[컴퓨터월드] 공공 클라우드에 대한 관심이 높아지는 상황 속에서 정부‧공공기관에 클라우드 서비스를 공급하기 위해 필요한 ‘클라우드 서비스 보안인증 제도(CSAP)’가 이슈가 되고 있다. CSAP 제도 개편을 두고 과학기술정보통신부(이하 과기정통부), 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(국무총리실 산하) 등 관련 부처 간 입장 차이가 있음은 물론, 제도 개편에 대한 국내 클라우드 서비스 제공사(CSP)들로부터 반대 목소리가 나오면서 이해 관계가 충돌하고 있는 것이다.

특히 기존 CSAP 보안인증을 데이터의 민감도에 따라 ‘상’, ‘중’, ‘하’ 등 세 등급으로 통합‧개편한다는 정부의 계획에 국내 CSP들이 거세게 반발하고 있다. 무엇보다 민간 시장에서 힘겹게 외국 CSP와 경쟁하고 있는 국내 CSP들은 이번 개편으로 해외 CSP가 공공 시장에 무혈입성할 것으로 예상하면서 공공 클라우드 시장마저 빼앗길 수 있다고 우려하고 있다. CSAP 완화‧개편 작업과 관련한 현 상황과 이를 바라보는 업계의 시각은 어떠한지 상세히 짚어본다.

급물살 탄 CSAP 완화‧개편

CSAP는 공공기관에 안전성 및 신뢰성이 검증된 클라우드 서비스를 공급하기 위해 지난 2015년에 만들어진 제도다. 이용자의 보안 우려 해소는 물론, 국내 클라우드 업체의 서비스 경쟁력 확보에도 목적을 두고 마련됐다. 처음 CSAP가 등장했을 당시 업계는 크게 반발했다. 평가 항목이 너무 많은 데다 시간과 비용이 생각보다 많이 들어갔기 때문이다.

이후 한국규제학회가 CSAP를 중국 사이버 안보법과 유사한 규제라고 규정하면서 지난해 12월 본격적으로 CSAP 완화‧개편에 대한 필요성이 제기됐다. 학회는 국제표준을 반영하지 않고 국내에서만 통용되는 기술을 요구하는 CSAP가 세계 시장에서 국내 클라우드 기업 및 기술이 고립되는 상황을 초래하는 규제 장벽이 될 수 있다고 지적했다. 이에 따라 한국규제학회는 보안 우려 해소를 목적으로 행정기관, 공공기관, 지방공사 및 공단, 학교, 정부출연 연구기관 등 총 1만 3,000여 기관에 적용되는 CSAP를 개선해야 한다는 입장을 내놨다.

올 5월 들어서는 사이버안보비서관실 회의가 개최되며 CSAP 인증제도를 세분화하자는 얘기도 나왔다. 며칠 뒤 조 바이든 미국 대통령이 방한한 이후에는 주한미국상공회의소(암참, AMCHAM)에서 과기정통부 장관에게 CSAP 완화와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식도 전해졌다.

이는 그간 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등 국내에 진출한 미국 기업들이 공공 진출의 걸림돌이 됐던 물리적 망분리에 대한 문제를 미국 정부를 통해 해결하려 했던 것으로 풀이된다. AWS, MS, 구글 클라우드 등은 암참을 통해 논리적 망분리를 허용할 수 있도록 정부에 꾸준히 요구를 해왔던 것으로 알려졌다.

이후 6월 초 국가정보원은 국내 CSP로부터 CSAP 완화에 대한 의견을 듣는 자리를 마련했다. 이때 처음으로 데이터 중요도에 따라 CSAP를 상, 중, 하 등급으로 나눈다는 얘기가 나왔다. 이와 함께 기존 CSAP 등급 대부분을 ‘중’ 등급으로 상향 조정해준다는 내용도 처음 공개됐다.

업계에 따르면 마침내 지난 6월 29일에는 국무총리 지시로 과기정통부에 CSAP 완화‧개편 지시가 떨어진 것으로 전해진다. 바로 다음날인 6월 30일 과기정통부는 ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외 진출 지원방안’을 주제로 ‘제2차 디지털 국정과제 연속 현장 간담회’를 열고 “CSAP SaaS 기준을 완화하기 위해 관계 기관(국가정보원)과 협의 중이며 이르면 3분기, 늦어도 연내에 데이터 중요도에 따라 등급을 분류하고 제도를 완화하겠다”고 발표했다.

