과학기술정보통신부가 지난해 12월 29일 발표한 '클라우드보안인증(CSAP) 등급제 고시 개정안 행정예고' 일부 발췌. /과기정통부

클라우드보안인증(CSAP) 등급제 개편을 위한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안 행정예고 기한이 이달 18일에서 30일로 연장됐다. 업계에선 정부가 국내 서비스형 소프트웨어(SaaS) 사업자의 목소리에 귀 기울였다는 평가가 나온다. 2000년대 초반 ‘위피(WIPI)의 악몽’을 되풀이하지 않기 위해 CSAP 개편을 서둘렀다는 것이다. 위피는 정부가 2002년 선보인 표준 모바일 플랫폼으로, 당시 정부는 국내에서 판매되는 휴대전화 모두에 위피 탑재를 강제했었다. 애초 외산 휴대전화의 한국 시장 진입 장벽 역할을 할 것으로 기대됐던 위피는 국제 표준에 부합하지 않아 결국 국내 업체들의 경쟁력 약화를 초래했다.

25일 아산나눔재단과 아마존웹서비스(AWS), 구글 스타트업 캠퍼스, 스타트업얼라이언스, 코리아스타트업이 함께 발표한 ‘2022 스타트업 코리아!’ 보고서를 보면 전 세계 100대 유니콘 기업 중 국내에서 사업이 가능한 기업은 45개사에 불과하다. 나머지 43개사는 제한적으로 사업이 가능한 것으로 조사됐고, 승차공유·원격의료·공유숙박 등 분야 12개사는 사업이 아예 불가능한 것으로 나타났다.

글로벌 기업과 손잡고 해외 시장 개척을 꿈꾸는 국내 SaaS 사업자가 이번 CSAP 등급제 개편에 반색하는 이유가 여기에 있다. CSAP는 국내 공공기관에 클라우드 서비스를 제공하려는 업체라면 무조건 받아야 하는 인증이다. 이 인증이 없이는 공공 시장 진입이 불가능하다. 문제는 CSAP 취득이 까다롭다는 점이다. 현행 CSAP는 민간 영역으로부터의 물리적 분리, 정보보호제품에 대한 공통평가기준(CC) 인증 등 국제 표준 대비 지나치게 엄격한 수준의 보안 조치를 요구하고 있다.

박윤규 과학기술정보통신부 제2차관이 지난해 6월 30일 서울 강남구 한국타이어빌딩에서 ‘소프트웨어(SW) 산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외진출 지원방안’을 주제로 ‘제2차 디지털 국정과제 연속 현장 간담회’를 열고 있다. 참석자들은 이날 정부에 국내 서비스형 소프트웨어(SaaS) 산업의 성장을 위한 클라우드보안인증(CSAP) 제도 개선을 주문했다. /박수현 기자

특히 물리적 분리 조건은 엄밀히 따지면 클라우드보다 온프레미스 데이터센터에 가깝다는 지적이 나온다. 이에 맞춰 설계된 SaaS 제품은 민간 시장이나 세계 시장에서 통용되기 어렵다. 중소 SaaS 업체는 사업 기회를 확보하기 위해 경쟁력 있는 플랫폼과 협업해야 하는데, CSAP 기준에 부합하는 제품으로는 글로벌 플랫폼과 호환할 수 없기 때문이다.

이런 현행 CSAP의 한계는 수치로 드러난다. 현재 한국에는 약 1만5000개에 달하는 소프트웨어 개발업체가 있지만, 이중 CSAP를 취득한 곳은 30여곳 남짓이다. CSAP 취득에 쏟아부은 투자금만큼 성과를 거두기 쉽지 않기 때문에 대부분 기업이 망설이는 것이다.

CSAP가 생기면서 직접적으로 피해를 본 곳도 있다. 국내 주요 국립병원인 A병원은 CSAP 시행 이후 환자들의 유전체 데이터를 기반으로 적절한 치료 방법을 제안하는 솔루션을 제대로 활용하지 못하고 있다. 300여개에 이르는 미 의료기관이 해당 솔루션을 이용해 환자들에게 맞춤형 치료를 제공하고 있는 것과 상반된다. 국내 의료 기술 기업 B회사의 상황도 비슷하다. CSAP 기준에 맞춰 추가 인력 고용 및 자원 투입을 할 여력이 안돼 최근 국공립 병원을 대상으로 솔루션 판매를 포기했다.

이에 정부가 규제 완화 카드를 꺼냈다는 게 업계 해석이다. 과학기술정보통신부는 지금의 CSAP를 국가·공공기관의 시스템을 중요도에 따라 상‧중‧하 3등급으로 나누고, 등급별로 다른 기준을 적용할 방침이다. ‘하’ 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, ‘중’ 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, ‘상’ 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류할 계획이다. 이중 하 등급에는 기존 물리적 분리 조건이 아닌 논리적 분리 조건을 도입한다.

한 업계 관계자는 “이런 개방 정책은 한국의 시장 투명성을 국제 사회에 각인시키는 데 도움을 줄 수 있고 국내 기업이 해외 진출 시 봉착하게 되는 유사한 규제 상황에 대해 보다 공정한 무역환경을 요구할 수 있는 명분을 준다”며 “CSAP가 개편되면 개방성과 혁신 가능성 측면에서 공공 부문의 고무적인 변화도 기대할 수 있다”고 했다.

그는 이어 “무엇보다 국내 SaaS 기업의 해외 진출이 가속화될 것이다”며 “SaaS가 국내 공공 부문에 성공적으로 안착하고 글로벌 클라우드 인프라에 구축되면 글로벌 조달 시장에서 경쟁력을 가지고 두각을 나타낼 수 있을 것”이라고 했다.