[스페셜리포트]CSAP 규제 풀다…美·中에 공공시장 내줄 판

정부, 공공 진입 걸림돌 해소 위해
이르면 3분기 등급제 방식 도입 추진
업계, 美·中 기업 국내 진출 길 열려
피해 최소화 위한 중장기 논의 필요

[스페셜리포트]CSAP 규제 풀다…美·中에 공공시장 내줄 판

정부와 국내 클라우드 서비스제공사(CSP) 간 갈등이 깊어지고 있다.

규제 개선을 위해 클라우드 보안인증제도(CSAP)를 완화하겠다는 정부 방침에 국내 CSP가 우려하고 있다.

국내 CSP는 규제 완화로 미국은 물론 중국 클라우드 기업까지 공공 시장에 진출, 국내 클라우드 산업 어려움을 가중시킬 것으로 예상했다.

정부의 CSAP 완화 배경에는 규제 개선 이외에 통상 등 여러 이슈가 내포된 것으로 보인다. 완화가 불가피하다면 서둘러 처리할 게 아니라 국내 산업 피해를 최소화할 수 있도록 중장기 논의가 필요하다는 게 중론이다.

◇규제 완화 급물살...추측 난무

CSAP 완화는 현 정부 규제개혁 기조와 맥을 같이 한다. 디지털플랫폼정부 태스크포스(TF)에서 공공 클라우드 시장 개방 필요성이 제기됐고, 국무총리가 규제개혁 관련 회의에서 검토를 지시한 것으로 알려졌다.

국가정보원은 6월 초부터 국내 CSP로부터 CSAP 완화에 대한 의견을 수렴했다. 과학기술정보통신부는 6월 30일 '제2차 디지털 국정과제 연속 현장 간담회'에서 CSAP 완화를 공식화했다.

국정원과 협의 중으로, 이르면 3분기 등급제를 통해 제도를 완화하겠다는 게 핵심이다. 이후 7월 8일과 26일 연이어 CSP를 대상으로 의견을 수렴했다. 다음날인 27일에는 국정원과 행정안전부가 CSP를 만났다.

CSAP 인증 기준이 엄격하고 기간이 오래 걸려 공공 클라우드 시장 진입에 걸림돌이 된다는 게 규제 완화의 표면적인 이유다.

그러나 CSAP 완화 이슈는 수년 전부터 지속돼왔다. 미국 기업이 주한미국상공회의소(AMCHAM)나 보고서 등을 통해 반복 제기했다. 바이든 대통령 방한 이후 미국과 통상 이슈로 급물살을 탄 것이란 분석이다.

이외에도 공공 클라우드 전환 때 내부 업무 이전에 따른 제도 다변화 대응, 국내 서비스형 소프트웨어(SaaS) 기업의 부담 완화 요구 등 다양한 배경이 거론되고 있다.

정부가 클라우드 보안인증제(CSAP)을 비롯한 보안 규제 완화를 추진한다.
정부가 클라우드 보안인증제(CSAP)을 비롯한 보안 규제 완화를 추진한다.

◇정부, 3단계로 나눠 완화 계획

과기정통부는 클라우드 기업과 간담회에서 단일 인증인 CSAP를 미국 클라우드 서비스 보안인증제도인 페드램프(FedRAMP)와 같이 3단계로 나누는 방안을 검토 중이라고 밝혔다. 페드램프는 데이터 중요도와 데이터 손실 시 미칠 영향 수준에 따라 3단계로 구분된다.

과기정통부가 준비 중인 방안도 '상' '중' '하'(가칭)로 나뉜다. '상'은 국가안보, 법 집행(수사) 등 민감 데이터를 처리하는 서비스에 부여한다. '중'은 현재 CSAP 인증 수준으로, 대부분 서비스가 해당된다. '하'는 민감도가 낮은 대민서비스를 위한 인증이다.

글로벌 CSP는 우선 '하' 인증을 통해 공공 클라우드 시장에 진출할 것으로 예상된다.

과기정통부 방안대로 CSAP 인증을 개편하려면 관련 제도를 개정해야 한다. 어느 수준까지 제도를 개정해야 할지 확실하지 않지만 국정원, 과기정통부, 행정안전부 간 협의가 필수다. 적지 않은 시간이 필요하다.