또한 업계 한 관계자에 따르면 7월 1일에는 암참의 주최로 만찬 자리가 있었고, 국무총리가 만찬에 참석해 양국의 우호를 증진하기 위해 규제를 혁신하겠다고 선언했다고 한다. 이날 국무총리의 규제혁신 선언과 관계가 있는지는 단언할 수 없지만, 7일 뒤인 7월 8일에 과기정통부는 CSP 8개사를 소집해 회의를 진행했다. 이날 “CSAP를 완화, 개편하는 이유가 무엇인가”에 대한 CSP들의 질문이 빗발쳤지만, 과기정통부는 이에 대해 명확한 답을 하지 못했다고 일부 회의 참석자들은 토로했다.

이후 7월 26일 과기정통부는 또 한 번 회의를 소집했다. 당시 회의 주재 국장은 “CSAP를 ‘상’, ‘중’, ‘하’로 구분하며, 데이터 민감도에 따라 ‘상’은 국가 안보, 외교에 대한 중요 국익 관련 시스템, ‘중’은 현재의 CSAP 인증 수준, ‘하’는 대민서비스 영역에 적용하겠다”고 발표했다. 이에 대해 기업들의 불만이 쏟아지자 과기정통부의 A 국장은 “과기정통부도 (CSAP 완화, 개편을) 왜 하는지 모르겠다. 위에서 지시가 내려와서 한다”고 말한 것으로 전해진다.

또 당일 오후에는 국가정보원에서도 회의를 열었고, 국정원은 “통상 압력으로 인해 CSAP 완화는 불가피하다. 안보 차원에서 철저히 준비하겠다. 이를 위해 ‘국가사이버안보 민간협의체’를 구성했고, 그 안에 클라우드 분과, 보안인증 분과, 암호화모듈 분과 등 3개 분과를 신설하겠다”는 입장을 보였다.

결국 이날 회의를 통해 “서비스형 소프트웨어(SaaS) 기업들이 CSAP 인증을 받기 힘들어 완화 개편이 필요하다”는 정부의 주장은 구실일 뿐, 통상 압력 때문에 어쩔 수 없이 추진하고 있다는 점이 명확해졌다고 할 수 있다는 게 상당수 업계 전문가들의 시각이다.

또한 업계 전문가들은 과기정통부가 주무부처로 CSAP 완화‧개편 작업을 진행하면서, 국가 안보의 핵심인 국정원을 협조 기관으로 넣었다는 점에 의아함을 표하고 있다. 한 관계자는 “과기정통부는 타 부처와 논의하지 않고 자체적으로 초안을 만들었고, 추후 이를 공유했다”고 밝히며 이 같은 의견을 뒷받침했다. 이와 반대로 국정원이 초안을 마련했다고 주장하는 업계 관계자도 있었다.

다음날인 7월 27일에는 행정안전부 주재로 회의가 열렸고, 국내 CSP 대부분이 참석했다. 행정안전부는 과기정통부가 국가 정보자원의 클라우드 전환을 주관하는 행정안전부를 정책 결정 과정에서 배제하는 것은 옳지 않고, CSAP 인증을 규제로 규정하는 것 역시 문제가 있다는 입장을 보였다.

8월 5일 과기정통부는 NHN클라우드, 카카오엔터프라이즈, 네이버클라우드, KT클라우드 관계자들과 회의를 개최했다. 하지만 이들 관계자들에 따르면 이날 회의는 특별한 안건 없이 종전 회의에서 나왔던 CSP들의 불만을 다시 한 번 듣는 자리 정도였던 것으로 전해진다. 이후 8월 10일에는 과기정통부에서 다른 분과 국장이 CSP들에게 회의에 참석할 것을 요청했지만, CSP들은 참석하지 않았다고 한다.

이에 대해 한 소프트웨어(SW) 기업의 관계자는 “사실 그간 각 부처별로 꾸준히 회의를 열어 CSP의 의견을 듣는 자리를 마련하고 있었지만, 막상 CSP의 의견은 전혀 반영되지 않고 있고 단순히 만나는 횟수만 늘어나고 있다”면서, “짐작해보면 정부 차원에서 CSP의 의견을 충분히 수렴했다는 점을 부각하기 위해 회의 횟수를 늘리려는 것 같다”고 말했다.

이후 8월 18일에는 한덕수 국무총리가 ‘제5회 국정현안점검조정회의’를 개최, 그간 수면 아래 있던 CSAP 개편에 가속도가 붙기 시작했다. 이날 한 총리는 과기정통부 등 관계기관과 대통령 직속 디지털플랫폼정부위원회가 협업하는 가운데 이해관계자 의견 수렴을 거쳐 세부적인 CSAP 제도 개편 방안을 마련하고, 지속적인 현장 적용 모니터링과 추가 개선 사항 발굴을 통해 규제 개선 효과를 극대화해 나갈 예정이라고 강조했다.

