클라우드보안인증(CSAP) 등급제 개편 이후 잡음이 이어지는 가운데 미국 상공회의소(USCC)가 정부에 하 등급뿐 아니라 중 등급에 대해서도 논리적 망 분리를 허용해 달라고 요구했다. 국내 클라우드서비스제공사업자(CSP) 업계는 사실상 공공 클라우드 시장 전체를 열라는 압박이라며 우려를 표하고 있다.
CSAP는 공공기관에 제공되는 민간 클라우드 서비스의 안전성과 신뢰성을 검증하는 제도다. 그간 ①민간 기업용 클라우드 서버와 공공기관용 클라우드 서버를 각기 다른 공간에 조성하고 ②관리 인력 또한 별도로 둬야 한다는 물리적 망 분리 조건으로 외국 기업의 공공 클라우드 시장 진입을 막는 방파제 역할을 해왔다.
과학기술정보통신부는 CSAP를 국가·공공기관의 시스템을 중요도에 따라 상‧중‧하 3등급으로 나누고, 이중 하 등급에는 논리적 망 분리 조건을 적용한다는 내용의 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 지난달 30일까지 행정예고하고 이튿날인 31일 공포했다. 논리적 망 분리 조건에서 기업은 민간 기업용 클라우드 서버와 공공기관용 클라우드 서버를 물리적 공간이 아닌 가상의 공간에 따로 조성해도 된다.
20일 업계에 따르면 USCC는 지난 9일 과학기술정보통신부에 공문을 보내 CSAP 중 등급으로 논리적 망 분리 조건을 확대 적용해달라고 요구했다. 주한미국상공회의소(AMCHAM·암참)는 앞서 회원사인 아마존웹서비스(AWS), 마이크로소프트(MS) 등의 의견을 수렴해 정부에 CSAP 등급제 개편을 요구해왔다. 다만 논리적 망 분리 조건 적용 범위를 확대해달라는 요구는 이번이 처음이다.
USCC는 공문에서 ‘클라우드 서버 관리 인력의 한국 배치 의무’ 조항도 삭제해달라고 요구했다. 해당 조항이 데이터의 자유로운 이동을 지원하는 클라우드의 기본 특성을 반영하지 않고 있으며, 따라서 “전례 없는 요건으로 규제 문제로 비화할 수 있다”는 주장이다. USCC는 그러면서 “행정예고 마감 하루 만에 개정안을 공포하는 등 한국 정부의 성급한 도입에 굉장히 실망했다”며 “훌륭한 규제 관행은 투명한 거버넌스와 공정 거래의 기본이다”라고 했다.
국내 CSP사들은 USCC가 ‘공정 거래’를 언급하며 공공 클라우드 시장 추가 확대를 요구한 점에 주목했다. 미국과의 통상 마찰을 우려하는 정부가 암참이 꺼낸 ‘무역 카드’를 무시하기는 어려울 것이란 분석이다. 더욱이 지난해 CSAP 등급제 개편이 급물살을 탄 데에는 암참의 역할이 컸다. 암참은 지난해 5월 조 바이든 미국 대통령의 방한을 계기로 과기정통부에 CSAP 등급제 개편의 필요성을 강조하는 공문을 보낸 바 있다. 이후 한 달 만에 국가정보원은 국내 CSP사들과 이에 대해 논의하는 자리를 마련했고, 과기정통부는 CSAP 등급제 개편을 공식화했다.
바이든 대통령 방한 두 달 만인 지난해 7월에는 한덕수 국무총리가 암참이 주최한 미국 기업 대상 간담회에 참석해 “지난 3~5년간 암참 회원사들이 끊임없이 ‘한국의 정책 및 법규가 국제적 기준에 들어맞지 않는다’고 말해왔지만, 소통이 되지 않았다는 점이 마음에 들지 않았다”며 “윤석열 정부는 다를 것이다. 기업인들의 목소리를 경청하고 기업 프로세스를 투명하게 할 것”이라고 말했다. 이와 관련, 한 국내 CSP사 관계자는 “정권이 바뀌면서 암참의 입김이 세졌다”며 “정부는 이미 하 등급을 미국 기업들에게 열어줬다. 정부가 USCC의 이번 무리한 요구도 받아들일까 걱정된다”고 했다.
국내 CSP사들은 정부의 CSAP 등급제 개편 추진에 반대해왔다. 민간 클라우드 시장에 이어 공공 클라우드 시장까지 외국 기업에 잠식될 가능성이 높아지는 데다, 정부가 세부적 기준 공유 없이 급하게 제도를 추진한다는 이유에서였다. 고재희 카카오엔터프라이즈 상무는 지난달 16일 윤영찬 더불어민주당 의원이 개최한 ‘바람직한 클라우드 생태계 발전방안 토론회’에 참석해 “우리 좀 살려달라”며 “(CSAP 등급제 개편으로) 공공 클라우드 시장이 어느 정도로 커질 지에 대한 확신이 있어야 투자를 할텐데, (정부가 공유해주는) 정보가 아무것도 없다. 카카오라는 대기업도 힘에 부친다”고 토로하기도 했다.
CSAP는 공공 데이터를 안전하게 지키고 관리하기 위해 마련된 제도인데, USCC의 요구는 이런 취지와 정반대된다는 지적도 일각에서 나온다. 또 다른 국내 CSP사 관계자는 “과기정통부가 중 등급으로 분류한 시스템은 ‘비공개 업무자료를 포함 또는 운영하는 시스템’이다”라며 “논리적 망 분리 적용 대상 등급을 확대하면 우리나라 데이터 주권은 약해질 수 밖에 없다”고 했다. 그는 “클라우드 서버 관리 인력의 한국 배치를 기업에 맡기는 것도 있을 수 없는 일이다”라며 “만일의 사태에 대비해 데이터센터에 현장 인력을 두는 건 기본이다. 하물며 민간 기업도 그렇게 하는데 국가·공공기관이 사고 발생 시 원격으로 대응한다는 건 말이 안 된다”고 했다.
과기정통부는 디지털플랫폼정부위원회와 관계부처 공동 실증‧검증을 통해 세부 평가기준을 보완하고, 연내 중·상 등급을 시행할 방침이다. 한 국내 CSP 관계자는 “당장 바뀔 건 없다는 게 정부 입장이지만 긴장을 늦출 수 없다”며 “국내 클라우드 산업은 이제 막 성장하는 단계에 있어 정부의 지원이 그 어느 때보다 필요한데, 정책 수립에 업계 의견이 잘 반영이 되지 않는 것 같아 안타깝다”고 했다.