e비즈*솔루션

외산 클라우드 3사, ‘CSAP 하등급’ 본심사 막바지…공공시장 촉각

권하영 기자
[Ⓒ 픽사베이]
[Ⓒ 픽사베이]

[디지털데일리 권하영기자] 외산 클라우드 빅테크들의 공공 클라우드 시장 진출이 임박했다. 이들이 신청한 클라우드보안인증(CSAP) ‘하’등급 심사가 막바지에 이르면서다. 신흥 사이버보안체계인 다층보안체계(MLS) 도입과도 맞물려 공공 클라우드 시장에 적잖은 변화가 예상된다.

17일 관련업계에 따르면, 아마존웹서비스(AWS)·마이크로소프트(MS)·구글 등 3사가 지난해 과학기술정보통신부(이하 과기정통부)에 신청한 CSAP ‘하’등급 인증에 대해 한국인터넷진흥원(KISA)이 예비심사를 거쳐 본심사를 진행 중이다.

본심사에선 서류평가 외에 취약점 점검과 모의침투 테스트 등이 이뤄지고, 취약점 보완조치까지 완료되면 인증위원회 심의 절차만 남는다. 현재 각사가 요청받은 보완조치 실행을 기다리는 단계로, 이에 대한 정부의 이행점검 자체는 3~4일 정도 소요되지만 보완 절차가 길어지면 그만큼 본심사 기간이 늘어날 수 있다.

과기정통부 관계자는 “사업자의 보완조치가 언제 되느냐에 따라 달라져 시기를 특정할 순 없지만, 빠르면 연내 (인증 획득이) 되는 곳이 나올 수 있다”고 전했다.

CSAP는 국내 공공기관에 클라우드 서비스를 제공할 때 취득해야 하는 보안요건이다. 철저한 물리적망분리가 요구돼 해외에 서버가 있는 외산 클라우드서비스기업(CSP)은 획득하기 힘들었지만, 최근 시스템별 보안 중요도에 따라 상·중·하로 나눈 등급제가 시행되면서 이들도 논리적망분리가 허용된 ‘하’등급에는 도전할 수 있게 됐다.

이를 두고 국내 클라우드 업계는 외산 기업이 공공 클라우드 시장을 독식할 수 있다며 우려해 왔다. 국내 민간 클라우드 시장은 이미 AWS·MS·구글의 합산 점유율이 지난해 말 기준 84% 이르는데, 공공 시장은 CSAP가 외산 기업에 대한 일종의 규제 역할을 함으로써 국내 기업이 선점할 수 있었던 게 사실이다.

당장은 ‘하’등급에 국한된 것이기 때문에 큰 영향은 없겠지만, 망분리 완화 기조가 언제라도 ‘중·상’등급으로 확산될 수 있다는 게 국내 CSP들이 가장 염려하는 지점이다. 실제 글로벌 소프트웨어(SW) 기업 연합체 BSA(Business Software Alliance)는 우리 정부에 논리적망분리 허용범위를 더 확대해달라고 수차례 건의한 것으로 알려졌다.

정부가 공공·금융 분야 망분리 완화 정책을 본격화하고 있는 점도 이런 걱정을 키우고 있다. 국가정보원(이하 국정원)이 새로운 사이버보안체계로 MLS 도입을 예고하면서 혼란이 가중되는 분위기다. 업무별 중요도에 따라 C(기밀)·S(민감)·O(공개) 등급으로 나눈 MLS는 ‘O’등급에서 민간 퍼블릭 클라우드 사용을 허용할 것으로 예상된다.

외산 클라우드가 CSAP ‘하’등급을 획득하고 공공 시장에 진입할 경우, 국정원 MLS에 따라 ‘O’등급으로 분류된 공공시스템 사업 수주에도 뛰어들 수 있게 될 전망이다. 그렇게 되면 ‘중’등급 이상 CSAP를 획득한 국내 CSP 입장에선 ‘하’등급을 받은 외산 CSP와 다를 바 없게 돼 억울한 측면이 없지 않다.

반면 국내 CSP만 공략할 수 있는 ‘상’등급 사업의 경우, 정부가 행정안전부 산하 국가정보자원관리원 대구센터를 통한 민관협력형(PPP) 사업으로 일감을 집중시키고 있어 추가 투자가 불가피하다.

국내 한 CSP 관계자는 “여러 모로 국내 클라우드 업계에는 녹록지 않은 상황”이라며 “망분리 완화로 인해 미칠 영향을 주시하고 있다”고 전했다.

권하영 기자
kwonhy@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널