정부, 클라우드 보안인증 고시 개정 추진…공공 조달 시장 문턱 낮춘다

올 8월 공식화 '등급제' 개정안 1월까지 행정예고

"개정 고시 공포 후 下등급, 연내 中上등급 시행"

업계 반발한 下등급 '물리적 망 분리' 완화 유지

下등급 통해 美中 업체 공공 시장 진입 가능할 듯

국정원·행안부 소관 中上등급 시장 열릴지 미지수

[사진=게티이미지뱅크]

국가·공공기관용 민간 클라우드 시장 문턱을 낮추는 윤석열 정부의 '클라우드 보안인증(CSAP)' 등급제 개정 방향이 29일 과학기술정보통신부 행정예고로 윤곽을 드러냈다. 현행 CSAP에 규제 부담을 호소했던 국내 중소·중견 서비스형소프트웨어(SaaS) 기업과 글로벌 클라우드 시장 선두를 다투는 아마존웹서비스(AWS)·마이크로소프트(MS) 등이 내년부터 공공 시장에 진입할 수 있다.

과기정통부는 이날부터 내년 1월 18일까지 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정예고한다고 밝혔다. 개정안에 따르면 정부는 차등화한 CSAP 평가기준에 따라 '상·중·하' 3등급으로 민간 클라우드 서비스에 인증을 부여한다. 상 등급은 평가기준을 더 강화하고 중 등급은 현행 수준 유지, 하 등급은 '물리적 망 분리' 대신 '논리적 망 분리' 허용 등으로 완화한다.

물리적 망 분리는 민간 클라우드 기업이 클라우드 서비스를 제공하기 위해 구축한 전산장비에 연결되는 민간·공공 영역 네트워크를 물리적으로 분리해야 한다는 보안 요구사항이다. 이를 구현하려면 민간 기업이 이용하는 일반 인터넷과 국가·공공기관이 이용하는 전용망에 연결하는 전산시스템 등 IT자산을 따로 구성, 구축하고 두 곳에서 개발·운영·유지보수 업무도 분리해야 한다.

글로벌 클라우드 기업은 상대적으로 특별히 크지 않은 한국 공공 시장만을 위해 별도의 클라우드 서비스를 구축하는 IT자산·인력에 투자할 수 없다고 판단해 그간 CSAP 취득에 유보적이었다. 과기정통부 행정예고대로 내년 중 CSAP 등급제 개편을 통해 논리적 망 분리를 허용하는 하 등급이 시행되면 얘기가 달라진다. 미국뿐 아니라 중국 클라우드 기업도 공공 문턱을 넘을 수 있다.

네이버클라우드·NHN클라우드·KT클라우드·카카오엔터프라이즈 등 국내 사업자들은 기업용 시장에서 글로벌 업체와 경쟁하는 한편, 이들이 없는 공공 시장에서 사업 기회를 적극적으로 발굴해 왔다. AWS·MS는 CSAP를 취득하지 않고 기업용 클라우드 시장에서만 국내 사업자와 경쟁했음에도 이미 일반 기업 시장에서는 국내 사업자보다 많은 점유율을 차지하고 있다.

과기정통부는 "하 등급 시스템에 대해 글로벌 경쟁 환경 조성과 보안성 측면을 고려하고 상·중 등급 시스템에 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다"는 입장이다. 하지만, 큰 수익 기반을 확보하고 있는 글로벌 사업자와 상대적으로 규모가 작은 국내 사업자 간 경쟁이라는 기업용 클라우드 시장 구도가 향후 공공 시장에 재현될 것이란 우려가 나온다.

과기정통부는 이번 행정예고 기간을 거쳐 내년 초 고시를 공포한 이후 하 등급 인증을 시행하고, 나머지 등급 인증은 디지털플랫폼정부위원회와 관계부처 검증을 통해 세부 평가기준을 보완해 내년 안에 시행할 예정이다. 이번 물리적 망 분리 완화 방침은 앞서 대외에 알려진 뒤 산업계에서 반발했음에도 정부가 유지하는 것으로, 행정예고 기간에 정부 방침이 뒤집힐 가능성은 적다.

그간 공공 부문 민간 클라우드 시장을 선점하기 위해 현행 CSAP 제도에 맞춰 적지 않은 비용을 투자해 공공기관 전용 데이터센터 인프라를 구축하고 별도 서비스를 개발, 운영하고 있는 네이버·NHN·KT·카카오 등 국내 클라우드 기업들에게는 장기적으로 투자 대비 이익을 실현하는 데 불리한 환경이 될 전망이다.

윤영찬 의원(더불어민주당)은 이번 과기정통부 고시 개정 추진에 대해 "CSAP 제도개선을 밀어붙이면 우리 클라우드 산업은 미래를 장담할 수 없게 된다"며 "중·상 등급에 대한 시장 개방이 '깜깜이'인 와중에 하 등급을 완화하면 이미 95%가 외국기업에 잠식당한 민간 시장처럼 공공시장 마저도 내 주게 되고 국내기업들은 설 자리를 잃게 될 것"이라고 내다 봤다.

윤 의원은 또 "시장에 사업적 영역이 확대될 것이라는 확신을 먼저 주고 난 뒤 하 등급 논리적 망 분리를 고려해도 늦지 않기 때문에 지난 국정감사에서 중·상 등급에 대한 개방 문제를 먼저 해결해야 한다고 지적했다"며 "하지만 과기정통부는 어떤 이유에서인지 완전히 반대로 가고 있어 하 등급 완화를 위해 다른 것들을 들러리로 세운 것이 아닌가 하는 의구심이 든다"고 지적했다.

CSAP 등급제 개편은 국무총리실 차원에서 논의를 시작해 지난 8월부터 정부가 공식 추진 중인 과제다. 과기정통부 행정예고에서 나온 개편 방향은 기존 정부 방침에서 크게 달라진 바 없다. 정부는 당초 올해 3분기 확정된 개편안을 내놓겠다고 했다가 사안의 중요성 대비 이해관계자 의견 수렴 노력이 미흡했다는 비판이 일자, 산·학·연·관 등 각계 의견을 듣겠다며 한 발 물러섰다.

개편 이후 CSAP를 취득할 클라우드 기업은 상·중·하 가운데 원하는 등급을 신청해 받으면 되는데, 각 등급의 민간 클라우드로 접근할 수 있는 공공 시장이 형성될지 불분명하다. 민간 클라우드를 이용할 공공기관이 자체 운영 중인 시스템을 정부의 중요도 분류 기준·절차에 따라 어떤 CSAP 등급이 적합할 것인지 판단해야 하는데, 이는 국가정보원·행정안전부 소관이다.

과기정통부는 우선 '개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템'이 CSAP 하 등급을 받은 민간 클라우드에서 운영될 수 있다고 설명하고 있다. 나머지 중·상 등급 민간 클라우드에서 운영될 수 있는 시스템은 각각 '비공개 업무자료를 포함 또는 운영하는 시스템'과 '민감정보를 포함하거나 행정 내부업무 운영 시스템'으로 언급하고 있다.