이 같은 과정을 거쳐 마침내 신설될 CSAP 평가기준에는 물리적 망분리 요건을 완화하는 방안이 담길 것으로 예상된다. 이 경우 정부가 현행 CSAP 제도를 따르면서 ‘데이터 주권(Data Sovereignty)’을 수호하는 자국 기업보다 물리적 망분리를 무역 장벽으로 규정하고 완화를 촉구해 온 미국 정부와 기업의 입장을 대변한다는 비판을 면하기 어렵게 될 전망이다.

과기정통부 관계자는 “인증제도 개편안이 구체적으로 나와 봐야 알겠지만, 민간 클라우드 시장을 확대하는 방향으로 갈 것”이라며, “클라우드 이전 대상 자체가 넓어져 서비스형 인프라(IaaS)뿐 아니라 SaaS까지 공공에 제공하는 여건이 마련되고 민간 시장에 활력을 불어넣을 수 있다”고 주장하고 있다. 하지만 업계의 반응은 냉랭하다. 업계 한 관계자는 “현재 공공 클라우드 전환 사업은 정부에서 주장하는 ‘하’에 속하는 시스템들로, 인증제도가 개편될 경우 외국 CSP의 공공 시장 참여가 본격화될 것이다. 정부 어느 부처도 ‘중’에 속하는 시스템 전환 사업을 보장해주지는 않고 있다”고 말하며 외국 업체의 공공 시장 참여에 대해 우려했다.

 
불명확한 이유와 목적…결국 이유는 ‘통상 이슈’

국내 CSP 기업들은 CSAP 완화‧개편에 대해 반대 목소리를 내고 있다. 국내 CSP 기업들은 CSAP 완화‧개편을 추진하는 이유와, CSAP 완화‧개편을 통해 얻을 수 있는 이점이 무엇인지에 대해 정부가 명확한 답변을 내놓지 못하고 있다는 점도 문제라고 주장한다. 그렇기 때문에 이런 상황에서 좋은 제도가 나올 수 없다는 것이다.

실제 먼저 정부가 처음으로 내놓은 답은 “SaaS 기업들이 CSAP를 취득하기 어렵다”는 것이었다. 하지만 이것 역시 표면적인 이유일 뿐이라는 게 업계 관계자들의 지적이다. 실제로 초기에 IaaS 부분에 대한 CSAP 인증 완화는 단 한 기업도 주장하지 않았으며, CSAP 완화를 요청했던 지점은 모두 SaaS에 대한 인증 완화였다는 것이다.

국내 업체들은 SaaS 기업들이 CSAP를 취득하기 어려워 제도 개선에 나설 경우 당연히 SaaS 기업들로부터 불편 사항을 청취하고 개선하는 과정이 있어야 했다는 점을 지적한다. 하지만 현재 정부는 IaaS 기업에게 “SaaS 기업이 힘들어하니 CSAP를 전면 완화, 개편할 것”이라고 주장하는 상황이다.

이에 대해 CSAP SaaS 인증을 취득한 기업의 한 관계자는 “SaaS 기업의 불만 사항은 멀티 테넌트(Multi-Tenant)와 관련된 부분이 가장 많다. 예를 들어 ‘스토리지를 고객사별로 분리해야 한다’는 조건이 CSAP의 평가 항목에 있다. 클라우드의 표준 스토리지는 오브젝트(object) 기반이다. 이미 파일을 잘게 쪼개 여러 곳의 스토리지에 분산 저장하고 있다. 이런 상황에서 고객사별로 따로 모아야 한다는 것은 이해하기 힘들다”고 설명했다.

또 다른 업체의 한 관계자는 SaaS 기업을 물탱크 제공사에, 민간 기업을 아파트에, 공공기관을 단독주택에 비유해 현 상황을 설명했다. 아파트는 하나의 물탱크를 두고 아파트 내 모든 가구에 물을 공급한다. 이때 사용한 만큼 가구별로 수도세를 지불한다. SaaS가 추구하는 개념과 같다.

하지만 단독주택은 개별 주택마다 물탱크를 만들어야 한다. 따로 시스템을 구축하고 사용한 만큼 지불하는 개념이다. 현재 정부의 IT 시스템 환경은 단독주택과 형태가 동일하다. 그런데 현재 추진하는 정부의 제도는 SaaS 기업들에게 아파트 물탱크를 단독주택 규격과 조건에 맞추라는 것과 같은 이치라는 게 이 관계자의 설명이다.

현재 정부는 ‘CSAP라는 규격을 갖춘 SaaS 친화적인 형태’를 도입하기를 원한다. 당연하게도 SaaS 기업들은 기업에서 멀티 테넌트 방식으로 손쉽게 제공하던 CSAP에 어려움과 불만을 가질 수밖에 없다.

