[컴퓨터월드] 최근 클라우드 보안인증(CSAP)을 두고 업계와 정부의 대립각이 팽팽하다. 정부는 CSAP를 규제로 낙인찍고 ‘상’, ‘중’, ‘하’라는 CSAP 등급제 도입을 추진하고 있지만 국내 CSP들은 난색을 표하고 있다. 국내 CSP 기업들이 우려하는 것은 하 등급을 해외 CSP에 허용함으로써 공공 클라우드 시장이 잠식될 수 있다는 점이다. 이번 CSAP에 대한 정책 변화로 해외 CSP들이 아무런 노력 없이 공공시장에 진출할 수 있게 돼 그동안 이 시장을 겨냥하고 보안인증을 받기 위해 노력해온 국내 CSP들의 허탈감이 클 수밖에 없다.

그러나 국내 CSP를 더욱 힘들게 하는 것은 따로 있다. 중, 상 등급 시스템을 민간 클라우드로 이전한다는 보장이 없다는 점이다. 현재 정부가 제시한 CSAP 개편 방안은 데이터 민감도와 시스템 중요도에 따라 클라우드 보안인증(CSAP)을 단계별(상, 중, 하 등급)로 나누는 등급제 도입이 핵심이다.

정부는 이러한 개편 방안이 미 연방정부의 클라우드 보안인증인 페드램프를 채용한 것이라고 주장한다. 하지만 차이점이 존재한다. 페드램프는 아무리 데이터 민감도가 높더라도 기업들이 평가항목과 기준 요건을 충족하면 기업의 클라우드를 사용해준다는 보장을 하고 있다.

하지만 현재 정부가 주장하는 CSAP에는 이러한 보장이 없다. 상위 인증을 취득해도 그에 맞는 수요가 있을지 국내 CSP들은 의문을 보이고 있다. 실제 정부‧공공기관 클라우드 도입과 관련된 주무 부처인 국정원과 행안부는 민간 클라우드로 전환할 의지가 없어 보인다는 게 업계 관계자들의 중론이다. 국정원은 “상 등급에 속하는 국방, 안보, 외교는 민간 클라우드를 사용할 수 없다”는 입장이며, 행안부는 정부 핵망 내에서 클라우드를 구축, 운영하라고 말하고 있다. 결국은 국내 CSP들이 상 등급을 획득해도 클라우드로 전환할 시스템이 없다는 얘기다.

물론 과기정통부는 중 등급에 해당하는 정부‧공공시스템을 80%까지 보장하겠다는 입장이지만 업계는 의심의 눈초리를 보내고 있다. 등급 분류 기준에 지정에 대한 업계와의 논의 과정이 전혀 없었으며, ‘정부‧공공시스템 80% 보장’은 행안부와 국정원의 협조가 절대적인데 이 또한 어려울 것이라는 판단 때문이다.

결국 국내 CSP들은 하 등급을 두고 해외 CSP와 경쟁을 해야 하고, 중 등급에 대해서는 아무런 보장이 없으며, 상 등급은 국정원에서 거부하는 형국이라 한숨만 쉬고 있는 상황이다.

국내 CSP들도 통상 압력에 국무총리가 직접 나선 이상 CSAP 개편은 아무리 반대해도 이뤄질 것이라는 점을 인정하고 있다. CSAP 정책 변화로 해외 CSP와의 경쟁이 불가피하다는 점도 각오하고 있다. 다만 CSAP 개편이 국가 클라우드 경쟁력을 키울 수 있는 방향으로 이뤄져야 한다는 점과, 중과 상 등급 인증업체에 그에 걸맞은 수요처를 확실하게 보장해달라고 주문하고 있다.

물론 국내 CSP들은 중, 상 등급 시스템이 민간 클라우드 위에서 잘 구동될 수 있도록 서비스 품질을 높여야 한다는 과제를 안고 있다. 몇몇 국내 CSP는 사업이 나올 때만 반짝 투자한다는 비판도 나오는 상황이다. 이는 국내 클라우드 기업들이 자성해야 할 부분이기도 하다. 정부의 클라우드 관련 간담회에 참석한 한 기업인이 “해외 기업에 개방하는 속도가 빠르지 않은가”라는 질문에 고진 디지털플랫폼정부위원장이 “시간을 주면 경쟁력을 확보할 수는 있기는 한가”라고 반문했다는 사실은 국내 CSP들이 한 번쯤 새겨야 할 대목이다.

CSAP 완화‧개편 작업과 관련, 이달 중순 디플정위원회에서 세부 사항에 대한 논의가 시작되며, 10월에 초안이 공개될 예정이다. 국내 클라우드 CSP들은 개편 논의에 공공 클라우드 수요 보장 문제가 반드시 포함되기를 기대하고 있다.