'CSAP 등급제 폐지' 임박 … 국내 클라우드, 해외 빅테크와 무한경쟁 어쩌나

정부가 공공 클라우드 서비스에 필요한 보안 체계인 CSAP(클라우드보안인증) 제도 문턱을 낮춘다. 국내 CSP(클라우드서비스사업자)들은 해외 빅테크들과 무한경쟁 환경에 놓이면서 산업 전반이 흔들릴 수 있다는 우려가 제기된다.

29일 업계에 따르면 정부는 CSAP를 공공 의무 요건에서 민간 인증으로 전환하고 국정원 MLS(다층보안체계)와 통합하는 방안을 추진한다. 

상반기 내로 클라우드컴퓨팅법 등 관련 법령 등 개정안을 마련하고, 국정원의 새로운 단일 검증 가이드라인을 배포할 것이라는 전망이 나온다.

CSAP는 과학기술정보통신부가 주관하고 한국인터넷진흥원(KISA)가 심사를 담당하는 클라우드 보안 수준 인증 제도다. 정보시스템 중요도에 따라 2024년부터 상·중·하로 구분하는 등급제를 시행해 왔다.

외산 클라우드의 민간 시장 점유율이 90%를 넘는 상황에서 등급제는 공공 부문에 해외 빅테크 진출을 제한하는 역할을 해왔다. 서버 하드웨어를 국내에 보유해야 하고, 민간용과 공공용을 분리하라는 ‘물리적 망분리’ 등 요건을 갖춰야 한다는 점에서 해외 사업자 진출은 사실상 막혀있었다.

산업 보호 측면에서도 일정 부분 역할을 해온 CSAP지만, 체계를 개편하려는 주요 목적은 공공부문 클라우드 전환 속도를 높이기 위함이다. 정부는 당초 2025년까지 공공 시스템 클라우드 전환을 목표로 했으나, 클라우드를 서버 대체 공간이 아닌 운영체제처럼 사용하는 ‘클라우드 네이티브’로 전략을 수정하면서 전환 속도가 늦춰졌다.

행정안전부가 발표한 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진계획’에 따르면 현재 공공기관 클라우드 전환 완료율은 약 50%로 추정되며, 정부는 올해 말까지 주요 공공 시스템 70% 이상을 클라우드 네이티브로 전환한다는 계획이다. 지난해 9월 발생한 국가정보자원관리원 대구센터 화재 등 예상치 못한 재난 상황으로 공공 인프라의 민간 클라우드 전환 필요성이 더욱 부각됐다.

과기정통부 주도 CSAP와 국정원 보안적합성 검증으로 제기됐던 중복규제 문제를 해소하기 위함이기도 하다. 그동안 클라우드 사업자는 CSAP 인증을 받은 뒤에도 국정원 보안성 검토를 별도로 받아야 해 수억원대의 비용 부담과 더불어 인증에 필요한 최소 6개월 이상 시간을 감내해야 했다. 국정원이 추진 중인 업무 중요도에 따른 MLS로 보안 검증을 일원화하면서 인증 체계를 간소화한다는 취지다.

CSAP가 디지털 무역장벽으로 작용한다는 비판도 일정 부분 고려한 것으로 보인다. 미 국무부를 비롯해 미국무역대표부(USTR) 등 관련 기관은 CSAP를 미국 클라우드 기업의 시장 진출을 막는 무역장벽이라며 제도 폐지를 압박해 왔다. 정부는 이에 한미정상회담을 계기로 제도 완화를 검토한 것으로 알려졌다.

국내 CSP들은 등급제 폐지를 비롯한 공공 클라우드 진출 요건 완화에 대해 기대와 걱정을 동시에 드러내고 있다. 중복 규제 해소와 글로벌 표준 수용은 긍정적이지만, 저렴한 가격과 기술력을 내세운 해외 빅테크 진출이 가속화될 수 있다는 점에서다. 이미 AWS와 MS 등 빅테크들은 CSAP 하 등급을 취득해 공공 클라우드 시장에 발을 들여놓은 상태다.

업계 관계자는 “아직 정부의 개편 내용이 구체화되지 않아 방향성을 예의주시하고 있다”며 “이번 개편이 사업자 간 경쟁을 넘어 공공 클라우드 전반의 경쟁력을 강화하는 계기가 되길 기대한다”고 말했다.