[단독] 미국 무역대표부 "한국 클라우드보안인증 부담돼"

연례 무역장벽보고서 '불만 수위' 높여

클라우드 공공조달 항목 첫 분리 서술

"전용 시설 요구, 美 기업에 핵심 장벽"

행안부 공공 클라우드 전환 계획 주시

"韓과 협력" 美 정부 차원 첫 의지 표명

[사진=게티이미지뱅크]

미국 정부가 한국의 클라우드보안인증(CSAP) 제도를 자국 클라우드 사업자에 '부담스러운 무역장벽'이라고 규정했다. 세계시장을 장악하고 있는 아마존웹서비스(AWS)·마이크로소프트(MS) 등의 미국 클라우드 사업자가 CSAP 자격을 취득하지 못해 한국 공공시장에선 문턱조차 밟지 못하고 있는 상황에 대한 불만을 노골적으로 드러낸 것이다.

한국 정부는 '민간 클라우드 퍼스트' 기조를 앞세워 오는 2025년까지 모든 행정·공공기관 정보시스템을 클라우드로 전환하는 사업을 추진 중이다. 정부부처·지자체·산하기관·교육기관에 클라우드 서비스를 제공하려는 사업자는 민간 기업용 클라우드와 물리적으로 분리된 시설을 운영하는 등 인증 기준을 갖춰, 공공기관용 클라우드 서비스에 대한 CSAP를 취득해야 한다.

CSAP는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 시행 중인 산업 보안 인증 제도로, 지난 2015년 제정된 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률'에 근거를 둔다. 미국 정부는 지난 2017년부터 한국의 클라우드컴퓨팅법에 근거한 '가이드라인' 때문에 자국 기업이 공공조달 시장에서 차별을 받고 있다고 주장하면서 간접적으로 CSAP에 대한 문제를 제기했다.

미국은 지난해엔 CSAP를 처음으로 직접 언급, 한국 공공조달 시장에 자국 기업의 진입이 '금지돼 있다'고 표현했다. 2022년 미국 정부 차원에서 CSAP와 관련해 한국 정부와 협의하겠다며 대응 수위를 높이겠다는 의지를 보이고 있다. 일각에선 공공조달 클라우드 시장에서 CSAP 제도가 미국과의 통상 마찰을 빚게 할 수 있다고 주장하지만, 한국 정부는 그럴 가능성을 부인해 왔다.
 

2021년도 공공조달 암호·보안 항목에 CSAP 첫 언급…2022년 별도항목으로 분량확대·서술구체화

4일 본지 취재를 종합하면, 미국 무역통상정책 총괄기관인 무역대표부(USTR)는 최근 발간한 '2022년도 국별무역장벽보고서'에 한국의 무역장벽을 서술하면서 공공부문 클라우드 시장과 관련된 항목을 대폭 수정·추가했다. 한국에서 공공기관의 민간 클라우드 시장이 본격적으로 열리는 가운데 제품·서비스 공급 기회가 제한될 수 있다는 자국 기업들의 우려를 반영한 것으로 해석된다.

USTR은 한국의 CSAP 제도와 관련된 상황을 설명하기 위해 새 보고서에 '공공부문 클라우드서비스 조달을 위한 클라우드보안인증(Cloud Security Certification for Public Sector Cloud Service Procurement)'이라는 소제목을 붙인 항목을 추가했다. 앞서 발간된 2021년도 보고서는 '정보통신기술 장비 공공 조달을 위한 암호·보안 요건'이란 항목의 한 문단으로 한국의 CSAP 제도를 처음 언급했는데, 이를 별도의 소제목과 두 문단으로 구성된 항목으로 분리해 더욱 구체적으로 서술한 것이다.

USTR은 이번 보고서에 "2016년 KISA는 공공부문 클라우드 서비스 조달을 관할하는(governing) CSAP를 만들었다"면서 "정부 소속 고객만을 위한 전용 시설을 분리해 한국 고유 제품을 만들지 않고는 일부 인증 요건을 충족할 수 없기 때문에, (CSAP가) 한국 공공부문 클라우드 시장에서 미국 사업자에 핵심장벽(key barrier)"이라고 진단했다.

이 기관은 또 "국가안보 관련 용도 외엔 일반적으로 공공·민간 부문 고객이 같은 컴퓨팅 자원을 공유하고 강력한 접근 제어가 적용되는 '멀티테넌트' 아키텍처를 채택한 여러 선진국에서는 전례가 없는 일"이라면서 "한국의 부담스러운(onerous) CSAP 요구사항은 미국의 클라우드 사업자가 모든 정부부처, 지자체, 산하 공공기관, 교육기관(초등학교부터 대학교까지)을 망라한 클라우드 시장에 참여할 능력을 제한하는 조건을 만들었다"고 주장했다.
 

한국 시장에 눈 부릅뜬 미국 "CSAP 취득 사업자만 공공조달 참여…근거 체계 격상 국회서 논의"

USTR은 한국에서 공공조달용 민간 클라우드에 CSAP를 요구하는 근거 조항을 정부 고시에서 법률로 격상하는 법 개정안이 지난 2021년 7월 발의돼 국회에 계류 중이라는 점까지 지적했다. 실제로 양정숙 의원이 현행 과학기술정보통신부 고시로 규정된 CSAP 취득 요건과 인증 대상의 지정·취소 근거를 상위 체계인 법률로 관리하는 클라우드컴퓨팅법 개정안을 발의한 적이 있다. 통과되지도 않은 국내 법안에까지 미국 정부가 관심을 기울이고 있음을 시사한다.

USTR은 미국 클라우드 사업자가 한국의 공공 조달 시장으로 진입할 수 있는 길을 모색하겠다는 미국 정부 차원의 의지를 드러냈다. 보고서에 "한국 국회는 CSAP를 고시에서 법적 요건으로 격상시키도록 하는 내용으로 2021년 7월 제출된 클라우드법 개정안을 검토하고 있다"면서 "미국은 한국의 클라우드 보안 인증 요건을 국제적으로 인정되는 다른 표준에 맞추기 위해 한국과 지속적으로 협력하겠다"고 밝혔다.

USTR은 보고서에 지난 2021년 7월 행정안전부에서 발표한 '행정·공공기관 정보자원 클라우드 전환·통합 추진계획'도 직접 언급했다. 이 보고서에서 "한국은 모든 정부 데이터를 클라우드로 이전할 것이라고 발표했지만, CSAP를 취득한 클라우드 사업자만이 정부의 디지털전환 이니셔티브에 참여할 수 있다"고 지적하면서다.

행안부 계획에 따르면 한국 정부는 2021년부터 2025년까지 총 8600억원을 투자하고, 민간 클라우드를 적극 활용해 1만여개 행정·공공기관 정보시스템을 클라우드로 100% 전환한다. 이 계획이 발표되자 민간 기업 투자 위주였던 한국 시장에 상당한 공공조달 클라우드 수요가 형성되고, 전체 국내 클라우드 시장을 키워 줄 것이라는 기대가 국내 클라우드 사업자들 사이에 형성됐다. 정부의 2021년 클라우드산업 실태조사 보고서에 따르면 2020년 기준 국내 클라우드 시장 규모는 약 4조원으로 추산됐다.