클라우드 보안인증제 개편 논란... 산업 활성화 vs 데이터 주권 상충

클라우드 보안인증(이하 CSAP) 등급제 개편을 두고 관계 당국과 업계 갈등이 지속되고 있다. 산업 활성화와 데이터 주권 등을 두고 논의가 이어질 것으로 보인다.

16일 업계에 따르면 과학기술정보통신부(이하 과기정통부)는 CSAP 등급제 시행을 위한 세부안 마련 일정을 연기했다. CSAP란 국가가 지정한 인증기관으로서 한국인터넷진흥원이 정보보호 기준의 준수 여부를 평가하는 제도로, 공공부문에 진출하기 위한 필수 절차다.

과기정통부는 8월 CSAP 인증 요건을 개편하겠다고 밝혔다. 그동안 인증제도는 취득과 미취득으로 나눴지만, 이를 상·중·하 3개 등급별로 차등을 두겠다는 계획이다. 도입 취지는 폐쇄적인 인증 구조로 공공부문 진출이 제한됐던 글로벌 기업과 인증 통과가 어려운 서비스형 소프트웨어(이하 SaaS) 제공 기업의 요구를 수용한 것이다.

CSAP 인증 조건에는 공공용과 민간용 인프라를 물리적으로 분리토록 강제해 국외 클라우드 기업의 공공부문 진출은 제한됐다. 해외 클라우드 기업은 물리적 분리가 아닌 소프트웨어상 분리로 국내 시장에 진출해 CSAP 요건을 충족할 수 없었다. 그러나 등급제 개편을 통해 가장 낮은 등급인 ‘하’ 등급은 소프트웨어 분리만으로도 인증을 획득할 수 있게돼 논란이 됐다.

10월 진행한 과학기술정보방송통신위원회(이하 과방위) 국정감사에서는 글로벌 클라우드사업자(이하 CSP)가 등급제 개편을 통해 공공부문에 진출할 것을 우려하는 목소리가 나왔다. 과방위 위원들은 CSAP 제도 완화로 해외 사업자가 국내 시장을 잠식할 뿐만 아니라 데이터 주권을 잃을 수 있다고 지적했다.

클라우드 산업계에서는 CSP와 SaaS 기업들 간 이해관계가 팽팽하게 맞서고 있다. 국내 CSP는 외산 클라우드가 민간 시장 80% 이상을 장악한 상황에서 공공부문 수주에 사활을 걸어 불만이 나오고 있다. 아마존 등 외산 클라우드를 사용하는 SaaS 업체들은 그동안 CSAP 제도로 인해 막혔던 공공부문 시장에 진출할 기회가 생겨 환영하는 모습이다.

과기정통부의 CSAP 등급제 개편 논의는 한 발 미뤄진 상태다. 등급제 개편을 적용하려면 2023년 1월로 예정된 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’ 시행령 개정 시기에 맞춰 안건으로 처리해야 한다. 이에 CSAP 세분화 방안을 포함하려면 11월에는 세부안을 만들어 논의를 거쳐야 하지만 사실상 무기한 연기됐다.

정부는 논의를 잠시 중단한 것일 뿐 완전히 멈춘 것은 아니라는 설명이다. 앞으로는 과기정통부 주도가 아닌 디지털플랫폼정부위원회를 중심으로 CSAP 등급제 도입과 평가기준 완화 방침 등 논의가 전개될 예정이다. 과기정통부도 시행령 개정과 별개로 업계와 의견을 조율한다는 방침이다.

업계 관계자는 “CSAP 등급제를 도입하더라도 시장에 대단히 큰 영향을 줄 것인지에 대해서는 따져봐야 할 일”이라며 “등급제라는 큰 틀의 방향을 잡았기 때문에 논쟁에 매몰되기 보다는 실제로 하 등급 공공데이터의 중요성 여부나 해외 클라우드의 도입 수준 등 디테일한 부분의 논의가 중요하다”고 말했다.