아마존웹서비스(AWS)·마이크로소프트(MS)·구글 등 글로벌 IT기업들이 한국 공공 클라우드 시장 진출 초읽기에 들어갔다. 민간 클라우드 서비스 사업자가 공공 클라우드 서비스를 하기 위해선 ‘클라우드 보안인증(CSAP)’을 획득해야 하는데, 주요 외국계 사업자들이 이를 정부와 논의 중이다.
18일 과학기술정보통신부에 따르면, 현재 10개 안팎의 외국계·국내 기업들이 새롭게 개편된 클라우드 보안인증 신청을 준비 중이다. 클라우드 보안인증 신청을 하고 인증서를 받기까지 짧게는 3개월에서 길게는 9개월까지 소요된다.
과기정통부 관계자는 “외국계 기업 몇 곳이 KISA(한국인터넷진흥원) 등과 협의를 통해 클라우드 보안인증을 신청하기 직전인 상황”이라며 “인증을 받으면 허용된 범위 내에서 공공 클라우드 서비스를 할 수 있게 된다”라고 말했다.
앞서 과기정통부는 지난 1월 29일 행정 예고한 ‘클라우드 보안인증 고시 개정안’을 통해 국가기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 구분, 등급별로 차등화된 클라우드 보안인증 기준을 적용한다.
하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무자료를 포함하는 시스템, 상 등급은 민감한 정보를 포함하거나 행정 내부업무를 운영하는 시스템에 적용한다. 과기정통부는 중과 상 등급은 실증 사업을 거친 뒤 올해 안으로 시행할 방침이다.
특히 하 등급의 경우 ‘논리적 망분리’를 허용해 AWS 등 외국계 기업들의 시장 진입이 수월해졌다. 논리적 망분리는 네트워크 가상화 기술을 통해 가상 수준에서 네트워크를 분할하는 것이다.
그동안 기존의 클라우드 보안인증을 받으려면 반드시 ‘물리적 망분리’를 했어야 했는데, 외국계 클라우드 서비스 기업의 경우 서버가 외국에 있어 공공 시장에 진출하지 못했다. 하지만 앞으로는 논리적 망분리 적용만으로도 공공 클라우드 시장에 진출할 수 있게 된 것이다.
국내 클라우드 서비스 기업 입장에선 발등에 불이 떨어졌다. KT클라우드·네이버클라우드·NHN클라우드·카카오엔터프라이즈 등 국내 기업들은 외국계 기업들이 장악한 민간 시장 대신 공공 시장에 주력하고 있었기 때문이다.
국내 한 클라우드 서비스업체 관계자는 “당장 하 등급만으로 서비스할 수 있는 공공 분야가 크지는 않겠지만 상·중 등급에 대한 진입 장벽이 서서히 낮아질 수 있다”면 “민간 시장을 장악한 AWS나 MS 등이 공공시장에 진입한다면 국내 기업들이 고사되고 데이터 주권을 잃게 될 것”이라고 말했다.
한편 KISA에 따르면 현재까지 발급된 클라우드 보안인증서는 총 92건이고, 유지되고 있는 인증서는 85건. 인증서 유효 기간은 2년으로 매번 새롭게 인증을 받아야 한다.