CSAP 제도를 만들 때 참여했던 한 관계자는 “CSAP가 처음 만들어진 2015년은 클라우드의 초기 모델이라 부족함이 있을 수밖에 없었다. 그러나 지난 8년 동안 다양한 클라우드 컴퓨팅 법과 가이드라인, 제도의 중심축을 도맡아 온 제도를 규제로 낙인찍고 완화한다는 사실을 받아들일 수 없다”고 말했다.

이어 그는 “차라리 SaaS 기업들이 어떤 점을 힘들어하는지를 파악하고, 그 점만 완화하면 된다. 설사 IaaS 인증 장벽을 완화해 AWS가 논리적 망분리 여건을 갖추고 공공 시장에 진입하더라도, SaaS 기업은 AWS 위에서 다시 인증받아야 한다. 이것이 SaaS 기업의 불편을 덜어줄 수 있다고 생각해서는 안 된다”면서, “더구나 데이터 민감도 ‘하’에 대한 부분을 해외 CSP에 풀어준다고 해서 ‘중’, ‘상’에 대한 수요를 국내 CSP에게 열어주는 것도 아니다. 행정안전부가 이 부분을 관장하는데, 여기에 대해 아무런 답이 없다. CSP로 하여금 무작정 ‘하’ 수준에서 AWS와 출혈 경쟁하라는 것으로 들릴 뿐이다”라고 비판했다.

국내 CSP 전문인 한 MSP의 관계자는 “정부가 SaaS를 이유로 들었다는 점은 AWS에서 SaaS 기업들에게 공공 시장에 진입할 수 있도록 모종의 입김을 불어 넣었을 것임을 의미한다”고 말하면서 “또 정부에서 CSAP에 SaaS가 올라오지 않았다는 점을 강조하는데, 정부는 SaaS에 대한 수요를 명확히 공개한 적이 단 한 번도 없다. 중소기업은 수요가 보장되지 않는 시장에 투자할 수 없고, 투자하지도 않는다. 공공 클라우드 시장도 마찬가지다. SaaS 기업으로 하여금 CSAP를 받지 않게 만든 것은 정부의 잘못”이라고 질타했다.

이처럼 국내 업계 관계자 다수가 “SaaS 기업들의 인증 취득이 어렵다는 점이 CSAP에 대한 전면적인 완화‧개편의 명분이 될 수 없다”는 데 동의하고 있다.

이러한 점에서 “비록 겉으로 드러나지는 않았지만, 실제 이유는 ‘통상 압력’인 것으로 보인다”는 의견에 힘이 실리고 있다. 현재 국내 CSAP 인증을 취득한 사업자는 모두 국내 기업이다. 물론 정부가 제시하는 사항을 충족하기만 하면 해외 CSP 역시 공공 클라우드 시장에 진입할 수 있다. 그러나 해외 CSP는 정부에서 요구하는 요건인 물리적 망분리와 소스코드 공개를 원칙적으로 금지하고 있다. 제도 개편이 없는 한 현 상황에서 해외 CSP의 공공 시장 진출이 쉽지 않다는 얘기다.

공공 시장에서 국내 CSP는 해외 CSP와 큰 입장 차이를 보이고 있다. 일반 민간 시장에서 AWS, MS 등에게 주도권을 빼앗긴 국내 CSP는 공공 시장에서 경쟁력을 기르기 위해 CSAP가 나온 시점부터 꾸준히 투자를 늘려오고 있다. 해외 CSP와는 달리 ‘하지 않으면 그만’이 아니라 ‘해야만 했던 것’이다.

그간 해외 CSP는 주한미국상공회의소와 미국 정부에 꾸준히 한국 공공 시장에 들어갈 수 있도록 요건을 완화해달라는 메시지를 던져왔다. 한 업계 관계자에 따르면, 실제로 CSAP가 처음 나온 이후부터 해외 CSP들은 암참을 통해 계속 완화를 요청해온 것으로 알려졌다. 특히 조 바이든 대통령이 방한한 후 암참은 적극적으로 CSAP 완화를 요구했다고 한다. 우리 정부가 미국 연방 정부로부터 꾸준히 압박을 받고 있다는 의미다.

실제 미국 연방 정부 통상정책을 총괄하는 무역대표부(USTR)는 수년째 무역장벽보고서를 통해 “인증 취득 요건에 물리적 망 분리 등을 포함한 CSAP가 한국 공공 조달 클라우드 시장에서 ‘무역 장벽’으로 작용하고 있으며 완화해야 한다”고 주장하고 있다. 우리 정부가 ‘통상’ 이슈를 근거로 CSAP를 추진하고 있음을 암시하는 대목이다.

