중소업체가 글로벌 기업 클라우드 보안 인증 때문에 애써 만든 서비스를 제공하지 못하는 사태가 벌어지고 있다. 비대면 서비스를 개발하고도 인증에 가로막혀 무용지물로 방치되고 있다. 국내와 해외 클라우드를 분리하자니 개발과 운영 부담은 두 배로 늘어난다. 글로벌 클라우드 업체가 보안 인증을 받지 않는 이상 국내 공공사업은 사실상 손을 놓아야 하는 실정이다.
![[기자수첩]클라우드 보안 인증에 발목 잡힌 중기](https://img.etnews.com/photonews/2103/1397008_20210326164737_634_0002.jpg)
포시에스는 코로나19 사태 이후 국내외 전자문서 솔루션 수요가 급증하면서 클라우드 기반 서비스를 개발했다. 글로벌 확장성을 고려해 아마존웹서비스(AWS)를 선택했다. 정부 조달청에 서비스를 등록하는 과정에서 AWS가 한국인터넷진흥원(KISA)으로부터 클라우드 보안 인증을 받지 않아 등록이 어렵다는 답변을 받았다.
정부 역시 AWS가 클라우드 보안 인증을 받지 않는 이상 별다른 대안이 없다는 입장이다. 클라우드 보안 인증은 한국 클라우드 업체와 글로벌 클라우드 업체에 동등하게 요구하는 조건인 만큼 글로벌 업체에만 특혜를 줄 수 없다는 것이다. 업체에서 인증을 받지 않겠다는데 강제할 방법도 없다.
AWS를 비롯해 '애저'를 공급하는 마이크로소프트(MS) 등 글로벌 클라우드 업체에서 국내 정보보호관리체계(ISMS) 인증을 받은 적은 있지만 보안 인증을 받은 적은 없다. 행정안전부는 KISA 클라우드 보안 인증을 받은 서비스형인프라(IaaS)와 서비스형소프트웨어(SaaS)만 공공 사업에 참여할 수 있도록 규정하고 있다.
클라우드 보안 인증을 받으려면 데이터센터, 소스코드 등 내부 인프라 정보를 일부 공개해야 한다. 네트워크 안정성을 확인하기 위한 절차지만 자사 정보의 공개를 꺼리는 글로벌 업체에 보안 인증을 받도록 유도할 방안도 마땅치 않다. 오히려 일부 글로벌 업체는 한국 정부가 공공 시장을 개방하라고 큰소리치기도 한다.
SaaS 업체는 이러지도 저러지도 못하는 상황에 놓였다. 국내 사업만 할 것이 아닌 이상 현행 제도에서는 KISA 클라우드 보안 인증을 받은 국내 클라우드 업체와 글로벌 클라우드 업체를 이중으로 써야 하는 처지다. 국내 소프트웨어(SW) 기술을 글로벌 시장에 수출하고 디지털 전환을 선도하겠다는 선언도 현재로선 공허할 뿐이다.
다행히 정부는 SaaS만 별도로 클라우드 보안 인증을 받는 방안을 고민하겠다고 밝혔다. SW가 한국형 뉴딜과 디지털 전환 핵심이라는 데 이견이 없는 만큼 SW 분야 중소기업의 활로를 열기 위해 클라우드 보안 인증 개선부터 서둘러야 한다.
오다인기자 ohdain@etnews.com
