공청회 한 번 없이 졸속…공공 클라우드 개방 우려하는 이유 3가지

[이데일리 김국배 김현아 최훈길 기자]

(그래픽=이미나 기자)

클라우드는 디지털 경제의 신경망이다. 하드웨어(HW)나 소프트웨어(SW) 같은 정보 자원을 직접 구축하지 않아도 네트워크에 접속해 이용할 수 있다. 코로나19 때 비대면 상황에서 재택근무를 가능하게 했고, 갑자기 사람이 몰려 백신예약시스템이 먹통이 됐을 때도 클라우드를 통해 트래픽을 분산시킬 수 있었다.

글로벌 시장 규모 역시 2019년 2387억 달러(약 341조원)에서 2024년 6281억달러(약 897조원)까지 매년 21.4% 성장할 것(시장조사업체 IDC)으로 예상된다. 그런데 아이러니하게도 전 세계적으로 클라우드 서비스 기업(CSP)를 가진 곳은 미국, 중국, 우리나라 등 단 세 나라에 불과하다. 첨단 기술의 집합체가 클라우드이기 때문이다.

국내 클라우드 기업 성장 기회 사라질 우려

네이버·카카오·KT 등이 불안해하고 있다. 정부가 갑작스럽게 클라우드 보안인증 등급제(CSAP)에 드라이브를 걸고 있어서다. 등급제는 단일 인증체계인 현 제도를 데이터 중요도에 따라 세 단계로 구분해 차등화된 보안인증 기준을 적용하는 것이다. 최상위 1등급은 국가안보·법 집행(수사) 등 민감 데이터 서비스에, 2등급은 현재 인증 수준으로 서비스 대부분이 해당한다. 3등급은 기상청 데이터처럼 민감도가 낮은 대민 서비스 영역이다.

국내 클라우드 기업이 반발하는 이유는 3등급에 대해선 별도의 존 구축(물리적 분리) 없이 논리적 망분리만으로 서비스를 허용해 주면서 AWS, 구글 등 미국은 물론 알리바바, 텐센트 같은 중국 기업에까지 공공시장 문을 열어줄 것이기 때문이다. 그간 국내 기업들은 별도의 공공 클라우드 존을 만들어 인증을 획득했지만, AWS 등은 공공망과 민간망이 분리되지 않은 상태로 서비스를 운영해 인증을 받지 못했다.

그런데 제도가 바뀌면 외국계 기업은 추가 비용 투자 없이도 공공 시장에 들어올 수 있게 된다. 투자비는 최소 50억 원 정도로 전해진다. 국내 기업들 사이에서 “우리 투자비만 매몰 비용이 되게 생겼다”는 말이 나오는 배경이다.

특히 외국계 기업이 공공 시장에 들어오면 기술적으로 경험적으로 성장해야 할 국내 클라우드 기업은 성장 기회를 잃게 될 우려가 크다. 업계 관계자는 “구글이 국내 대학들에 지메일 기반 포토, 드라이브 등의 용량을 몇 년간 무제한으로 제공하다가 최근 유료화한다고 해서 대학들이 뒤집혔다”며 “자본력과 기술력으로 무장한 AWS가 공공 시장을 장악하겠다고 마음 먹고 국내 기업들이 죽을 때까지 서비스를 무료로 뿌린다면 당해낼 재간이 없다”고 호소했다.

김법연 고려대 정보보호대학원 교수도 “초기에는 ‘어느 부처가 미국 클라우드를 쓴다’는 식의 비판을 의식해 AWS 같은 외국계 클라우드를 선택하는 데 눈치를 볼 수 있겠지만, 관심이 떨어지면 외국계 기업이 공공 시장에서 확장할 것”이라고 예상했다.

국회 과학기술방송통신위원회 소속 윤영찬 의원(더불어민주당)은 4일 국감장에서 “정부는 CSAP에 찬성하는 소프트웨어 기업이 있다고 하지만 AWS 컴포넌트 쓰는 곳”이라면서 “민간 시장은 82%가 글로벌 사업자들이 장악하고 있어 그나마 남아 있는 게 공공시장인데 국내 기업이 영역을 못 넓히면 데이터 주권을 잃을 우려가 있다”고 비판했다. 그는 “왜 과기부는 거꾸로 가는가”라고 질타했고, 이종호 과기정통부 장관은 “말씀 취지를 잘 들여다보고 하겠다”고 답했다.

공청회 한 번 없이 추진…데이터 주권 약화 우려

더 큰 문제는 의견 수렴 절차가 제대로 이뤄지지 않았다는 점이다. 등급제는 작년 9월 발표된 정부의 제3차 클라우드 컴퓨팅 기본계획에 전혀 언급되지 않았는데, 지난 8월 한덕수 국무총리 주재로 열린 제5회 국정현안점검 조정회의에서 갑자기 발표됐다. 과학기술정보통신부가 기업들을 불러 몇 차례 비공개 간담회를 거쳤다고는 하지만, 간담회 직후 서류를 걷어가는 등 공청회는 물론 공개적인 토론조차 없었다.

(그래픽=이미나 기자)

업계 관계자는 “보안인증 등급제를 규제 혁신이라고 부르려면 현재의 문제점과 제도 변화 시 기대 효과가 있어야 하는데, 과기정통부의 설명은 민간 클라우드 도입 활성화 하나뿐”이라고 꼬집었다. 현재 등급제에 관한 세부 방안 마련은 과기정통부에서 디지털플랫폼정부위원회로 넘어갔다.

외국계 클라우드를 쓸 경우 데이터 위치를 알 수 없어 데이터 주권이 약화할 수 있다. 공공에서 다루는 데이터가 정부의 관리 영역에서 벗어날 수 있다. 때문에 공공 분야 민간 클라우드 활용을 강조하는 세계 각국은 데이터의 국외 이전 문제에 경계심을 갖고 있다. 김법연 교수는 “해외에 서버가 있으면 한국 관할 밖이라 해당 국가에서 자의로 열어볼 가능성도 있다”고 우려했다. 미국은 ‘해외 데이터 이용 합법화’ 법률을 통해, 중국은 ‘사이버보안법(네트워크안전법)’을 통해 자국에서 발생하는 데이터를 보호하고 있다.

‘디지털 경제의 핵심 인프라’로 불리는 클라우드는 국가 차원에서 전략적으로 집중 육성해야 할 분야다. 이창준 한양대 정보사회미디어학과 교수는 “클라우드 산업은 겉으로 보기엔 ICT 산업이지만 데이터 안보와 관련 깊다”면서 “외국계 기업에 공공 시장을 열어주는 것은 당장은 타격이 없어 보여도 야금야금 국내 데이터 생태계를 잠식당할 빌미를 줄 것”이라고 우려했다.