사실 미국의 영향력 등 여러 상황을 고려하면 CSAP 완화‧개편은 불가피한 면이 있을 수 있다. 하지만 국내 CSP가 주장하는 것은 “CSAP를 완화하고 개편할 때에는 산, 학, 연, 관이 모두 모여 사회적 합의를 거쳐 국가 클라우드 경쟁력을 높일 수 있는 방향으로 완화, 개편돼야 한다”는 것이다. 이러한 과정 없이 9~10월 초라는 개편 시점을 우선 정해놓고 일을 추진해서는 안 된다는 것이다.

한 기업 관계자는 “국무조정실은 계획을 먼저 세우고 논리와 명분을 만드니, 회의에 참석한 기업들의 질문 2가지에 답하지 못하는 상황이 일어났다”면서, “아울러 또 다른 부처는 CSAP 완화하기 전, 기업들에게 ‘의견을 들어줄 때 얘기하라’는 식으로 고압적인 자세를 보이기도 했다”고 토로했다.

부처 간 이해관계에 시름 깊어지는 국내 CSP

CSAP와 직접적으로 연관된 부서는 △CSAP의 보안 평가 항목을 지정하는 ‘국가정보원’ △보안 평가 항목을 토대로 인증을 부여하고 관리하는 ‘과기정통부’ △이렇게 인증받은 클라우드 서비스를 공공기관에서 사용할 수 있도록 사업으로 지원하는 ‘행정안전부’ 등 3곳이다. 그리고 또 다른 한 곳이 있다. 바로 △국무총리를 보좌하는 중앙행정기관이면서, 각 부처의 의견을 수렴하고 중재하는 곳인 ‘국무조정실’이다.

업계의 의견을 종합하면 CSAP 완화‧개편을 처음 지시한 곳은 국무총리실인 것으로 가닥이 모인다. 그리고 이러한 지시를 받은 곳은 과기정통부이며, 현재 CSAP 완화‧개편에 주도적으로 나서고 있다.

한 공공기관 관계자는 “CSAP 완화‧개편과 관련해 부처 간의 의견이 통일되지 않고 있다. CSAP 완화‧개편을 둘러싸고 관련 부처가 서로 다른 입장 차이를 보인다는 것은 공공 클라우드 시장에 투자하고 뛰어든 기업들로 하여금 불안감을 조성하고 있다는 것”이라면서, “관련 부처가 서로 통일된 지향점과 명분을 갖고 있어야 건설적인 CSAP 완화‧개편이 가능해질 것”이라고 말했다.

부처 간에도 이해 관계와 지향하는 목표가 다르기에, 어떤 사안을 두고 서로 다른 입장차를 보일 수 있다. 이러한 부처 간 입장차를 조정하고 중재하는 역할을 하도록 국무조정실을 두고 있다. 그러나 국무총리실이 개입하면 상황은 달라진다. 국무조정실은 국무총리실 산하기관으로 국무총리실의 입김이 강하게 작용할 수밖에 없다. 이미 국무총리실에서 9월 말~10월 초까지 CSAP 완화‧개편을 지시한 상황에서, 국무조정실은 부처 간의 이해관계를 조율하기보다 빠르게 일을 처리하는 것에 방점을 찍을 수밖에 없을 것이라는 게 업계 전문가들의 분석이다.

이에 대해 한 기관의 관계자는 “국무조정실은 CSAP 완화‧개편을 빠르게 진행하고자 할 뿐이다. 그러니 각 부처의 이해관계에서 교집합을 추출하는 것이 아닌, 모든 이해관계를 떠안고 가는 합집합을 택한 것”이라고 설명했다.

CSAP와 공공 클라우드 정책을 주관하는 3곳의 부처가 단 한 번도 모이지 않았다는 데서도 이런 상황을 유추해볼 수 있다. 각 기관들이 개별적으로 CSP, SaaS 기업, 단체를 불러 회의를 했을 뿐이다.

실제로 취재 과정에서 확인한 바, 세 부처가 개최한 회의는 10회가 넘었다. 이 중 국정원과 행안부만 공동 회의를 한 차례 열었을 뿐이다. CSAP 완화‧개편 작업의 주무 부처인 과기정통부는 협조 기관으로 국가정보원을 포함했을 뿐, 행안부는 거론조차 하지 않고 있다. 국가정보원 측과 행정안전부 측 역시 과기정통부의 이러한 태도에 관해 불만을 표하기도 한 것으로 알려졌다.

한 공공기관의 관계자는 “공공 담당자들이 서로 다른 목표를 추구하고 있기에 함께 만나 의견을 조율하기 어려울 것이라는 점을 모두가 알고 있는 듯하다. 또한 공공 종사자의 고질적인 문제인 책임 회피 경향 역시 부처들이 함께 하는 것을 막고 있는 것으로 보인다. CSAP 완화‧개편은 장기적으로 국가 클라우드 경쟁력 차원에서 국내 클라우드 산업과 정부 데이터 주권 확립 체계에서 좋지 않은 영향을 줄 것이다. 이 같은 부정적인 결과를 책임지고 싶지 않기 때문에 서로가 서로에게 책임을 떠넘기고 있는 것 같다”고 짚었다.

