[아이티데일리] 공공 클라우드에 대한 관심이 높아지는 상황 속에서 정부‧공공기관에 클라우드 서비스를 공급하기 위해 필요한 ‘클라우드 서비스 보안인증 제도(CSAP)’가 이슈가 되고 있다. CSAP 제도 개편을 두고 과학기술정보통신부(이하 과기정통부), 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(국무총리실 산하) 등 관련 부처 간 입장 차이가 있음은 물론, 제도 개편에 대한 국내 클라우드 서비스 제공사(CSP)들로부터 반대 목소리가 나오면서 이해 관계가 충돌하고 있는 것이다.

특히 기존 CSAP 보안인증을 데이터의 민감도에 따라 ‘상’, ‘중’, ‘하’ 등 세 등급으로 통합‧개편한다는 정부의 계획에 국내 CSP들이 거세게 반발하고 있다. 무엇보다 민간 시장에서 힘겹게 외국 CSP와 경쟁하고 있는 국내 CSP들은 이번 개편으로 해외 CSP가 공공 시장에 무혈입성할 것으로 예상하면서 공공 클라우드 시장마저 빼앗길 수 있다고 우려하고 있다. CSAP 완화‧개편 작업과 관련한 현 상황과 이를 바라보는 업계의 시각은 어떠한지 상세히 짚어본다. 

불명확한 이유와 목적…결국 이유는 ‘통상 이슈’

국내 CSP 기업들은 CSAP 완화‧개편에 대해 반대 목소리를 내고 있다. 국내 CSP 기업들은 CSAP 완화‧개편을 추진하는 이유와, CSAP 완화‧개편을 통해 얻을 수 있는 이점이 무엇인지에 대해 정부가 명확한 답변을 내놓지 못하고 있다는 점도 문제라고 주장한다. 그렇기 때문에 이런 상황에서 좋은 제도가 나올 수 없다는 것이다.

실제 먼저 정부가 처음으로 내놓은 답은 “SaaS 기업들이 CSAP를 취득하기 어렵다”는 것이었다. 하지만 이것 역시 표면적인 이유일 뿐이라는 게 업계 관계자들의 지적이다. 실제로 초기에 IaaS 부분에 대한 CSAP 인증 완화는 단 한 기업도 주장하지 않았으며, CSAP 완화를 요청했던 지점은 모두 SaaS에 대한 인증 완화였다는 것이다.

국내 업체들은 SaaS 기업들이 CSAP를 취득하기 어려워 제도 개선에 나설 경우 당연히 SaaS 기업들로부터 불편 사항을 청취하고 개선하는 과정이 있어야 했다는 점을 지적한다. 하지만 현재 정부는 IaaS 기업에게 “SaaS 기업이 힘들어하니 CSAP를 전면 완화, 개편할 것”이라고 주장하는 상황이다.

이에 대해 CSAP SaaS 인증을 취득한 기업의 한 관계자는 “SaaS 기업의 불만 사항은 멀티 테넌트(Multi-Tenant)와 관련된 부분이 가장 많다. 예를 들어 ‘스토리지를 고객사별로 분리해야 한다’는 조건이 CSAP의 평가 항목에 있다. 클라우드의 표준 스토리지는 오브젝트(object) 기반이다. 이미 파일을 잘게 쪼개 여러 곳의 스토리지에 분산 저장하고 있다. 이런 상황에서 고객사별로 따로 모아야 한다는 것은 이해하기 힘들다”고 설명했다.

또 다른 업체의 한 관계자는 SaaS 기업을 물탱크 제공사에, 민간 기업을 아파트에, 공공기관을 단독주택에 비유해 현 상황을 설명했다. 아파트는 하나의 물탱크를 두고 아파트 내 모든 가구에 물을 공급한다. 이때 사용한 만큼 가구별로 수도세를 지불한다. SaaS가 추구하는 개념과 같다.

하지만 단독주택은 개별 주택마다 물탱크를 만들어야 한다. 따로 시스템을 구축하고 사용한 만큼 지불하는 개념이다. 현재 정부의 IT 시스템 환경은 단독주택과 형태가 동일하다. 그런데 현재 추진하는 정부의 제도는 SaaS 기업들에게 아파트 물탱크를 단독주택 규격과 조건에 맞추라는 것과 같은 이치라는 게 이 관계자의 설명이다.

현재 정부는 ‘CSAP라는 규격을 갖춘 SaaS 친화적인 형태’를 도입하기를 원한다. 당연하게도 SaaS 기업들은 기업에서 멀티 테넌트 방식으로 손쉽게 제공하던 CSAP에 어려움과 불만을 가질 수밖에 없다.

CSAP 제도를 만들 때 참여했던 한 관계자는 “CSAP가 처음 만들어진 2015년은 클라우드의 초기 모델이라 부족함이 있을 수밖에 없었다. 그러나 지난 8년 동안 다양한 클라우드 컴퓨팅 법과 가이드라인, 제도의 중심축을 도맡아 온 제도를 규제로 낙인찍고 완화한다는 사실을 받아들일 수 없다”고 말했다.

