[아이티데일리] 공공 클라우드에 대한 관심이 높아지는 상황 속에서 정부‧공공기관에 클라우드 서비스를 공급하기 위해 필요한 ‘클라우드 서비스 보안인증 제도(CSAP)’가 이슈가 되고 있다. CSAP 제도 개편을 두고 과학기술정보통신부(이하 과기정통부), 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(국무총리실 산하) 등 관련 부처 간 입장 차이가 있음은 물론, 제도 개편에 대한 국내 클라우드 서비스 제공사(CSP)들로부터 반대 목소리가 나오면서 이해 관계가 충돌하고 있는 것이다.

특히 기존 CSAP 보안인증을 데이터의 민감도에 따라 ‘상’, ‘중’, ‘하’ 등 세 등급으로 통합‧개편한다는 정부의 계획에 국내 CSP들이 거세게 반발하고 있다. 무엇보다 민간 시장에서 힘겹게 외국 CSP와 경쟁하고 있는 국내 CSP들은 이번 개편으로 해외 CSP가 공공 시장에 무혈입성할 것으로 예상하면서 공공 클라우드 시장마저 빼앗길 수 있다고 우려하고 있다. CSAP 완화‧개편 작업과 관련한 현 상황과 이를 바라보는 업계의 시각은 어떠한지 상세히 짚어본다. 

급물살 탄 CSAP 완화‧개편

CSAP는 공공기관에 안전성 및 신뢰성이 검증된 클라우드 서비스를 공급하기 위해 지난 2015년에 만들어진 제도다. 이용자의 보안 우려 해소는 물론, 국내 클라우드 업체의 서비스 경쟁력 확보에도 목적을 두고 마련됐다. 처음 CSAP가 등장했을 당시 업계는 크게 반발했다. 평가 항목이 너무 많은 데다 시간과 비용이 생각보다 많이 들어갔기 때문이다.

이후 한국규제학회가 CSAP를 중국 사이버 안보법과 유사한 규제라고 규정하면서 지난해 12월 본격적으로 CSAP 완화‧개편에 대한 필요성이 제기됐다. 학회는 국제표준을 반영하지 않고 국내에서만 통용되는 기술을 요구하는 CSAP가 세계 시장에서 국내 클라우드 기업 및 기술이 고립되는 상황을 초래하는 규제 장벽이 될 수 있다고 지적했다. 이에 따라 한국규제학회는 보안 우려 해소를 목적으로 행정기관, 공공기관, 지방공사 및 공단, 학교, 정부출연 연구기관 등 총 1만 3,000여 기관에 적용되는 CSAP를 개선해야 한다는 입장을 내놨다.

올 5월 들어서는 사이버안보비서관실 회의가 개최되며 CSAP 인증제도를 세분화하자는 얘기도 나왔다. 며칠 뒤 조 바이든 미국 대통령이 방한한 이후에는 주한미국상공회의소(암참, AMCHAM)에서 과기정통부 장관에게 CSAP 완화와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식도 전해졌다.

이는 그간 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등 국내에 진출한 미국 기업들이 공공 진출의 걸림돌이 됐던 물리적 망분리에 대한 문제를 미국 정부를 통해 해결하려 했던 것으로 풀이된다. AWS, MS, 구글 클라우드 등은 암참을 통해 논리적 망분리를 허용할 수 있도록 정부에 꾸준히 요구를 해왔던 것으로 알려졌다.

이후 6월 초 국가정보원은 국내 CSP로부터 CSAP 완화에 대한 의견을 듣는 자리를 마련했다. 이때 처음으로 데이터 중요도에 따라 CSAP를 상, 중, 하 등급으로 나눈다는 얘기가 나왔다. 이와 함께 기존 CSAP 등급 대부분을 ‘중’ 등급으로 상향 조정해준다는 내용도 처음 공개됐다.

업계에 따르면 마침내 지난 6월 29일에는 국무총리 지시로 과기정통부에 CSAP 완화‧개편 지시가 떨어진 것으로 전해진다. 바로 다음날인 6월 30일 과기정통부는 ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외 진출 지원방안’을 주제로 ‘제2차 디지털 국정과제 연속 현장 간담회’를 열고 “CSAP SaaS 기준을 완화하기 위해 관계 기관(국가정보원)과 협의 중이며 이르면 3분기, 늦어도 연내에 데이터 중요도에 따라 등급을 분류하고 제도를 완화하겠다”고 발표했다.

또한 업계 한 관계자에 따르면 7월 1일에는 암참의 주최로 만찬 자리가 있었고, 국무총리가 만찬에 참석해 양국의 우호를 증진하기 위해 규제를 혁신하겠다고 선언했다고 한다. 이날 국무총리의 규제혁신 선언과 관계가 있는지는 단언할 수 없지만, 7일 뒤인 7월 8일에 과기정통부는 CSP 8개사를 소집해 회의를 진행했다. 이날 “CSAP를 완화, 개편하는 이유가 무엇인가”에 대한 CSP들의 질문이 빗발쳤지만, 과기정통부는 이에 대해 명확한 답을 하지 못했다고 일부 회의 참석자들은 토로했다.