공공 시장 노리는 ‘해외 CSP’

“아마존웹서비스(AWS)의 공공 영업 인력은 200명이다. 2019년부터 지금까지 공공 관련 수익이 없는 상황에서도 이들 인원을 유지하고 있다. 여기에는 기자 출신과 공공기관 은퇴자 등 공공기관에 영향력을 행사할 수 있는 사람들이 대거 포진돼 있다. AWS가 오래 전부터 공공 클라우드 시장에 눈독을 들이고 있었다는 의미다. 2~3년간 200명이라는 인력을 유지해 왔다는 것은 CSAP가 개편되는 순간 모든 공공 시스템을 AWS 위에서 구동하게 만들겠다는 목표를 갖고 있다는 의미다. 실제 AWS나 MS는 처음에 앞장서서 이슈를 만들었지만, 지금 와선 이들은 보이지 않고 부처 간, 또 국내 CSP와 부처 간 갈등만 보인다. 이들 기업은 CSAP가 완화‧개편되는 순간만을 기다리고 있을 것이다.”

한 국내 CSP 관계자가 현재 해외 CSP의 공공 사업 동향에 관해 한 말이다. 현재 CSAP가 ‘상’, ‘중’, ‘하’로 개편될 움직임이 보이자 해외 CSP들은 쌍수를 들고 반기고 있다. 물리적 망분리와 소스코드 공개 등을 하지 않고 공공 클라우드 시장에 진입할 수 있는 길이 열리게 되기 때문이다.

한 해외 CSP 관계자는 “현재 AWS, MS, 구글 등 글로벌 업체가 국내 시장의 90% 이상을 차지하고 있다. 반면 공공 시장에서는 힘을 쓰지 못하고 있다. CSAP 때문이다. 이 인증을 받으려면 공공기관용 서버의 경우, 국내에서 물리적 망 분리 등의 조건을 충족해야 한다. 글로벌 기업 입장에서는 불가능한 조건이다. CSAP는 공공 클라우드 시장에 글로벌 기업들의 진입을 막는 방파제로 작용해왔다”고 말했다.

이 관계자는 “해외 CSP가 드디어 공공부문 수요에 보다 적극적으로 대응할 수 있게 됐다”면서, “규제가 풀리면 민간 부문에서 검증된 경쟁력과 서비스를 공공 부문에도 똑같이 적용하겠다”고 밝혔다.

정부의 클라우드 방향성, 데이터 주권에 초점 맞춰야

“현재 미국과 중국을 제외한 국가 중 CSP를 보유한 국가는 드물다. 유럽에서도 OVH클라우드, 클레버 클라우드, 스카일웨이를 제외하곤 없다. 하지만 이 세 기업은 단순히 IDC에서 자원을 임대하는 정도의 서비스만을 제공하고 있다. 그러나 지금 우리나라에 최대 8곳의 CSP가 있다는 것은 클라우드 기술 경쟁력을 확보할 수 있다는 의미이기도 하다. 현재 여러 나라에서 미국 기업의 클라우드를 전면 도입했지만, 데이터 주권을 확보하기 위해 다시금 자국 사업자를 육성하고자 노력하고 있다. 우리나라는 이와 반대로 데이터 주권을 포기하며 다른 나라들과 반대로 나아가는 느낌이다.”

한 CSP 기업 관계자가 주변국이 IT 관련 통상 압력에 대해 어떻게 대응하는지를 설명하며 강조한 말이다.

이 관계자에 따르면 유럽연합(EU)과 일본은 ‘데이터/기술 주권’ 확보에 있어 클라우드가 핵심 기반임을 인식하고, 시장을 장악한 미국 클라우드 사업자를 견제하면서 자국 사업자를 육성하는 데 공을 들이고 있다.

먼저 EU는 데이터 및 기술 주권을 주창하며 출범한 ‘EU 데이터·에지·클라우드 산업 연합(European Alliance for Industrial Data, Edge and Cloud)’의 핵심 기반을 클라우드로 설정했고, “제3 국가의 통제나 접근의 대상이 되지 않는 유럽 산업 클라우드 개발을 목표로 한다”고 언급하며 클라우드 분야의 데이터/기술 주권 확보를 주요 정책 현안으로 지정했다.

