[컴퓨터월드] 클라우드 보안인증(CSAP)이 ‘상’, ‘중’, ‘하’ 3단계의 등급제로 개편된다. 그러나 구체적인 사안에 대해서는 시장에 떠도는 소문만 난무할 뿐 아무것도 정해지지 않은 상황이다.

정부는 확고한 CSAP 개편 의지를 갖고는 있지만, 국가 기술 경쟁력과 데이터 주권, 클라우드 산업 활성화에 큰 영향을 줄 수 있다는 판단아래 개편에 대한 세부사항을 쉽사리 규정하지 못하고 있다. 국내 클라우드 업계에서는 CSAP 등급제 개편이 국내 클라우드 산업에 미칠 영향을 고려해 업계의 의견을 수렴하는 등 신중해야 한다는 입장이다.

지난 8월 18일 정부는 브리핑을 통해 CSAP 개편과 관련해 부처 간 협의 사항은 없었으며 디지털플랫폼정부위원회에 관련 안건을 회부, 세부 내용을 정리하겠다고 발표했다. 국내 클라우드 산업 활성화를 위해 CSAP 등급제를 개편할 때 어떠한 점들이 고려되어야 하는지 짚어봤다.

CSAP 등급제, 디플정위원회로 회부

올해 8월 18일 정부는 클라우드 보안인증(CSAP)을 등급제로 개편한다고 공식 발표했다. 정부는 당시 브리핑을 통해 기존 서비스형 인프라(IaaS), 서비스형 소프트웨어(SaaS) 표준등급, SaaS 간편등급, 서비스형 데스크톱(DaaS) 등 유형에 따라 분류된 CSAP를 ‘상’, ‘중’, ‘하’ 3개의 등급으로 통합·개편한다는 내용을 처음 공개했다.

하지만 세부 사항을 결정하는 과정에서 과학기술정보통신부(이하 과기부)와 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(이하 국조실) 등 관계부처 간 잡음이 있었던 것으로 알려진다.

국내 클라우드 산업 활성화를 부처의 핵심 과제로 삼고 있는 과기부는 국내 클라우드 기업들의 ‘CSAP 등급제 개편 반대’에 관한 의견을 행안부와 국정원에 제시했지만, 정부·공공 데이터 보안성 확보에 방점을 찍고 있는 두 부처는 과기부의 주장을 수용하지 않았다고 한다. CSAP 등급제 개편에 대해 정부 부처 간 이견이 조율되지 못한 것이다.

CSAP 주관부처인 과기부는 결국 18일 브리핑에서 “CSAP 관련 세부 사안은 디지털플랫폼정부위원회(이하 디플정위원회)로 회부해 안건을 논의하겠다”고 발표했다. 이 과정에서 과기부가 합의되지 않은 사안인 등급 분류 기준(데이터 민감도 및 시스템 중요도)에 대한 내용을 브리핑에 추가해 타 부처로부터 비판을 받았던 것으로 알려진다.

현재 정부는 CSAP 등급제 개편과 관련한 논의를 디플정위원회로 넘겼다. 디플정위원회에는 고진 한국메타버스산업협회장을 포함해 인공지능(AI)·데이터·보안 등 디지털 기술 전문가 23명이 참여하고 있다. 구체적으로 민간위원 19명과 기획재정부·과기부·행안부 장관, 개인정보보호위원회 위원장 등 당‧연구직 정부위원 4명으로 구성돼 있다.

민간위원들은 △인공지능·데이터 분과, ‘네이버 하정우 클로바 AI랩 연구소장(분과장)’ △인프라 분과, ‘한국과학기술원(KAIST) 정보미디어경영대학원 오종훈 교수(분과장)’ △서비스 분과, ‘CJ올리브네트웍스 차인혁 대표(분과장)’ △일하는 방식 혁신 분과, ‘상명대 행정학부 김영미 교수(분과장)’ △산업 생태계 분과, ‘한국소프트웨어산업협회 조준희 회장(분과장)’ △정보보호 분과, ‘고려대 권헌영 정보보호대학원 교수(분과장)’ 등 6개 분과에서 활동하게 된다.

