클라우드 보안인증 등급제 도입 '진통'…시장 확대 vs 외산 장악 우려

클라우드 보안인증 등급제 도입에 아마존, MS 공공 진출
네이버클라우드, KT 등 서비스 사업자 경쟁력 약화 우려
SI, 전문 관리 사업자 공공시장 확대에 환영…입장 엇갈려
정부도 13일 업계 의견 수렴…시장 활성화에 '방점' 전망

등록 2023-01-11 오전 8:19:27

수정 2023-01-11 오전 8:19:27
가 가

[이데일리 함정선 기자] 공공기관의 클라우드 보안인증(CSAP) 등급제 도입을 앞두고 관련 사업자들의 의견 개진이 이어지며 정부가 이달 공포할 최종 개정안에 업계의 의견이 얼마나 반영될지에 관심이 쏠리고 있다.

[이데일리 이미나 기자]

클라우드 산업이 2025년 1000조원 규모를 이루는 ‘미래산업’으로 손꼽히는 만큼, 국내 기업들의 성장 밑거름이 돼야 할 공공시장을 외국계 사업자에 빼앗길 수 있다는 우려가 제기되는 만큼 정부도 산업계 의견을 최대한 반영하겠다는 계획이다.

다만, 클라우드 업계에서도 사업 방식에 따라 클라우드 보안인증 등급제에 대한 입장이 엇갈리면서 정부의 개정안이 큰 변화 없이 그대로 강행하리라는 시각도 존재한다.

한국클라우드산업협회는 지난 5일 클라우드 서비스 사업자(CSP)를 중심으로 의견을 취합하는 간담회를 진행한 데 이어 10일 클라우드 관리 서비스 사업자(MSP)를 비롯해 SaaS(서비스형 소프트웨어) PaaS(서비스형 플랫폼) 사업자를 대상으로 간담회를 열었다.

이와 함께 과학기술정보통신부도 오는 13일 CSP와 MSP 등 업계 관계자를 대상으로 의견을 수렴하는 자리를 마련할 계획이다.

아마존, MS 외국계 공공시장 진출 길 열려

정부가 추진 중인 클라우드 보안인증 등급제 개편의 핵심은 기존 단일 인증체계를 ‘상·중·하’ 3단계로 나누고 이 중 ‘하’ 등급의 보안 규제를 완화하는 내용이다.

이때 하 등급은 ‘물리적 망분리’ 기준을 없애고 ‘논리적 망분리’를 허용했는데 이 부분이 논란이 되고 있다. 물리적 망분리는 공공시장에 진출하려면 공공기관용 서버를 둬야 한다는 기준으로, 그간 외국계 사업자들은 이 기준 때문에 공공 시장 진출에 제약으로 작용해 왔기 때문이다.

즉, 물리적 망분리 기준이 사라지면서 ‘하’등급에서는 아마존과 마이크로소프트(MS)와 같은 외국계 사업자가 공공시장에 보다 자유롭게 진출할 수 있게 된다는 얘기다.

CSP 기업, 공공시장 빼앗긴다 우려…“등급 동시 인증 진행” 요구

국내 네이버클라우드와 NHN클라우드, KT와 같은 CSP는 외국계 사업자들의 공공 시장 진출로 국내 기업들의 경쟁력이 약화할 것을 우려하고 있다. 이미 민간 시장에서 아마존과 MS의 점유율이 80%에 이르는데 공공시장의 진입 장벽마저 낮아지면 이 시장까지 모두 빼앗길 수 있다는 것이다.

특히 이들은 과기정통부가 ‘하’등급과 관련한 규제 완화를 우선 시행하고 ‘상·중’ 등급과 관련해 디지털플랫폼정부 등 관계부처와 공동으로 8개월가량 공동 실증 사업을 벌여 사업 수요를 확보한다는 계획에 반대하고 있다. 그 사이 ‘하’등급 사업이 모두 외국계 기업에 넘어갈 수 있다는 걱정에서다.

‘상·중’ 등급은 실증을 진행하면서 ‘하’등급은 규제를 먼저 완화하는 건 역차별이기 때문이라는 것이다. 이에 이들은 보안인증을 ‘상·중·하’ 동시 진행하고 전 등급에 대한 시범, 실증을 진행해야 한다고 의견을 모아 정부에 전달한 상태다.

SW 기업들, 시장 확대 반기며 입장 엇갈려

클라우드 관리 서비스와 소프트웨어를 제공하는 MSP와 SaaS 기업들은 클라우드 보안인증 등급제에 대해 CSP 업계와는 다른 입장을 나타내고 있다. 이들로서는 민간에 개방하는 공공시장에서의 사업 기회가 중요해서다.

국내에서는 메가존클라우드와 베스핀글로벌 등 전문 MSP 기업을 비롯해 LG CNS와 SK C&C 등 SI 기업들도 MSP 사업을 진행하고 있다. 특히 이들은 대부분 아마존, MS와 협력해 사업을 진행하고 있어 외국계 기업에 열리는 시장이 반가울 수밖에 없다.

중소 업체가 대부분인 SaaS 업계도 보안인증 등급제를 환영하고 있다. 적은 인원으로 망분리가 어렵다 보니 ‘하’등급에서 규제 완화가 공공시장 진출의 기회가 될 수 있다는 것이다. 정부도 등급제를 시행하는 이유로 이들 중소 SaaS의 경쟁력 강화를 언급해왔다.

정부 “산업계 의견 수용하겠지만”…산업 활성화 위해 등급제 강행 시사

정부는 산업계 의견을 최대한 수렴하겠다는 입장이나 공공 클라우드 시장 활성화가 무엇보다 시급하다고 보고 있다. 클라우드 기업들이 글로벌 시장에서 경쟁하기 위해서는 공공시장에서 경험과 역량을 더 빨리 쌓는 것이 중요하다고는 얘기다.

‘하’등급 실증을 진행하느라 등급제를 연기하는 것보다 ‘중’등급에 대한 실증 속도를 빠르게 진행하는 등 대안을 찾는 방안이 더 효율적이라는 판단에 보안인증 등급제는 예정대로 강행할 가능성이 크다. 이 때문에 CSP 사업자들의 전등급 동시 보안 인증 진행 등 요구가 개정안에 반영되기는 어려울 것으로 보인다.

김정삼 과기정통부 정보보호네트워크정책관은 “산업계에서도 여러 의견들이 나오고 있고 공공에 민간 클라우드를 도입하고 활성화고자 하는 과정에서 보안 문제 해결, 기업들의 체력 강화 등 해결해야 할 이슈가 많아 의견을 최대한 조율하고 반영하려 한다”고 말했다.