이나 양국간의 직접적인 논의가 없기 때문에 실제 규정위반은 아니다"라며 "다만 앞으로 디지털 무역 협상을 본격화할 경우 그런 보안인증을 얼마나 적용할 것인지 협정하자고 요구할 수는 있다"고 설명했다.

클라우드 보안인증제는 과학기술정보통신부가 지난 2015년 제정된 클라우드컴퓨팅발전법을 근거로 시행해 온 제도다. 과기정통부 산하기관 한국인터넷진흥원(KISA)의 평가·인증을 거친 클라우드서비스 사업자에게 서비스형인프라(IaaS), 서비스형소프트웨어(SaaS), 서비스형데스크톱(DaaS) 등 서비스 유형별 인증서가 발급된다. 발급된 인증서는 해당 클라우드서비스가 일정한 안전성·신뢰성·보안성 등을 충족한다는 점과, 정부·공공기관에 도입될 수 있다는 점을 나타낸다.

클라우드 보안인증제는 정부 디지털뉴딜 핵심 과제인 공공부문 정보시스템의 전면적인 클라우드 전환 정책과 맞물려 있다. 올해 7월 한국정보화진흥원(NIA·현 한국지능정보사회진흥원)은 디지털뉴딜 사업 언론브리핑을 통해 전산장비 약 18만대 규모의 전국 공공부문 정보시스템을 오는 2025년까지 공공·민간 클라우드센터로 이전하겠다는 계획을 발표했다. 이 계획에 따라 클라우드 보안인증서를 취득한 IaaS 업체들은 공공부문 정보시스템 이전이 가능한 '민간 클라우드센터'가 됐다.

한국 공공부문 IT정책 전문가 관점에서, 클라우드 보안인증을 취득한 민간 클라우드 기업에 공공 정보시스템 시장 문호를 개방한 현 정부의 조치는 민간 클라우드 사용 여지를 거의 배제했던 과거에 비해 전향적인 것으로 평가된다.

김숙경 한국과학기술원(KAIST) 기술경영학과 교수는 "과거엔 민간 기업이 공공부문에서 요구하는 보안성을 충족하기 어려웠지만, 현 정부 정책의 기조는 (전과 달리) 철저하게 공공부문에서도 민간의 클라우드를 도입할 수 있도록 하자는 것"이라며 "다만 타국 기업 관점에서는 이같은 배경보다도 다른 나라 공공부문에선 민간 클라우드를 쉽게 도입 가능한데 한국에선 왜 이렇게 어렵게 하느냐고 인식할 수도 있다"고 지적했다.

올해 코로나19 사태로 민간부문의 IT투자는 지연되거나 위축된 상태다. 공공부문 클라우드 전환을 비롯해 행정·공공기관이 민간의 클라우드를 활용하고자 추진하는 IT사업은 내년 이후 국내 IT시장의 상당 비중을 차지할 것으로 보인다. 국내에 진출한 다국적 클라우드 기업들에게 공공부문 클라우드 수요 공략의 우선순위가 예년보다 더 높아질 수도 있다.

현재 가비아·더존비즈온·삼성SDS·스마일서브·네이버클라우드·NHN·LG CNS·LG헬로비전·KT·코스콤 등 국내 기업 10개사가 클라우드 보안인증서를 취득한 IaaS 업체다. 정부 개방형 클라우드플랫폼 '파스타(PaaS-TA)' 개발사업 참여기업인 클라우드솔루션 기업 이노그리드가 자체 클라우드 IaaS에 대한 보안인증서 취득을 위한 인증 절차를 밟고 있다.

세계 클라우드시장 점유율 상위권을 차지하는 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등은 한국에 클라우드 데이터센터를 구축했지만 클라우드 보안인증서를 취득하지 않은 상태다. USTR의 보고서에 따르면 이 기업들은 한국의 클라우드 보안인증제 때문에 공공부문 사업을 수행할 수 없다고 판단한 것으로 보인다.

이는 다국적 기업들 역시 요건을 갖춰 클라우드 보안인증서를 취득하기만 하면 충분히 공공시장에 참여할 수 있다고 보는 한국 정부의 입장과는 상반된다.

클라우드 보안인증제를 맡고 있는 정재욱 과기정통부 사이버침해대응과장은 "클라우드 보안인증 요건에는 우리 정부가 요구하는 공공부문 망분리 원칙과 사용자 데이터를 국내에 둬야 하는 부분이 포함돼 있다"며 "이는 공공부문에서 사용하는 클라우드의 안정성을 위해 필요한 항목이라 미국뿐아니라 국내 기업에도 공통적으로 요구하는 사항"이라고 설명했다.

하지만 정보보안 전문가 관점에서 과거 망분리 중심 보안정책을 고집하고 있는 한국 정부의 클라우드 보안인증 취득 요건이 정보시스템 자원을 효율적으로 공유하고 데이터 활용도를 높이기 위한 클라우드 도입 취지와 맞지 않다는 지적도 제기된다.

김승주 고려대학교 정보보호대학원 교수는 "클라우드 보안인증제는 과거 인터넷과 업무망을 나눈 망분리 정책에서 기인한 것"이라며 "이를 포함한 인증을 요구하는 것은 결국 사업자에게 정부 전용 프라이빗 클라우드를 따로 만들어 달라는 얘기"라고 지적했다. 이어 "외국은 중요 데이터를 다룰 때 프라이빗클라우드를 쓰고 일반 정보는 퍼블릭클라우드에 둔다"며 "우리는 (중요도와 무관하게) 전부 프라이빗 클라우드처럼 쓰는데, 클라우드의 이점이 없지 않겠느냐"고 되물었다.

한국의 공공 클라우드 시장 확대를 동반하는 문재인 정부의 디지털 뉴딜 정책이 향후 한미간 디지털 무역에 대한 입장차를 가시화할 변수로 떠올랐다.

올해 미국 대통령 선거에서 승리한 조 바이든 당선인은 내년 1월 취임한 이후 임기 동안 트럼프 정부의 보호무역주의 기조를 이어 갈 가능성이 높은 인물로 분석되고 있다. 이 때문에 디지털 뉴딜 일환으로 공공부문 정보시스템을 클라우드로 전환하는 과정이 당국의 의지와 무관하게 내년 새로운 미국 대통령이 취할 국제통상과 자국 IT기업의 글로벌 시장 접근 정책에 영향을 받을 수 있다.

미국의 클라우드 기업들은 트럼프 체제하의 미국 정부를 상대로 그간 다양한 경로를 통해 한국의 클라우드 보안인증제와 관련된 문제를 제기해 온 것으로 알려졌다. 이번 미국 대통령 직속 정부기관인 USTR이 보고서에 클라우드 보안인증제와 관련된 내용을 추가함으로써 향후 미국 정부가 이 사안에서도 자국 기업의 이익 측면에서 더욱 관심을 기울일 것임을 예고했다.