특히 클라우드 정부 조달 등 클라우드 관련 거버넌스 현안 및 공공 서비스 제공을 위한 요건과 기준을 논의할 예정이며, 해외 기업의 경우 연합 참가에 일부 제약이 있어 EU 클라우드 산업 육성을 통한 데이터‧기술 주권 확보라는 목표가 뚜렷한 상황이다. 일부 제약이란 해외 기업의 경우 EU의 데이터 보호 프레임워크를 준수하기 위해 자신들이 취한 법적, 조직적, 기술적 조치에 대한 추가 증거를 제출해야 한다는 점이다.

또한 클라우드 사업자의 비개인정보 역외 이전까지 까다로운 요건 아래에서만 허용하는 ‘데이터 액트(Data Act)’ 법안도 발의‧논의 중에 있는 것으로 알려졌다.

한 CSP 관계자는 “해당 법안은 미국 수사기관이 구글, MS, AWS, 애플 등 미국 클라우드 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할 수 있는 권한을 갖는 미국 클라우드 법 ‘클라우드 액트(Cloud Act)’를 의식한 내용이라고 알려졌다”고 설명했다.

이어 그는 “클라우드 사업자가 EU법이나 회원국의 법과 충돌 가능한 비개인정보의 역외 이전을 하기 위해서는 클라우드 서비스 사업자가 협정을 포함한 필요한 모든 합리적인 기술적, 법적, 그리고 조직적 조치를 취해야 하며, 데이터의 역외 이전을 요구하는 제3국과의 별도 상호적 국제 협정이 존재하지 않는 한 비개인정보의 역외 이전은 허용되지 않는다”면서, “국가 간 협정없이 역외 이전이 가능하기 위해서는 상당히 까다로운 요건을 충족해야 한다”고 덧붙였다.

미국의 대표 우방국인 일본도 클라우드 영역에 있어서는 산업 보호 정책을 마련하는 등 데이터 주권과 사이버 안보 체계를 확립하기 위해 동분서주하고 있다. 일본은 2022년 5월 클라우드 서비스를 반도체, 제약 분야와 함께 경제 안보의 중요한 핵심 상품(Critical Product)으로 선정하고, 관련 기업들이 정부 보조금 혜택이나 저금리 자금 조달이 가능하도록 하는 자국 클라우드 사업자 육성 방안을 모색하겠다고 발표했다.

이는 민감한 공공 영역의 정보가 해외 클라우드에 이전되거나 관리될 경우, 일본에 대한 사이버 공격에 해외 사업자들이 빠르게 대처하지 못할 수도 있다는 우려의 목소리가 높아진 데 따른 조치다. 일본 정부는 공공 클라우드 관련 주요 엔지니어링 조직을 자국 내에 두도록 강제하는 등 추가적으로 클라우드 관련 보호 정책을 마련 중인 것으로 알려졌다.

후지키메라연구소의 조사에 따르면, 현재 일본의 민간 클라우드 시장의 72%를 해외 사업자가 장악하고 있다. 여기에 더해 2021년 일본 디지털청이 AWS와 구글 클라우드를 주요 공공 클라우드 프로젝트 사업자로 선정하면서, 일본 정부는 사안의 심각성을 인식하기 시작했다. 이때부터 일본은 경제 안보 차원에서 자국 클라우드 사업자 육성 정책을 본격 추진하기 시작했다.

이처럼 데이터/기술 주권 수호를 위한 EU와 일본의 정책적인 움직임과는 달리, 한국은 ‘디지털플랫폼정부’의 주요 정책 추진 과제에 오히려 ‘해외 클라우드 사업자의 시장 진입 장벽 완화’가 포함돼 있다는 점을 반드시 돌아봐야 한다. 디지털플랫폼정부 추진방향 보고서에 따르면, ‘활용성과 보안성을 동시 제고하는 신(新) 보안체계 구축’의 세부 계획으로 ‘망분리 및 클라우드 보안인증 개선’이 포함됐으며, 이를 통해 ‘해외 클라우드 사업자 진입장벽을 완화’하겠다는 표현이 직접적으로 나타난 것이다.

한 CSP 관계자는 “현재 우리나라는 공공분야 클라우드 활용 증진을 위해 해외 CSP의 시장 진입이 필요하지 않다. EU, 일본이 미국 클라우드 사업자의 시장 잠식 문제를 ‘데이터/기술 주권’ 확보의 심각한 위협으로 받아들이고, 공공 클라우드 분야에 있어 자립적 클라우드 인프라 구축에 집중하고 있는 것과는 달리 한국의 공공 클라우드 정책 방향은 외산 클라우드 문호개방이 주요 목표로 설정돼있다”면서, “현행 CSAP도 해외 CSP가 의지만 있다면, 인증을 받을 수 있으나, 해외 CSP가 CSAP 인증을 받지 않는 것은 자신들의 글로벌 표준에 벗어나면서까지 추가 투자를 단행할 정도로 한국 공공 클라우드 시장이 열리지 않았다고 사업적으로 판단했기 때문”이라고 설명했다.