단일 인증을 3단계 인증으로 개편하면 평가 체계와 절차 등도 달라진다. 관련 예산도 확보해야 한다. 과기정통부 목표대로 3분기 안에 모든 준비가 마무리되기 쉽지 않을 것이란 관측이다.

◇CSP, 국내 클라우드 산업 보호해야

국내 CSP는 CSAP 완화에 반대한다. 공공 클라우드 개방은 수년간 이어온 이슈로, 급작스럽게CSAP를 개편하는 이유를 납득하기 어렵다는 입장이다. 제도 개선 혜택이 결국 미국과 중국 CSP에 돌아갈 게 명백하기 때문이라는 주장이다.

세계적으로 자체 클라우드 서비스를 공급하는 국가는 미국과 중국, 한국 3개국 뿐으로, 클라우드 시장을 보호하지 않고 열어준다는 것은 문제가 있다는 지적도 거론된다.

등급제에 대한 회의적 시각도 존재한다. 아마존웹서비스(AWS) 등 글로벌 CSP를 이용하는 국내 SaaS 기업은 공공 서비스를 위해 별도 CSP를 이용해야 한다고 호소해왔다. 그러나 CSAP 인증을 완화, AWS 등 대민 서비스 진출이 가능해져도 SaaS 기업 불만은 지속될 것이란 지적이다.

한 CSP 대표는 “중요 서비스와 비중요 서비스라 하더라도 서로 연계가 될 수밖에 없다”며“이에 대한 인증 등급을 구분한다는 것 자체가 쉽지 않다”고 말했다.

이어 “현재 보안 요건을 모두 만족하면 이용이 가능하지만 '글로벌 기업은 공공 시장 진출이 불가능한 것처럼 인식'되는 게 문제”라고 덧붙였다.

다른 CSP 관계자는 “보안 완화 영역에서는 보안 사고가 나도 괜찮다는 의미인가”라며 “국가 안보와 국민의 안녕을 지키는 것은 통상을 넘어 양보하지 말아야 할 정부의 책무”라고 말했다.

[스페셜리포트]CSAP 규제 풀다…美·中에 공공시장 내줄 판

◇중장기 논의 필요

국내 CSP는 CSAP 완화 시 AWS, 마이크로소프트(MS), 알리바바 등 미국과 중국 클라우드 기업이 공공 시장에 진출할 것으로 보고 있다. 이들이 가격 경쟁력과 민간 시장에서의 영향력을 앞세운다면 수년 내 공공 시장 과반을 차지할 것이란 전망도 나온다.

국내 CSP는 공공 클라우드 개방이 불가피하다면 CSAP를 완화할 게 아니라 오히려 보안 수준을 강화해야 한다는 입장이다. 보안 수준을 강화한 단일 인증을 마련하고, 이를 충족한 기업은 국내외 기업 무관하게 사업을 할 수 있게 해달라는 주장이다.

국내 SaaS 기업에 대해선 국내 CSP를 이용할 경우 비용 경감 등 대책을 마련하는 등 충분히 협의가 가능하다는 의견도 거론된다.

국내 CSP는 정부가 CSAP 개편과 완화 기조를 고수한다면 산·학·연·관 전문가가 참여하는 협의체를 구성, 중장기적 관점에서 논의해줄 것을 주문했다.

CSP 관계자는 “6~7년간 유지돼온 제도를 몇 달 만에 개편한다는 것은 누구도 납득하기 어렵기 때문에 오랜 시간에 걸쳐 전문가 협의가 필요하다”고 말했다.

정부의 움직임은 CSAP 완화가 아니라 기술 발전에 따라 개선하는 과정으로 봐야 한다는 시각도 있다.

한 교수는 “기술이 많이 발전했으니 이에 맞춰 현대화하는 과정으로 바라볼 필요가 있다”며 “강화해야 할 것은 더 강화하고, 등급에 맞게 정립하는 게 필요한데 이를 위한 협의가 있어야 한다”고 말했다.

안호천기자 hcan@etnews.com