[아이티데일리] 클라우드 보안인증(CSAP)이 ‘상’, ‘중’, ‘하’ 3단계의 등급제로 개편된다. 그러나 구체적인 사안에 대해서는 시장에 떠도는 소문만 난무할 뿐 아무것도 정해지지 않은 상황이다.

정부는 확고한 CSAP 개편 의지를 갖고는 있지만, 국가 기술 경쟁력과 데이터 주권, 클라우드 산업 활성화에 큰 영향을 줄 수 있다는 판단아래 개편에 대한 세부사항을 쉽사리 규정하지 못하고 있다. 국내 클라우드 업계에서는 CSAP 등급제 개편이 국내 클라우드 산업에 미칠 영향을 고려해 업계의 의견을 수렴하는 등 신중해야 한다는 입장이다.

지난 8월 18일 정부는 브리핑을 통해 CSAP 개편과 관련해 부처 간 협의 사항은 없었으며 디지털플랫폼정부위원회에 관련 안건을 회부, 세부 내용을 정리하겠다고 발표했다. 국내 클라우드 산업 활성화를 위해 CSAP 등급제를 개편할 때 어떠한 점들이 고려되어야 하는지 짚어봤다.

 신규 시스템 클라우드 이관 기준 마련해야

국내 클라우드 업계에서는 CSAP 등급제 개편 논의에 정부·공공기관의 신규 구축될 시스템에 대한 기준도 정의돼야 한다고 주장한다. 업계에 따르면, CSAP 등급제를 분류하는 3단계의 기준은 현재 정부에서 운영되고 있는 레거시 정보시스템을 대상으로 하고 있다. 때문에 새롭게 차세대 사업이나 고도화된 클라우드 프로젝트를 통해 개발될 신규 시스템에 레거시 정보시스템에 초점이 맞춰진 잣대를 들이대선 안 된다는 것이다.

이에 대해 한 CSP 기업의 관계자는 “기존 정부의 시스템을 민간 클라우드로 옮길 수 있는가, 있다면 어떠한 수준의 시스템을 옮길 수 있는가에 관심을 갖고 있다”면서, “레거시에 대한 부분도 중요하지만 새롭게 구축될 시스템에 대한 부분도 CSAP 등급제 개편에 고려돼야 한다. 현재 클라우드로 옮기고 있는 시스템은 감가상각이 끝났거나 연한이 다 된 것이 많다. 감가상각이나 연한이 도래한 시스템은 계속 늘어날 것이고 클라우드 위에서 새롭게 시스템을 개발하고 구축할 것으로 예상되는데 이러한 부분까지도 고려돼야 한다는 것”이라고 설명했다.

이어 그는 정부의 디지털플랫폼정부 계획을 성공적으로 달성하기 위해 신규 시스템에 대한 기준도 CSAP에 정립돼야 한다고 주장했다. 그는 “현재 정부는 공공이 보유한 데이터를 민간 기업의 서비스와 결합해 국민에게 서비스를 제공하는 것을 골자로 한 디지털플랫폼정부 구현을 추지하고 있다. 정부가 추지하고 있는 디지털플랫폼은 마이크로서비스 아키텍처(MSA), 인공지능(AI), 빅데이터과 관련 기술이 있어야 구현할 수 있다. 이를 위해서는 클라우드 전환이 필수적이다. CSAP 등급제에서 이러한 부분이 고려되지 않는다면 향후 현재와 같이 CSAP 개편에 대한 요구사항은 또다시 발생할 것이다. CSAP를 레거시 정보시스템외에 새로운 시스템에도 적용할 수 있어야 한다.”고 설명했다.

유명무실한 민간 클라우드 우선 활용 정책

CSAP 등급제 개편 논의는 공공기관의 민간 클라우드 이용 확대와 밀접한 관련을 맺고 있다.

구체적으로 올해 1월 클라우드 컴퓨팅 발전법이 개정되면서 새로이 2가지 사항이 마련됐다. 2015년 처음 제정된 클라우드 컴퓨팅 발전법에 ‘공공기관 및 정부 지자체의 민간 클라우드 이용 권장을 확대한다’는 조항과 ‘공공기관 및 정부 지자체는 CSAP를 받은 클라우드 서비스를 사용하라’는 조항이 새롭게 추가됐다. 이 같은 상황에서 CSAP도 공공기관이 기업의 클라우드를 보다 적극적으로 사용할 수 있도록 개편해야 한다는 목소리가 제기됐다.