이중 CSAP 등급제와 밀접하게 연관이 있는 분과는 인프라 분과와 정보보호 분과라 할 수 있다. 업계의 주장을 종합하면 디플정위원회의 각 분과는 맡은 역할에 따라 과기부 친화적인 분과 2곳(AI·데이터 분과와 서비스 분과)과 행안부 친화적인 분과 2곳(인프라 분과와 정보보호 분과)이 있다.

업계에서는 민간 클라우드 활용 기조에 적극적이지 않은 행안부 친화적인 분과(인프라 분과와 정보보호 분과)가 CSAP 등급제와 밀접하게 관련돼 있다는 점을 들어 클라우드 산업 활성화가 아닌 공공의 정보시스템을 자체 구축하는 방향으로 CSAP 등급제 개편이 이루어질 것을 우려하고 있다.

업계의 한 관게자는 “현재 각 분과 내 민간위원과 기관 전문 위원을 추가 모집하고 의견을 취합하기 위해 위원들을 순환하는 방식으로 위원회가 구성될 수도 있을 것으로 보인다”면서, “위원회는 이달 중 조직 편성이 끝날 것으로 예상된다. 위원회가 어떠한 방식과 기조로 CSAP 등급제에 대해 논할지는 지켜봐야 한다”고 덧붙였다.

등급 분류 기준, 데이터 민감도 고려해야

국내 클라우드 업계에서는 CSAP 등급제 개편과 관련해 등급 분류 기준을 우선적으로 논의해야 한다고 주장한다. 지난 8월부터 진행된 취재 결과를 종합하면 CSAP 등급을 분류하는 기준을 두고 과기부와 행안부 사이에 기싸움이 있던 것으로 확인된다. CSAP 등급과 관련해 과기부는 데이터를 기준으로, 행안부는 현행 CSAP의 기준인 시스템 중요도에 따라 등급을 분류해야 한다고 주장한 것이다. 결정권을 갖고 있는 디플정위원회가 이 2가지 기준 중 어느 쪽 손을 들어줄 것인지에 관심이 모아지고 있다.

한편 CSAP 등급 분류와 관련, 행안부에서 먼저 시스템 중요도를 제시한 것으로 알려진다. 과기부는 이 같은 행안부의 주장에 대해 정부·공공기관 정보시스템의 민간 클라우드 활용이 저해될 것이라는 점을 들어 데이터 민감도를 중심으로 분류해야 한다는 점을 강조한 것으로 알려졌다.

현재 정부 부처와 디플정위원회에서는 등급 분류 기준을 두고 고심하는 모양세다. 국내 클라우드 업계에서는 정부의 데이터 공유 및 활용 기조를 근거로 데이터 민감도에 따라 CSAP 등급이 분류될 것으로 예측하고 있다.

실제 정부는 공공기관들이 갖고 있는 데이터를 민간의 다양한 서비스에 활용한다는 방침을 세우고 각종 데이터를 개방해 나가고 있다. 당연히 정부의 정책들은 데이터를 공유하고 활용하는 데 중점을 두고 수립되고 집행될 것이며 이를 구현하기 위해서는 클라우드 인프라가 사용될 것으로 예상된다. 클라우드의 등급을 판가름하는 기준이 데이터 민감도여야 한다는 것을 보여주는 대목이다.

국내 공공기관의 한 관계자 역시 미국의 페드램프(FedRAMP)를 예로 들며 데이터 민감도를 기준으로 CSAP 등급을 분류해야 한다고 주장했다. 정부가 CSAP 등급제를 검토하는 과정에서 미국의 페드램프를 채용했다면, 페드램프의 ‘높음’, ‘중간’, ‘낮음’ 구분 기준인 데이터 민감도를 따라야 한다는 것. 페드램프는 미 연방정부에서 데이터 민감도를 기준으로 정부‧공공시스템의 민간 클라우드 사용 여부를 판단하는 기준이 되고 있다.

페드램프는 데이터의 민감도에 따라 ‘매우 높음’과 ‘중간’, ‘낮음’ 등으로 구분된다. 단계별로 민간 클라우드 사업자에게 준수해야 할 보호조치를 제시한다. 예를 들어 ‘매우 높음’ 등급이라면 그에 해당하는 보호조치를, ‘중간’ 등급이라고 한다면, 중간 수준에 맞는 보호조치를, ‘낮음’ 등급이라면 낮음에 해당하는 보호조치 요건을 준수하면 된다. 쉽게 말해 정보시스템이 페드램프 ‘낮음’ 수준에 해당한다면, ‘낮음’에 대한 보호조치를 취할 수 있는 기업의 민간 클라우드를 사용할 수 있다는 것이다.