이어 그는 “차라리 SaaS 기업들이 어떤 점을 힘들어하는지를 파악하고, 그 점만 완화하면 된다. 설사 IaaS 인증 장벽을 완화해 AWS가 논리적 망분리 여건을 갖추고 공공 시장에 진입하더라도, SaaS 기업은 AWS 위에서 다시 인증받아야 한다. 이것이 SaaS 기업의 불편을 덜어줄 수 있다고 생각해서는 안 된다”면서, “더구나 시스템 중요도 ‘하’에 대한 부분을 해외 CSP에 풀어준다고 해서 ‘중’, ‘상’에 대한 수요를 국내 CSP에게 열어주는 것도 아니다. 행정안전부가 이 부분을 관장하는데, 여기에 대해 아무런 답이 없다. CSP로 하여금 무작정 ‘하’ 수준에서 AWS와 출혈 경쟁하라는 것으로 들릴 뿐이다”라고 비판했다.

국내 CSP 전문인 한 MSP의 관계자는 “정부가 SaaS를 이유로 들었다는 점은 AWS에서 SaaS 기업들에게 공공 시장에 진입할 수 있도록 모종의 입김을 불어 넣었을 것임을 의미한다”고 말하면서 “또 정부에서 CSAP에 SaaS가 올라오지 않았다는 점을 강조하는데, 정부는 SaaS에 대한 수요를 명확히 공개한 적이 단 한 번도 없다. 중소기업은 수요가 보장되지 않는 시장에 투자할 수 없고, 투자하지도 않는다. 공공 클라우드 시장도 마찬가지다. SaaS 기업으로 하여금 CSAP를 받지 않게 만든 것은 정부의 잘못”이라고 질타했다.

이처럼 국내 업계 관계자 다수가 “SaaS 기업들의 인증 취득이 어렵다는 점이 CSAP에 대한 전면적인 완화‧개편의 명분이 될 수 없다”는 데 동의하고 있다.

이러한 점에서 “비록 겉으로 드러나지는 않았지만, 실제 이유는 ‘통상 압력’인 것으로 보인다”는 의견에 힘이 실리고 있다. 현재 국내 CSAP 인증을 취득한 사업자는 모두 국내 기업이다. 물론 정부가 제시하는 사항을 충족하기만 하면 해외 CSP 역시 공공 클라우드 시장에 진입할 수 있다. 그러나 해외 CSP는 정부에서 요구하는 요건인 물리적 망분리와 소스코드 공개를 원칙적으로 금지하고 있다. 제도 개편이 없는 한 현 상황에서 해외 CSP의 공공 시장 진출이 쉽지 않다는 얘기다.

공공 시장에서 국내 CSP는 해외 CSP와 큰 입장 차이를 보이고 있다. 일반 민간 시장에서 AWS, MS 등에게 주도권을 빼앗긴 국내 CSP는 공공 시장에서 경쟁력을 기르기 위해 CSAP가 나온 시점부터 꾸준히 투자를 늘려오고 있다. 해외 CSP와는 달리 ‘하지 않으면 그만’이 아니라 ‘해야만 했던 것’이다.

그간 해외 CSP는 주한미국상공회의소와 미국 정부에 꾸준히 한국 공공 시장에 들어갈 수 있도록 요건을 완화해달라는 메시지를 던져왔다. 한 업계 관계자에 따르면, 실제로 CSAP가 처음 나온 이후부터 해외 CSP들은 암참을 통해 계속 완화를 요청해온 것으로 알려졌다. 특히 조 바이든 대통령이 방한한 후 암참은 적극적으로 CSAP 완화를 요구했다고 한다. 우리 정부가 미국 연방 정부로부터 꾸준히 압박을 받고 있다는 의미다.

실제 미국 연방 정부 통상정책을 총괄하는 무역대표부(USTR)는 수년째 무역장벽보고서를 통해 “인증 취득 요건에 물리적 망 분리 등을 포함한 CSAP가 한국 공공 조달 클라우드 시장에서 ‘무역 장벽’으로 작용하고 있으며 완화해야 한다”고 주장하고 있다. 우리 정부가 ‘통상’ 이슈를 근거로 CSAP를 추진하고 있음을 암시하는 대목이다.

사실 미국의 영향력 등 여러 상황을 고려하면 CSAP 완화‧개편은 불가피한 면이 있을 수 있다. 하지만 국내 CSP가 주장하는 것은 “CSAP를 완화하고 개편할 때에는 산, 학, 연, 관이 모두 모여 사회적 합의를 거쳐 국가 클라우드 경쟁력을 높일 수 있는 방향으로 완화, 개편돼야 한다”는 것이다. 이러한 과정 없이 9~10월 초라는 개편 시점을 우선 정해놓고 일을 추진해서는 안된다는 것이다.

한 기업 관계자는 “과기정통부는 계획을 먼저 세우고 논리와 명분을 만드니, 회의에 참석한 기업들의 질문 2가지에 답하지 못하는 상황이 일어났다”면서, “아울러 또 다른 부처는 CSAP 완화하기 전, 기업들에게 ‘의견을 들어줄 때 얘기하라’는 식으로 고압적인 자세를 보이기도 했다”고 토로했다.