이어 그는 “정부가 ‘상’, ‘중’, ‘하’ 등급으로 구분한다고 하면서 ‘하’ 등급에 대한 예시로 기상청 정보를 말했다. 민감정보가 아니라고 하지만 실제로 기상청 날씨 정보에 접근하기 위한 메인 DB는 G클라우드 핵망 내에 있다. 홈페이지를 AWS로, G클라우드 핵망 내 DB와 연계한다는 것이 어떻게 ‘하’ 등급으로 분류되는지 이해할 수 없다”면서, “정부가 추구하는 디지털플랫폼정부는 정부 내 데이터를 융합, 새로운 서비스로 국민들에게 혁신 서비스를 제공한다는 것이 핵심이다. 하지만 국가 정보시스템의 등급이 ‘하’로 구분되더라도 중요 데이터와 연계될 수밖에 없다. 정부가 주장한 디지털플랫폼정부위원회에서 CSAP 완화 세부 규칙을 논의한다고 하는데, 데이터 주권을 전부 빼앗기게 될 것이다. 해외 CSP들이 서울에 리전이 있다고 하지만 러닝 데이터만 서울 리전에 존재할 뿐, 백업 데이터는 해외 각 리전으로 분산될 것이다. 자국 데이터를 해외 특정 리전도 아닌 어딘지 모를 리전으로 분산하는 것이 데이터 주권을 확보할 수 있는 길인지 깊이 생각해야 한다”고 첨언했다.

사회적 합의 선행돼야…방어책 아닌 보완책 절실

정부의 CSAP 완화‧개편 움직임에 국내 CSP들은 “목적과 방향을 제시해주지 않고서는 동의할 수 없다”는 입장이다. 한 기업의 관계자는 “중‧장기적으로 협의하는 것도 맞다. 하지만 산, 학, 연, 관에 해당하는 사람들이 모두 모여 사회적인 합의를 도출하는 것이 우선이다. 이렇게 사회적 합의를 거친다는 것은 모두가 CSAP 완화‧개편에 동의했다는 의미이면서, 업계가 받아들일 수 있는 이익이 제시됐다는 것”이라면서, “이후 이행 계획을 만들고 다양한 사람들이 모두 모여 중‧장기적인 관점에서 국가 클라우드 경쟁력과 데이터 주권을 고려해 CSAP 완화‧개편 작업에 돌입해야 하는 것이 옳은 방향”이라고 말했다.

지난 10여년 동안 규모가 적은 기업은 수억 원을, 규모가 있는 CSP는 수천억 원을 언젠가 열릴 공공 클라우드 시장을 바라보며 투자했다. 현재 공공 클라우드 시장에 참여한 CSP들은 미래를 위해 투자하고 있을 뿐 당장 이익을 거의 내지 못하고 있다. 일례로 한 기업은 정부의 시스템을 클라우드로 이전 완료했지만 한 달에 100만 원도 이익이 나오지 않는 상황이라고 한다.

KT클라우드의 경우 천안 IDC에 G클라우드존을 만들었고, 용산IDC에도 G클라우드존을 새롭게 개소할 예정인 것으로 알려졌다. 이처럼 자국 기업들은 막대한 금액을 투자해 이 시장에 진입하고 있지만, 해외 CSP들은 아무 투자 없이 무임승차 할 수 있는 길이 열리고 있다는 점을 반드시 유념해야 한다.

초기 수면 아래에서 사안이 논의됐을 당시, 정부는 CSP들의 의견을 충분히 듣는 듯하는 모습을 보였다. 하지만 8월 18일 국무총리 주재 회의에서 CSAP를 기존대로 세분화한다는 내용이 나왔고, 디지털플랫폼정부위원회에서 관련한 세부 내용을 마련해간다는 내용을 발표했다. 결과적으로 정부가 국내 CSP들의 목소리를 듣는 시늉만 했다는 점이 여실히 드러나는 대목이다.

국내 CSP들은 기존 수십 차례 회의에서 “명분과 목적, 사회적 합의가 우선돼야 하며, 해외 CSP 무혈입성을 도울 것이면 ‘중’, ‘상’ 등급에 해당하는 정보자원도 클라우드로 이관한다는 보장을 해달라”는 메시지를 충분히 내놨다.

이번 정부의 CSAP 완화‧개편은 한덕수 국무총리가 직접 추진하고 있다고 한다. 반드시 CSAP 완화‧개편이 이뤄질 것이라는 의미다. 하지만 목표도, 이유도 없는 일방향적인 CSAP 완화‧개편은 한국의 데이터 주권, 클라우드 기술 경쟁력 약화로 이어질 수 있다는 점을 반드시 기억해야 할 것이다.