행안부에서 주장한 것과 같이 만일 시스템 중요도를 기준으로 CSAP 등급을 분류할 경우 공공 클라우드 시장에서 민간 클라우드 활성화는 어렵게 될 것으로 보인다.

현재 정부는 민간 클라우드 활용과 관련해 시스템 중요도에 따라 중요시스템과 비중요시스템으로 구분하고 있다. 홈페이지, DB와 무관한 소개 사이트 등은 비중요시스템으로 구분돼 ‘공공 정보시스템 클라우드 전환사업’을 통해 민간 클라우드로 이전하고 있다. 반면 국가 안보, 재판, 군사 등과 관련된 사항은 중요시스템으로 구분돼 민간 클라우드 사용이 금지돼 있다. 만일 CSAP 등급 분류 기준이 시스템 중요도로 판가름 된다면, 비중요 시스템의 비중이 낮아 민간 클라우드가 들어갈 자리가 줄어들게 된다는 의미이다.

업계의 한 관계자는 “지난 1월 클라우드 컴퓨팅 발전법이 개정됐다. ‘공공기관 및 정부 지자체의 민간 클라우드 이용을 확대하도록 권장한다’는 점이 강조됐으며 ‘CSAP를 받은 클라우드를 적극 활용해야 한다’는 내용이 추가됐다”면서, “내년 1월부터 클라우드 컴퓨팅 발전법이 발효가 될 예정인 상황에서 시스템 중요도를 CSAP 등급을 분류 기준으로 채택한다면 클라우드 컴퓨팅 발전법의 의미가 퇴색될 것이다. CSAP 등급 분류 기준은 클라우드 컴퓨팅 발전법과 맞물려가야 한다. 이를 위해서는 시스템 중요도가 아닌 데이터 민감도가 CSAP의 등급을 분류하는 기준이어야 할 것”이라고 강조했다.

한편, 데이터 민감도와 시스템 중요도 모두를 기준으로 삼아야 한다는 목소리도 있다. 한 관계자는 “궁극적으로 사용하기 편리하고 안전한 클라우드 보안요건을 정의하는 차원에서 논의된다면, 흑백논리로 어느 한쪽을 선택하는 것은 바람직하지 않다”고 말했다.

‘망’에 대한 정부의 접근법 재정의 요구

일각에서는 CSAP 등급제 개편과 관련해 ‘네트워크 망’에 대한 정부의 접근법도 이번 디플정위원회에서 새롭게 정의해야 한다는 주장도 제기되고 있다. 공공 시장에서 민간 클라우드를 활성화하기 위해 CSAP를 등급제로 개편하려면 망에 대한 접근법을 다시금 정의해야 한다는 주장이다.

현재 정부는 망을 보안의 수단으로 정의하고 있다. 데이터 보호를 위해 망 연계를 배제하고 있는 것도 이런 이유다. 실제 지자체와 공공기관은 자체 보유한 정보시스템을 민간 클라우드로 이전할 때 국정원으로부터 정부 보유 센터 내 망에 대한 접근을 승인받아야 한다. 승인받지 못한다면 민간 클라우드를 사용할 수 없다. 국가의 데이터 보안성을 최우선시하는 국정원은 아주 중요하지 않는 시스템만 민간 클라우드를 사용할 수 있도록 허가하고 있다.

이에 대해 업계 한 관계자는 “한 공공기관에서 CSAP 등급 ‘중’에 해당하는 내부 시스템을 민간 클라우드로 이전하려 했다. 하지만 국정원에서 민간 클라우드와 통합전산센터와의 망 연동을 허가해주지 않았다. 당시 우리 기업에서는 우회하는 방법을 제시했지만, 국정원은 ‘망 단절’에 초점을 맞춰 제안을 거절했다”면서, “물론 중요시스템을 민간 클라우드로 이관한 사례도 있다. 하지만 이 경우에는 기관 내에서 자체 운영하던 망이기에 가능했다. 기관 전산실 망에 있는 시스템을 옮기는 것은 일부 완화가 된듯하다. 하지만 여전히 국정원은 대부분의 민간 클라우드 망이 정부의 통합전산센터 폐쇄망에 접근하는 것을 막고 있다. 실제로 행안부에서 추진하고 있는 지방 권역별 클라우드센터 구축 시범사업도 정부에서 운영하는 망과 민간 클라우드 기업의 망을 연계하는 방법을 두고 국정원과 협의 중”이라고 설명했다.