이후 7월 26일 과기정통부는 또 한 번 회의를 소집했다. 당시 회의 주재 국장은 “CSAP를 ‘상’, ‘중’, ‘하’로 구분하며, 데이터 민감도에 따라 ‘상’은 국가 안보, 외교에 대한 중요 국익 관련 시스템, ‘중’은 현재의 CSAP 인증 수준, ‘하’는 대민서비스 영역에 적용하겠다”고 발표했다. 이에 대해 기업들의 불만이 쏟아지자 과기정통부의 A 국장은 “과기정통부도 (CSAP 완화, 개편을) 왜 하는지 모르겠다. 위에서 지시가 내려와서 한다”고 말한 것으로 전해진다.

또 당일 오후에는 국가정보원에서도 회의를 열었고, 국정원은 “통상 압력으로 인해 CSAP 완화는 불가피하다. 안보 차원에서 철저히 준비하겠다. 이를 위해 ‘국가사이버안보 민간협의체’를 구성했고, 그 안에 클라우드 분과, 보안인증 분과, 암호화모듈 분과 등 3개 분과를 신설하겠다”는 입장을 보였다.

결국 이날 회의를 통해 “서비스형소프트웨어(SaaS) 기업들이 CSAP 인증을 받기 힘들어 완화 개편이 필요하다”는 정부의 주장은 구실일 뿐, 통상 압력 때문에 어쩔 수 없이 추진하고 있다는 점이 명확해졌다고 할 수 있다는 게 상당수 업계 전문가들의 시각이다. 

또한 업계 전문가들은 과기정통부가 주무부처로 CSAP 완화‧개편 작업을 진행하면서, 국가 안보의 핵심인 국정원을 협조 기관으로 넣었다는 점에 의아함을 표하고 있다. 한 관계자는 “과기정통부는 타 부처와 논의하지 않고 자체적으로 초안을 만들었고, 추후 이를 공유했다”고 밝히며 이 같은 의견을 뒷받침했다.

다음날인 7월 27일에는 행정안전부 주재로 회의가 열렸고, 국내 CSP 대부분이 참석했다. 행정안전부는 과기정통부가 국가 정보자원의 클라우드 전환을 주관하는 행정안전부를 정책 결정 과정에서 배재하는 것은 옳지 않고, CSAP 인증을 규제로 규정하는 것 역시 문제가 있다는 입장을 보였다.

8월 5일 과기정통부는 NHN클라우드, 카카오엔터프라이즈, 네이버클라우드, KT클라우드 관계자들과 회의를 개최했다. 하지만 이들 관계자들에 따르면 이날 회의는 특별한 안건 없이 종전 회의에서 나왔던 CSP들의 불만을 다시 한 번 듣는 자리 정도였던 것으로 전해진다. 이후 8월 10일에는 과기정통부에서 다른 분과 국장이 CSP들에게 회의에 참석할 것을 요청했지만, CSP들은 참석하지 않았다고 한다.

이에 대해 한 소프트웨어(SW) 기업의 관계자는 “사실 그간 각 부처별로 꾸준히 회의를 열어 CSP의 의견을 듣는 자리를 마련하고 있었지만, 막상 CSP의 의견은 전혀 반영되지 않고 있고 단순히 만나는 횟수만 늘어나고 있다”면서, “짐작해보면 과기정통부 차원에서 CSP의 의견을 충분히 수렴했다는 점을 부각하기 위해 회의 횟수를 늘리려는 것 같다”고 말했다.

이후 8월 18일에는 한덕수 국무총리가 ‘제5회 국정현안점검조정회의’를 개최, 그간 수면 아래 있던 CSAP 개편에 가속도가 붙기 시작했다. 이날 한 총리는 과기정통부 등 관계기관과 대통령 직속 디지털플랫폼정부위원회가 협업하는 가운데 이해관계자 의견 수렴을 거쳐 세부적인 CSAP 제도 개편 방안을 마련하고, 지속적인 현장 적용 모니터링과 추가 개선 사항 발굴을 통해 규제 개선 효과를 극대화해 나갈 예정이라고 강조했다.

이 같은 과정을 거쳐 마침내 신설될 CSAP 평가기준에는 물리적 망분리 요건을 완화하는 방안이 담길 것으로 예상된다. 이 경우 정부가 현행 CSAP 제도를 따르면서 ‘데이터 주권(Data Sovereignty)’을 수호하는 자국 기업보다 물리적 망분리를 무역 장벽으로 규정하고 완화를 촉구해 온 미국 정부와 기업의 입장을 대변한다는 비판을 면하기 어렵게 될 전망이다.

과기정통부 관계자는 “인증제도 개편안이 구체적으로 나와 봐야 알겠지만, 민간 클라우드 시장을 확대하는 방향으로 갈 것”이라며, “클라우드 이전 대상 자체가 넓어져 서비스형인프라(IaaS)뿐 아니라 SaaS까지 공공에 제공하는 여건이 마련되고 민간 시장에 활력을 불어넣을 수 있다”고 주장하고 있다. 하지만 업계의 반응은 냉랭하다. 업계 한 관계자는 “현재 공공 클라우드 전환 사업은 정부에서 주장하는 ‘하’에 속하는 시스템들로, 인증제도가 개편될 경우 외국 CSP의 공공 시장 참여가 본격화될 것이다. 정부 어느 부처도 ‘중’에 속하는 시스템 전환 사업을 보장해주지는 않고 있다”고 말하며 외국 업체의 공공 시장 참여에 대해 우려했다.