국내 클라우드서비스제공사업자(CSP)들이 정부의 클라우드보안인증(CSAP) 등급제 개편 강행에 맞서 똘똘 뭉쳤다. CSAP 등급제 개편으로 아마존웹서비스(AWS), 마이크로소프트(MS) 애저 등 외국계 기업이 공공 시장에 발을 들이면 점유율 싸움에서 국내 기업이 질 공산이 크다는 판단에서다. 이들은 해외 기업에 유리하게 작용할 것으로 예상되는 상·중·하 등급 순차 시행에 반대하는 입장을 밝히는 한편 정부에 공론의 장을 열어달라고 요구했다.
CSAP는 공공기관에 제공되는 민간 클라우드 서비스의 안전성과 신뢰성을 검증하는 제도다. ①민간 기업용 클라우드 서버와 공공기관용 클라우드 서버를 각기 다른 공간에 조성하고 ②관리 인력 또한 별도로 둬야 한다는 물리적 망 분리 조건을 내세워 그간 외국 기업의 공공 시장 진입을 막아왔다. 과학기술정보통신부는 CSAP를 등급제로 개편, 중요도가 낮은 일부 공공기관 시스템에 한해 해당 조건을 논리적 망 분리 조건으로 대신한다는 방침이다. 이를 위해 지난달 말 행정예고한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 이달 중 공포할 계획이다.
6일 한국클라우드산업협회(KACI)에 따르면 네이버클라우드, KT클라우드, NHN클라우드, 카카오엔터프라이즈, 가비아 등 국내 7개 대·중소 CSP사들은 전날 서울 서초구 KACI 대회의실에 모여 긴급 간담회를 가졌다. 이들은 이 자리에서 ▲CSAP 상·중·하 등급 동시 시행 ▲CSAP 전등급에 대한 시범·실증 진행 ▲CSAP 적용 범위의 명확화와 더불어 유관부처 및 사업자가 참여하는 공론의 장 마련 등이 필요하다는 데 뜻을 모았다. KACI는 오는 10일 국내 서비스형 소프트웨어(SaaS), 서비스형 플랫폼(PaaS), 클라우드관리사업자(MSP) 등 회원사를 대상으로도 간담회를 열고 의견을 취합해 정부에 제출할 예정이다.
CSP사들은 먼저 CSAP 상·중·하 등급의 형평성 있는 진행이 필요하다고 강조했다. 상·중 등급처럼 실증을 거치지 않고 하 등급을 우선 시행하는 건 국내 기업에 대한 역차별이라는 지적이다. 하 등급은 과기정통부가 이번에 논리적 망 분리 조건을 적용, 외산 기업들에게 문을 열어준 등급이다. 과기정통부는 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템을 이 등급으로 분류할 전망이다. 이들 기업은 하 등급 분류 기준에 대해서도 “개인정보 뿐만 아니라 신용정보를 포함하는 시스템도 하 등급에서 제외돼야 한다”고 했다.
CSP사들은 그러면서 CSAP 전등급에 대한 실증을 주장했다. 등급제 개편과 시행이 기술·보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황에서 굳이 하 등급을 실증 대상에서 제외할 이유가 없다는 설명이다. 이들은 CSAP가 사업자격이 아닌 보안 인증인 점을 들어 상·중·하 등급 안정성을 파악하고 시행하는 것이 등급제 개편 취지에 부합한다고도 했다.
CSP사들은 이날 정부의 소통 부족에 대한 불만도 제기했다. 정부가 행정예고를 발표하고 일주일이 지났는데도 등급제 적용 범위가 여전히 모호하다는 것이다. 기업들은 1월 하순 시행 예정인 ‘국가정보보안 기본지침’에 대한 내용도 마찬가지로 공유되지 않고 있다며, 과기정통부가 유관부처인 국가정보원, 행정안전부와 함께 공청회를 열어 CSAP 등급제 개편 세부 계획을 밝혀야 한다고 했다. 또 “등급제 세분화에 따라 공공 클라우드 시장이 더욱 확대될 것으로 예상되는데 관련 데이터를 공개해달라”며 “전체 시장 대비 상·중·하 등급 비율, 특히 논리적 망 분리를 허용하는 하 등급에 대한 비중이 알고 싶다”고 했다.
국내 CSP사들이 우려하는 건 외국계 기업의 공공 시장 잠식이다. 민간 시장을 이미 내어준 만큼 막대한 비용을 들여 물리적 망 분리를 마치고 공공 시장에 주력해왔는데 전부 허사로 돌아갔다는 허탈감도 나온다. 공정거래위원회에 따르면 최근 3년(2019~2021년)간 국내 시장에서 외산 클라우드가 차지하는 비중은 80%에 육박한다. 2020년 기준 AWS가 70.0%, MS 애저가 9.4%를 차지했다. 한 국내 CSP사 관계자는 “하 등급에는 클라우드 전환이 가능한 서비스들이 몰려있다”며 “정부가 사실상 모든 빗장을 풀어준 것”이라고 했다.
하지만 정부가 CSP사들의 의견을 개정안에 반영할지는 미지수다. 메가존클라우드, 베스핀글로벌 등 해외 기업을 주요 파트너로 삼고 성장해온 MSP들은 CSAP 등급제 개편을 반기고 있기 때문이다. SaaS 기업들도 내심 기대하는 눈치다. 국내 대부분 SaaS 기업은 현재 글로벌 시장 진출을 목적으로 AWS 등에 자사 소프트웨어(SW)를 올렸다.
SaaS 기업 목소리에 귀 기울이겠다는 정부의 의지도 확고하다. 이선웅 클라우다이크 대표는 지난해 박윤규 과기정통부 제2차관이 주최한 ‘제2차 디지털 국정과제 연속 현장 간담회’에서 CSAP 개편을 요구하며 “변화하는 환경을 반영해 제도도 바뀌어야 한다”고 말했다. 당시 박 차관은 “앞으로 ‘SW는 SaaS다’라는 생각으로 규제 개선 및 조직 개편을 재점검하겠다”고 화답했다. 과기정통부는 ‘2023 주요업무 추진계획’에서 5년 내 2000개 이상의 SaaS 기업을 육성한다는 방침도 세웠다.