또 다른 관계자 역시 “CSAP를 받은 대부분의 IaaS 사업자는 일반 기업과 물리적으로 망을 분리한 별도의 ‘공공존’을 만들었다. 중요 시스템을 민간 클라우드에서 이용하는 등 민간클라우드 활성화를 위해서 정부는 통합전산센터 핵망에 ‘공공존’의 망을 연계할 수 있도록 망에 대한 인식부터 개선해야 한다”면서, “핵망과 기업의 공공존 망을 연결할 때는 가상사설망(VPN, Virtual Private Network)을 비롯해 다양한 방법이 존재한다. 그러나 국정원은 이를 거부하고 있다. 물론 국정원에서도 이러한 점을 이식하고 망 연계에 대한 부분들을 개선하겠다고 했지만, 지금까지도 국정원이 수용하는 것은 비중요시스템에 한정돼있다”고 말했다.

클라우드 업계 관계자들 대부분은 민간 클라우드를 활성화하기 위해 CSAP 등급제 개편 논의를 진행한다면, 이 과정에서 망에 대한 접근 방식을 ‘보안’에서 ‘인프라’로 무게중심을 옮겨야 한다고 입을 모은다. 또 과기부와 행안부, 국정원이 합의해 각 등급에 해당하는 선례를 만들어 공개해야 한다고 주장한다.

‘중’ 등급 시스템 확대해야 SaaS 기업 및 CSP 성장 가능

CSAP 등급제 개편을 두고 몇몇 SaaS 기업과 국내 CSP의 의견이 충돌하는 듯한 분위기도 감지된다. 실제 일부 SaaS 기업은 해외 CSP의 공공 클라우드 시장 참여를 반기는 분위기다. 이 SaaS 기업들은 그동안 공공보다는 민간 시장을 공략하기 위해 해외 CSP의 클라우드 인프라 위에서 SaaS를 개발·공급하고 있다. 이들 기업이 공공 클라우드 시장에 진입하기 위해선 CSAP를 인증받은 IaaS 사업자의 클라우드 위에서 SaaS의 보안성을 인증받아야만 했다. 그러나 인증 과정에서 발생하는 비용이 4억 원에 달하며, 기간도 최소 6개월 이상 소요돼 그동안 거의 포기하다시피 한 시장이었다. 그러나 CSAP가 등급제로 개편돼 해외 CSP들이 공공 클라우드 시장에 참여하게 되면 상황은 달라진다. SaaS 기업들이 해외 CSP를 등에 업고 쉽게 공공 클라우드 시장에 진출할 수 있는 길이 열리게 되는 것이다.

국내 CSP는 해외 CSP의 공공 클라우드 시장 진출을 적극 반대하고 있다. 이제 막 열리기 시작한 공공 클라우드 시장을 자본력을 앞세운 해외 CSP에 모두 내 줄수 있다는 우려에서이다. 특히 현재 ‘하’ 등급에 속하는 비중요시스템만 클라우드로 이전이 가능하기 때문에 국내 CSP는 더더욱 해외 CSP의 공공 클라우드 시장 입성에 반대하고 있다.

‘하’ 등급에 속하는 비중요시스템의 클라우드 이전에 해외 CSP의 참여가 기정사실화된 상황에서 국내 CSP들은 해외 CSP들과의 경쟁에 대비하며서 ‘중’ 등급에 해당하는 공공 정보시스템의 수를 늘려달라고 주장하고 있다. 이처럼 서로 다른 이해 관계에 따라 CSAP 등급제 개편을 두고 벌이는 국내 CSP 기업과 몇몇 SaaS 기업의 의견 대립은 당분간 계속될 것으로 보인다.

하지만 몇몇 SaaS 기업들이 간과하고 있는 사실이 있다. 해외 CSP는 ‘하’ 등급 인증만 취득할 수 있고, SaaS는 ‘중’ 등급에 포함된다는 점이다. 한 공공기관 관계자에 따르면, 현행 CSAP SaaS 인증을 취득한 SaaS는 대부분 ‘하’ 등급이 아닌 ‘중’ 등급에 속할 것으로 예상된다. 또한 공공에서 사용되는 SaaS는 주로 화상회의, 메일과 같은 서비스가 공공 업무에 사용되고 있어 ‘중’ 등급에 해당할 것으로 예상된다.

