전체메뉴

[애플경제 안정현 기자] '클라우드 보안인증(CSAP) 상·중·하 등급제' 도입을 앞두고 찬․반 논란이 가열되고 있다. 클라우드 사업자(CSP)들과, 관리사업자(MSP), SaaS를 공급하는 SW업계가 서로 의견을 달리하며 맞서고 있는 모양새다.

클라우드 업계, “‘하’ 등급 실증 후 동시 시행” 요구

우선 CSP 측은 아마존·마이크로소프트·구글 등 글로벌 기업이 공공 클라우드 시장을 장악할 것이라며 우려하고 있다. 반대로 기존의 까다롭고 엄격한 CSAP를 취득하기 어려웠던 국내 SW업계는 이번 개편을 통해 공공 및 해외 시장에 진입할 수 있을 것으로 기대하며 시행을 재촉하고 있다.

앞서 클라우드 업계는 CSAP 등급제 도입과 관련해 상·중·하 등급을 동시에 시행할 것을 요구했다. ‘하’등급에 대한 일정 기간의 실증 과정을 거쳐야 하며, 그렇지 않고 바로 시행할 경우 보안성 문제가 우려된다는 주장이다.

클라우드 업계는 또 “CSAP가 3개 등급제로 개편되고 '하' 등급에 대한 논리적 망 분리가 허용되면 외국 클라우드 기업의 부담이 덜어져 국내 시장에 발을 넓힐 수 있다.”고 반발하고 있다. 실제로 세계 4위 클라우드 기업 구글클라우드코리아의 장화진 사장은 지난해 11월 “CSAP 개편이 이뤄지면 이에 맞는 보안 인증을 받고 국내 공공사업을 활발하게 펼칠 것”이라고 밝혔다. 토종 클라우드 업계의 반발할 수 밖에 없는 대목이기도 하다.

국내 CSP사들은 또 “여태 엄격한 물리적 망 분리 규정을 지켜오며 막대한 비용을 들였는데 이제 외국계 기업에게 자리를 빼앗기게 됐다”는 불평을 쏟아내고 있다. 또 “국내와 비교도 안 되는 막대한 자본력을 갖춘 외국 기업이 '하' 등급 진출을 발판 삼아 시장 독점 체제를 구축할 것”이라고 주장한다. 나아가 국내 민감 데이터가 외국으로 유출돼 데이터 주권이 침해될 것이라는 의견도 나왔다.

최근 행정안전부가 공공클라우드 전환사업 예산을 대폭 깎은 것도 CSP업계의 불만과 불안을 키우는 요인이 되고 있다. 본래 2025년까지 행정·공공기관 정보시스템을 전면 클라우드로 전환하겠다는 정부의 5개년 계획이 올해로 3년차를 맞았다. 그러나 행정안전부가 지난해 1786억원이던 공공 클라우드 전환사업 예산을 5분의 1로 토막낸 342억원으로 대폭 깎아버린 것이다.

이에 국내 클라우드 기업은 “예산까지 줄어든 마당에 CSAP 개편으로 좁은 자리를 두고 글로벌 기업과 경쟁할 수밖에 없어 이중고에 처했다”며 반발하고 있는 것이다.

SW업계, "SaaS 공공 시장 진출 초석, 서둘러 시행하라"

반면 SW업계나 MSP업자들은 이번 개편안을 환영하는 입장이다. 이들로선 복잡한 CSAP 인증 절차가 개편되면 중소 SaaS 업체들은 공공 시장에 진출할 기회를 얻을 수 있다. 또 공공 사업 진출로 실적을 쌓아 해외 시장 공략에 탄력을 받을 수 있다.

또한 MSP 업자들 역시 중개 내지 소개하는 클라우드 물량이 늘어남에 따라 이득을 볼 수 있다. CSP와 고객사 사이에서 클라우드 컨설팅, 아키텍처 구축 역할을 하는 MSP사 또한 글로벌 기업들을 협력사로 유치할 수 있어 CSAP 개편을 반기고 있다.

SW업계의 이익을 대변하는 한국소프트웨어산업협회(KOSA)는 지난 20일 SaaS 기업들을 대상으로 한 의견수렴 방식을 통해 당국을 압박하고 있다.

이에 따르면 CSAP 등급제 도입에 대한 의견 수렴 결과 한 기업이 “기존 CSAP 제도에서 CSAP를 통과한 SaaS의 수는 64개로, 공공에서 활용 가능한 SaaS는 매우 적은 수”라며 “'하' 등급 개방으로 국내 클라우드 시장을 변화시킬 수 있는 기회가 되길 기대한다”고 밝혔다고 한다. 이에 협회는 “SaaS 기업 대다수는 그간 원활하지 않았던 공공 클라우드 시장에서 민간 SaaS 도입이 활발해지는 계기가 마련돼야 하고, 이번 CSAP 개정은 이를 중점적으로 고려해야 한다”고 강조했다.

또 다른 SW기업은 "보안요소를 고려한 체계적 CSAP 등급제 마련도 동의하지만 신속한 클라우드 시장 확대를 위해서는 미흡하더라도 제도를 우선 시행하고, 제도·기술적 보완을 뒷받침해야한다"며 '선 시행, 후 보완'으로 개편을 조속히 시행하라는 SW업계의 입장을 내비쳤다. 클라우드 업계가 ‘하’등급 우선 시행에 반감을 표한 것과는 대조되는 대목이다.

심지어는 "개인정보를 포함하지 않는 '하'등급 개방은 시장 확대 측면에서 충분치 않다"며 "중·상 등급 개방에 대한 단계적 계획도 반드시 수반돼야 한다"는 목소리도 나왔다.

앞서 정부는 데이터 주권 훼손 우려와 함께 국내 클라우드 기업이 타격을 받을 것이란 비판이 심해지면서 지난 20일 CSAP 등급제 도입 관련 고시 개정안에 대한 행정예고를 18일에서 30일로 연장했다. 재(再)행정예고로 기간을 약간 늦출지언정 하등급 우선 시행 방침을 꺾지 않은 것이다.

과학기술정보통신부는 다만 글로벌 기업 독점이 우려되는 '하' 등급에는 보안성 평가를 더욱 강화하고, 백업 데이터의 물리적 위치를 국내로 한정하는 내용으로 구체화했다. 업계 반발에 한 걸음 물러서서, 이해관계자의 의견을 더 수렴하겠다는 취지로 해석된다.

다만 재행정예고 기간이 끝나면 당초 예고했던 대로 상·중 등급은 디지털플랫폼정부위원회와 공동 실증을 거치고, 논란의 하등급은 실증 없이 바로 먼저 시행한다.

한편 공정거래위원회에 따르면 지난 2021년까지 3년간 국내 클라우드 시장점유율은 아마존이 약 70%를 차지하며 사실상 독점을 이어가고 있다. 마이크로소프트가 뒤를 이어 12%, 네이버는 7%에 불과하다. 아마존·구글 등 해외 CSP는 CSAP 인증을 취득하지 못해 아직 공공부문 시장에는 진출하지 않았다.