[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)가 추진 중인 클라우드 보안인증(CSAP) 등급제 개편이 재행정예고됐다. 이달 말까지 논의를 이어가겠다는 취지인데, 클라우드 산업계에서는 이를 둘러싼 갑론을박이 한창이다.

정부 추진안에 예민하게 반응한 것은 직접적인 이해 당사자라고 할 수 있는 서비스형 인프라(IaaS)를 제공하는 클라우드 서비스 기업(CSP)들이다. 아마존웹서비스(AWS) 등 외산 클라우드에게 민간 시장을 내준 가운데 공공 클라우드 시장에서 활로를 찾아온 국내 기업들은 반대 목소리를, 반대로 공공 시장 진출을 포기했던 해외 기업들은 찬성 목소리를 내는 중이다.

당초 시장 분위기는 국내 CSP의 편이었다. 한국 정부가 멀쩡히 사업을 이어가고 있는 국내 기업 대신 해외 기업들에게 유리한 정책을 펼치는 것이 이해 안 된다는 평가가 주를 이뤘다. 야당을 중심으로 정치권에서도 비토가 이어졌다.

그러나 최근에는 양상이 조금 달라졌다. 여전히 국내 CSP를 보호해야 한다는 의견이 주를 이루지만 일각에서는 소프트웨어(SW) 기업들을 위해 해외 클라우드의 이용을 범위를 넓혀야 한다는 주장이 제기되고 있다. 업계에서 조심스레 나오던 소수 의견이 공식 석상에서도 제기되기 시작한 것이다.

이는 국내 CSP와 SW 기업의 이익이 일치하지 않음을 의미한다. 대다수 국내 SW 기업은 AWS 등 해외 클라우드에 솔루션을 탑재해 비즈니스를 이어가고 있다. 기능성이나 가격 등을 고려했을 때 국내 CSP가 큰 메리트가 없기 때문이라는 것이 업계의 설명이다. 특히 해외 진출을 위해서는 해외 CSP를 사용해야 한다는 점이 크게 작용한다.

SW 업계는 SW가 구동되는 인프라가 아니라 클라우드 자체가 중요하다고 말한다. 그렇기에 정부의 CSAP 등급제 개편안도 빨리 통과시키고, 클라우드 시장 확대에 보다 힘썼으면 한다고 요구하고 있다.

이와 같은 사태의 추이를 살펴보면 국내 CSP와 해외 CSP의 경쟁 구도에서 정부와 국내 SW 기업들이 해외 기업을 편들고 나선 듯한 모양새다. 그러나 이를 단순히 국산대 외산, 신토불이 경쟁으로 축약하는 것은 섣부르다. 서로 다른 지향점을 두고 펼치고 있는 만큼 옳다, 그르다로 판단할 수도 없다.

CSAP는 ‘보안인증’이다. 요구하는 요건을 완화하는 만큼 보안에 대한 우려가 나올 수밖에 없다. 중요 데이터를 클라우드에 올린다는 것도 부정적인데, 그 클라우드가 해외 기업이라면 불안 요소는 더 커지게 된다.

전 세계에서 CSP로 특장점을 지닌 국가는 미국과 중국이다. 미국은 둘째치더라도 과연 중국 클라우드에 공공 데이터를 올리는 것을 국민들이 받아들일 수 있을까, CSAP 등급제 개편이 이뤄진 뒤에도 중국 클라우드를 특정해 진입을 막을 근거가 있을까. 이런 사안들도 고민할 만하다.

보안사고가 발생했을 때의 책임 소재도 문제다. 클라우드 도입 과정에서 크고 작은 보안사고는 불가피하다. 클라우드 서비스의 허점보다는 사용자의 실수나 미숙 탓이 크다. 이때 발생하는 정보 유출 등에 대한 책임은 서비스 이용자가 지고 있다. 현행 CSAP 제도 하에서는 이에 대한 관리 등을 모두 국내 CSP가 수행하고 있는데, 제도 개편 후에는 공공에서 직접 맡거나 별도 사업을 발주해야 한다. 이런 문제에 대한 준비체계는 아직 갖춰지지 않았다.

좋은 해외 기술이 있는데도 굳이 국내 기술을 키울 필요가 있냐는 지적에는, ‘그러면 시스템 반도체, 우주, 원자력 기술은 왜 개발하는 거냐’고 되물을 수 있다. CSAP는 어디까지나 공공 클라우드에 대한 문제다. 민간 기업이야 가격논리에 따라 더 값싸고 좋은 기술을 사용하기만 하면 된다지만, 정부는 산업을 육성시켜 국가 경쟁력을 확충해야 한다는 과제를 안고 있는 만큼, 민간과는 분리해서 봐야 한다.

국가 기술이라는 관점에서 클라우드는 전략적으로 육성할 만한 산업이다. 전 세계를 두고 본다면 한국처럼 독자적인 CSP가 있는 곳이 드물다. 비교 대상이 미국이다 보니 기술력이 뒤진다는 평가를 받을 뿐이다. 수출 경쟁력이 있다는 의미고, 실제 동남아시아 등에서는 많은 관심을 보이고 있다.

정보보안산업의 CC인증과 같은 보안적합성 검증 제도와 비교하며 CC인증은 나쁘고 CSAP는 좋다고 하는 것은 ‘내로남불’ 아니냐는 주장도 있다. 두 제도는 외국 제품의 공공시장 진입을 억제한다는 특징이 닮았다. CC인증의 경우 ‘개선돼야 할 적폐’로 취급돼 왔고, 실제로 작년 개편이 이뤄졌다. 유사한 특징을 가진 CC인증이 적폐라면 CSAP 역시 적폐 아니냐는 주장이다.

그러나 두 제도에는 결정적인 차이가 있다. 제도가 운영돼 온 시간과 각 산업계의 현황이다. 정보보안산업계 관계자는 입을 모아 시장 초창기 CC인증이 해외 기업들의 공공시장 진출을 억제함으로써 국내 기업들이 자생력을 갖출 시간을 벌어줬다고 말한다. 과거의 제도가 너무 오래 남아 있음으로써 단점이 부각됐지만 그 역할 자체를 부정하는 이는 드물다.

CC인증과 달리 CSAP의 경우 그 역사가 짧다. 대부분의 국내 CSP는 적자를 감수하며 사업을 키우는 단계다. 어느 정도 성숙기에 접어든 정보보안산업과 직접적으로 비교할 수 없다.

장기적인 관점에서 CSAP의 등급제 개편은 피할 수 없다. 언젠가는 CC인증처럼 개방의 필요성이 더 커질 시기가 올 수 있다. 다만 지금이 적절한 시기인가에 대해서는 부정적이다. 산·학계에서 요구하는 것처럼 ‘속도조절’이 필요할 것으로 보인다.