종합해보면 결국 SaaS 기업들이 요구하고 있는 ‘해외 CSP가 공공 클라우드 시장에 들어와야 한다는 주장’은 해당 내용을 명확하게 인지하지 못한 상황에서 나오고 있는 주장으로 보인다. SaaS 기업과 국내 CSP 모두 같은 ‘중’ 등급에 해당하는 시장을 바라보고 있다는 것이다.

한 SaaS 기업의 관계자는 “해외 CSP의 공공 클라우드 시장 참여를 주장한 몇몇 SaaS 기업은 해외 CSP로부터 압박을 받았을 것”이라고 추측하며, “CSAP 등급제 개편과 관련해 SaaS 기업들과 국내 CSP가 한 자리에 모여 용어를 재정리하고 안건들을 명문화했으면 한다”고 말했다.

클라우드 이관 기준 마련해야

국내 클라우드 업계에서는 CSAP 등급제 개편 논의에 정부·공공기관의 신규 구축될 시스템에 대한 기준도 정의돼야 한다고 주장한다. 업계에 따르면, CSAP 등급제를 분류하는 3단계의 기준은 현재 정부에서 운영되고 있는 레거시 정보시스템을 대상으로 하고 있다. 때문에 새롭게 차세대 사업이나 고도화된 클라우드 프로젝트를 통해 개발될 신규 시스템에 레거시 정보시스템에 초점이 맞춰진 잣대를 들이대선 안 된다는 것이다.

이에 대해 한 CSP 기업의 관계자는 “기존 정부의 시스템을 민간 클라우드로 옮길 수 있는가, 있다면 어떠한 수준의 시스템을 옮길 수 있는가에 관심을 갖고 있다”면서, “레거시에 대한 부분도 중요하지만 새롭게 구축될 시스템에 대한 부분도 CSAP 등급제 개편에 고려돼야 한다. 현재 클라우드로 옮기고 있는 시스템은 감가상각이 끝났거나 연한이 다 된 것이 많다. 감가상각이나 연한이 도래한 시스템은 계속 늘어날 것이고 클라우드 위에서 새롭게 시스템을 개발하고 구축할 것으로 예상되는데 이러한 부분까지도 고려돼야 한다는 것”이라고 설명했다.

이어 그는 정부의 디지털플랫폼정부 계획을 성공적으로 달성하기 위해 신규 시스템에 대한 기준도 CSAP에 정립돼야 한다고 주장했다. 그는 “현재 정부는 공공이 보유한 데이터를 민간 기업의 서비스와 결합해 국민에게 서비스를 제공하는 것을 골자로 한 디지털플랫폼정부 구현을 추지하고 있다. 정부가 추지하고 있는 디지털플랫폼은 마이크로서비스 아키텍처(MSA), 인공지능(AI), 빅데이터과 관련 기술이 있어야 구현할 수 있다. 이를 위해서는 클라우드 전환이 필수적이다. CSAP 등급제에서 이러한 부분이 고려되지 않는다면 향후 현재와 같이 CSAP 개편에 대한 요구사항은 또다시 발생할 것이다. CSAP를 레거시 정보시스템외에 새로운 시스템에도 적용할 수 있어야 한다.”고 설명했다.

유명무실한 민간 클라우드 우선 활용 정책

CSAP 등급제 개편 논의는 공공기관의 민간 클라우드 이용 확대와 밀접한 관련을 맺고 있다. 구체적으로 올해 1월 클라우드 컴퓨팅 발전법이 개정되면서 새로이 2가지 사항이 마련됐다. 2015년 처음 제정된 클라우드 컴퓨팅 발전법에 ‘공공기관 및 정부 지자체의 민간 클라우드 이용 권장을 확대한다’는 조항과 ‘공공기관 및 정부 지자체는 CSAP를 받은 클라우드 서비스를 사용하라’는 조항이 새롭게 추가됐다. 이 같은 상황에서 CSAP도 공공기관이 기업의 클라우드를 보다 적극적으로 사용할 수 있도록 개편해야 한다는 목소리가 제기됐다.

