클라우드 서비스

[기획/CSAP②] 글로벌 CSP, "K-SaaS 생태계 구축에 도움될 것"

이상일
과학기술정보통신부의 클라우드 보안 등급제(CSAP)는 공공기관의 IT인프라를 중요도에 따라 3단계로 나눠 낮은 단계의 서비스에 그동안 이 시장에 진입하지 못했던 글로벌 클라우드 서비스 업체(CSP)에 길을 열어주는 것을 내용으로 한다. 과기정통부의 이러한 정책에 대해 업계는 다양한 의견을 제시하고 있는 상황이다. <디지털데일리>는 상시기획으로 이러한 CSAP에 대한 업계의 전략을 들어본다<편집자>

[디지털데일리 이상일기자] 과학기술정보통신부(과기부)에서 운용하는 CSAP 인증 체계의 등급제 전환에 대해선 국내 SaaS 업계도 의견이 갈려져 있다.

애초에 AWS와 구글, MS 애저 기반으로 개발된 SaaS 솔루션의 경우 공공시장 진입이 사실상 어려웠다. 때문에 이들은 글로벌 클라우드 CSP의 공공시장 진입이 일부 허용될 경우 새로운 시장 진출이 가능해지기 때문에 이번 등급제를 환영하는 편이다.

반면 SaaS 형태의 서비스를 제공하고 있지만 독자 클라우드, 혹은 KT클라우드와 네이버클라우드 등 국내 CSP와 손잡고 SaaS 서비스를 제공하고 있는 경우는 글로벌 클라우드에 맞게 새롭게 솔루션을 개발해야 하는 번거로움이 있다.

따라서 국내 소프웨어 개발사나 전문 SaaS 기업들이 CSAP 기준에 맞춰 공공기관용 SaaS 제품을 개발하려면 기존의 아키텍쳐를 새롭게 설계해야 하는데 여기에는 개발과 유지에 상당한 투자가 불가피한 실정이다.

막상 대규모 투자를 통해 우수한 SaaS를 개발한다고 해도 이 제품은 글로벌 시장에서 통용이 안되고 한국 정부 등 국내용에 불과하다는 것이 글로벌 클라우드에 기반한 국내 SaaS 서비스 제공업체들의 의견이다.

실제로 한국소프트웨어산업협회에 등록된 회원사 약 1만3000여개 가운데 CSAP 인증 취득 SaaS 제품을 제공하는 기업은 중복을 피한다면 30여개에 불과하다.

과학기술정보통신부(과기부)에서 운용하는 CSAP 인증 체계는 물리적 망분리 요건 이외에도 국가정보원이 규정하는 제품 안전성 기준(CC 인증)과 한국 고유의 암호화 모듈 탑재 등 고도의 안전성 기준을 요구한다.

그러나 이러한 요건들은 클라우드의 국제적 기술 표준인 ISO/IEC 27001(정보보안 관리), ISO/IEC 27017(클라우드 서비스 정보보안), ISO/IEC 27018(클라우드 개인정보 보호) 등의 인증 요건과 상당한 거리가 있다.

우리나라는 2015년 세계 최초로 클라우드 컴퓨팅법을 제정하고 정부와 공공기관이 주도적으로 클라우드 환경 조성 및 공공정보 이관을 추진해 오고 있다. 네이버나 KT 같은 민간 기업도 공공부문용 클라우드 데이터센터 인프라를 제공하고 있다.

하지만 그간의 클라우드 정책은 클라우드 인프라 구축과 확대에 우선순위를 둔 것이 사실이다. 이제는 시야를 넓혀 클라우드 기반 소프트웨어 육성과 글로벌 시장 공략에 국가의 역량을 집중할 시점이라는 것이 글로벌 CSP를 위시한 SaaS 진영의 의견이다.

시장조사기관 IDC의 2020년 조사에 의하면 SaaS는 세계 클라우드컴퓨팅 시장의 63.2%를 차지하며 가장 성장세가 빠른 분야로, 세계 각국 정부는 공공부문 민간 클라우드 퍼스트 정책으로 민간의 고품질·첨단 SaaS를 활용, 디지털 혁신을 추진 중이다.

최근 정부는 CSAP 체제를 3개 인증 구간으로 다층화해 물리적 망분리 등 기존의 엄격한 인증 요건을 일부 면제할 방침을 검토 중인것으로 알려졌다. 이렇게 되면 해당 등급은 글로벌 인증 요건이 적용되기 때문에 일부 글로벌 클라우드 인프라 사업자들도 공공시장에 진출할 것으로 보인다.

이러한 개방조치에 대해 글로벌 CSP 들은 “국내 소프트웨어 기업이나 SaaS 업체들이 공공시장 진출할 수 있는 결정적 계기를 제공하고 역량강화를 위한 자극제가 될 수 있다”고 설명한다. 어느 나라나 정부나 공공시장야말로 가장 거대하고 안전한 사업기회를 제공하기 때문이라는 설명이다.
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널