"클라우드 보안 인증(CSAP)의 등급제는…참 이거 어렵죠. 등급을 나눠 물리적·논리적으로 분리하는 것에 대해 고민이 많습니다."
이종호 과학기술정보통신부(이하 과기정통부) 장관이 19일 세종시의 한 음식점에서 열린 '송년 기자간담회'에서 CSAP의 등급제 시행을 위한 구체적인 방안을 마련하는 것에 대해 고민이 많다고 털어놨다. CSAP란 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률'에 따라 국내 공공기관에게 클라우드 업무 환경을 제공하려는 기업이 의무적으로 획득해야 하는 인증이다. 서버·네트워크·보안장비 등을 다른 클라우드 시스템과 분리하고 컴퓨팅 시설을 국내에 둘 것을 요구한다.
이러한 조건으로 인해 한국뿐만 아니라 다른 국가들에서도 클라우드 사업을 펼치고 있는 글로벌 CSP(클라우드 서비스 제공 사업자)들은 CSAP를 획득하기가 사실상 불가능하다. 때문에 한국의 공공 클라우드 시장은 KT클라우드·네이버클라우드·NHN클라우드 등 토종 CSP 3인방이 주도하고 있다. 주로 국내 시장에서 클라우드 사업을 펼치는 이들은 CSAP를 획득했기 때문이다.
아마존웹서비스(AWS)·MS·구글 등 글로벌 CSP는 정부가 CSAP 획득 조건을 완화해 공공 클라우드 시장을 개방해야 한다는 입장이다. 이들은 CSAP가 한국이 싱가포르와 맺은 '디지털 동반자 협정(KSDPA)', 세계무역기구(WTO)의 '정부조달 협정(GPA)', 미국과 맺은 '자유무역협정(FTA)' 등과 상충된다고 지적했다. KSDPA는 국경간 데이터의 이동을 보장하며 데이터 현지화 원칙을 배재했고, GPA와 FTA는 자유롭고 공정한 무역 원칙을 내세우고 있기 때문이다.
글로벌 CSP가 한국의 공공 클라우드 시장을 노리는 것은 다른 국가의 공공 시장을 공략하기 위한 발판으로 삼을 수 있기 때문이다. 정보통신기술(ICT) 강국으로 알려진 한국의 공공시장에 클라우드를 제공한다는 레퍼런스(사례)를 내세운다면 다른 국가의 공공기관에게 클라우드 사업에 입찰할 때에도 가점으로 작용할 수 있다. 또 클라우드 환경에서 사용 가능한 다양한 SaaS(서비스형 소프트웨어)도 공공기관에 제공할 수 있다.
한국의 SaaS 기업들도 정부가 CSAP의 조건들을 완화해야 한다는 입장이다. 정부가 공공기관들의 시스템에도 클라우드를 도입하겠다는 뜻을 낸 가운데 국내 SaaS 기업들에게 공공 시장은 또 하나의 큰 시장이다. 하지만 CSAP에 포함된 '스토리지(물리적 데이터 저장소)의 고객사별 분리 '등의 조건은 기업들이 충족시키기 어렵다는 불만의 목소리가 높다. 기업들은 클라우드 시대를 맞아 이미 다수의 스토리지에 파일을 분산 저장하고 있는데 이를 고객사별로 따로 모으려면 인력과 비용을 추가로 투입해야 하기 때문이다.
반면 토종 CSP인 KT클라우드·네이버클라우드·NHN클라우드는 정부의 CSAP 완화 움직임에 우려의 목소리를 내고 있다. AWS·MS·구글이 이미 민간 클라우드 시장을 장악한 가운데 공공 클라우드 시장까지 개방될 경우 국내 CSP의 설 자리가 좁아질 수 있기 때문이다.
KT·네이버·NHN은 각각 통신·온라인 포털·게임 및 결제 등이 주력 사업이지만 클라우드를 회사의 신성장동력으로 삼고 힘을 쏟고 있다. 3사가 각각 클라우드 전문 자회사를 두고 있는 배경이다.
2022년 3분기에 KT는 본사의 클라우드 사업과 자회사 KT클라우드를 합한 클라우드·IDC 부문에서 1331억원의 매출을 기록했다. 전년 동기 대비 9.6% 증가했다. 같은 기간 네이버와 NHN은 클라우드 관련 사업에서 각각 948억원과 713억원의 매출을 올렸다.
한편 과기정통부는 앞서 CSAP를 3등급의 등급제로 개편하겠다는 계획을 냈지만 아직 구체적인 방안은 도출하지 못했다. 이 장관은 "공공 데이터가 클라우드에 올라가야 업무혁신이 일어날 것"이라며 "현재 타 부처와 열심히 협의를 하고 있는 중이며 더 합리적인 등급제를 만들어야 할 것"이라고 말했다.