현재 민간 클라우드를 우선 활용한다는 정부의 기조는 이미 법·제도 전반에 깔려있다. 다만 각 정부 부처에서 따르지 않고 있을 뿐이다. 실제 행안부가 올해 제정한 ‘행정기관 및 공공기관 정보자원 통합기준(이하 통합기준)’과 ‘행정기관 및 공공기관의 클라우드 컴퓨팅 서비스 이용 기준 및 안전성 확보 등에 관한 고시(이하 고시)를 비롯해 클라우드 컴퓨팅 발전법 등의 이행 지침에도 민간 클라우드를 우선적으로 고려해야 한다고 명시돼있다. 공공기관에서 민간 클라우드를 우선 사용하기 어렵다면 행안부 장관에게 별도의 승인을 받아야 한다.

하지만 이러한 법·제도는 유명무실한 상황이다. 실제 민간 클라우드를 활용해 업무 혁신을 꾀할 수 있는 중요시스템을 제외하고, 비중요시스템을 클라우드 인프라에 얹는 인프라 이동 사업만 존재할 뿐이다. 실제로 행안부의 ‘공공·정보시스템 클라우드 전환사업’에 참여하고 있는 한 CSP 기업은 현재 진행되고 있는 2차년도 1~6차 사업의 90%를 비중요시스템이 차지하고 있다고 설명했다.

CSP 기업의 한 관계자는 “현재 법·제도적으로 근거가 모두 마련돼있는 민간 클라우드 우선 정책은 실효성이 없다. 전환사업을 통해 중요시스템 10%만 클라우드 인프라로 전환할 뿐이다”라면서, “CSAP 등급제가 개편되고 ‘하’ 등급에 논리적 망분리까지 수용될 것으로 예상되는 데, 결국 내년부터는 해외 CSP들과 ‘하’ 등급을 두고 경쟁해야 하는 상황이 올 것이다. 자본과 영업력으로 무장한 해외 사업자들을 이길 수 있는 국내 CSP는 없을 것”이라고 우려했다.

그나마도 민간 클라우드 활용이 이뤄지고 있던 전환사업의 예산이 1/6가량 줄었다. 업계에 따르면, 행안부가 내년도 클라우드 전환사업을 위한 예산안으로 1,800억 원을 기재부에 제출했지만 실제 예산은 346억 원으로 책정됐다. 지방 권역별로 클라우드센터를 구축하는 시범사업도 상황은 다르지 않았다. KT클라우드가 제주특별자치도에 클라우드센터를 구축하는 사업의 예산이 170억 원에서 86억 원으로 절반 가까이 줄었다. 민간 클라우드 활용 기조가 무색한 상황이다. ‘이전 정부의 IT 정책의 색을 지우기 위해’, ‘디지털 뉴딜 사업의 거품을 걷어내기 위해’와 같은 의견이 지배적이다.

이에 대해 국내 클라우드 업계 관계자들은 내년 1월부터 시행될 클라우드 컴퓨팅 발전법과 맞물려 개편될 CSAP 등급제가 민간 클라우드 활용을 우선할 수 있는 방향으로 세부 사안들이 정해져야 한다고 입을 모은다.

한 관계자는 “주변국을 돌아보면 CSAP 개편 이후를 추정할 수 있다. 일본의 경우 AWS가 공공시장의 70% 점유하고 있는 상황에서 다시금 자국의 CSP에 집중투자하고 있으며, 유럽은 소버린 클라우드(Sovereign Cloud)라는 이름의 구축형 서비스를 개발해 국가 클라우드 주권 확보에 나서고 있다. 하지만 유럽연합에서 구축하고 있는 소버린 클라우드는 AWS, MS, 구글 클라우드의 도움을 받아 개발되고 있다. 현재 소버린 클라우드는 유럽국 내 자체 기술을 보유한 CSP가 없어 종속에서 벗어나고자 하는 기업에 지원받는 모순적인 형국이다. 소버린 클라우드의 본연의 의미는 퇴색됐다”면서, “우리나라도 이 같은 상황이 벌어지지 않을 것이라고 누구도 확언하지 못한다. 소 잃고 외양간 고치면 아무 소용없다. 그 전에 국내 민간 클라우드 기업들의 서비스를 활용해 클라우드 주권을 확보해야 한다”고 말했다.