현재 민간 클라우드를 우선 활용한다는 정부의 기조는 이미 법·제도 전반에 깔려있다. 다만 각 정부 부처에서 따르지 않고 있을 뿐이다. 실제 행안부가 올해 제정한 ‘행정기관 및 공공기관 정보자원 통합기준(이하 통합기준)’과 ‘행정기관 및 공공기관의 클라우드 컴퓨팅 서비스 이용 기준 및 안전성 확보 등에 관한 고시(이하 고시)를 비롯해 클라우드 컴퓨팅 발전법 등의 이행 지침에도 민간 클라우드를 우선적으로 고려해야 한다고 명시돼있다. 공공기관에서 민간 클라우드를 우선 사용하기 어렵다면 행안부 장관에게 별도의 승인을 받아야 한다.

하지만 이러한 법·제도는 유명무실한 상황이다. 실제 민간 클라우드를 활용해 업무 혁신을 꾀할 수 있는 중요시스템을 제외하고, 비중요시스템을 클라우드 인프라에 얹는 인프라 이동 사업만 존재할 뿐이다. 실제로 행안부의 ‘공공·정보시스템 클라우드 전환사업’에 참여하고 있는 한 CSP 기업은 현재 진행되고 있는 2차년도 1~6차 사업의 90%를 비중요시스템이 차지하고 있다고 설명했다.

CSP 기업의 한 관계자는 “현재 법·제도적으로 근거가 모두 마련돼있는 민간 클라우드 우선 정책은 실효성이 없다. 전환사업을 통해 중요시스템 10%만 클라우드 인프라로 전환할 뿐이다”라면서, “CSAP 등급제가 개편되고 ‘하’ 등급에 논리적 망분리까지 수용될 것으로 예상되는 데, 결국 내년부터는 해외 CSP들과 ‘하’ 등급을 두고 경쟁해야 하는 상황이 올 것이다. 자본과 영업력으로 무장한 해외 사업자들을 이길 수 있는 국내 CSP는 없을 것”이라고 우려했다.

그나마도 민간 클라우드 활용이 이뤄지고 있던 전환사업의 예산이 1/6가량 줄었다. 업계에 따르면, 행안부가 내년도 클라우드 전환사업을 위한 예산안으로 1,800억 원을 기재부에 제출했지만 실제 예산은 346억 원으로 책정됐다. 지방 권역별로 클라우드센터를 구축하는 시범사업도 상황은 다르지 않았다. KT클라우드가 제주특별자치도에 클라우드센터를 구축하는 사업의 예산이 170억 원에서 86억 원으로 절반 가까이 줄었다. 민간 클라우드 활용 기조가 무색한 상황이다. ‘이전 정부의 IT 정책의 색을 지우기 위해’, ‘디지털 뉴딜 사업의 거품을 걷어내기 위해’와 같은 의견이 지배적이다.

이에 대해 국내 클라우드 업계 관계자들은 내년 1월부터 시행될 클라우드 컴퓨팅 발전법과 맞물려 개편될 CSAP 등급제가 민간 클라우드 활용을 우선할 수 있는 방향으로 세부 사안들이 정해져야 한다고 입을 모은다.

한 관계자는 “주변국을 돌아보면 CSAP 개편 이후를 추정할 수 있다. 일본의 경우 AWS가 공공시장의 70% 점유하고 있는 상황에서 다시금 자국의 CSP에 집중투자하고 있으며, 유럽은 소버린 클라우드(Sovereign Cloud)라는 이름의 구축형 서비스를 개발해 국가 클라우드 주권 확보에 나서고 있다. 하지만 유럽연합에서 구축하고 있는 소버린 클라우드는 AWS, MS, 구글 클라우드의 도움을 받아 개발되고 있다. 현재 소버린 클라우드는 유럽국 내 자체 기술을 보유한 CSP가 없어 종속에서 벗어나고자 하는 기업에 지원받는 모순적인 형국이다. 소버린 클라우드의 본연의 의미는 퇴색됐다”면서, “우리나라도 이 같은 상황이 벌어지지 않을 것이라고 누구도 확언하지 못한다. 소 잃고 외양간 고치면 아무 소용없다. 그 전에 국내 민간 클라우드 기업들의 서비스를 활용해 클라우드 주권을 확보해야 한다”고 말했다.