‘생존’이 화두다. 2023년이 밝았지만 IT산업계를 둘러싼 거시경제지표의 불확실성은 여전하다. ‘경기쇠퇴’(Recession) 공포를 극복하기 위한 IT기업의 경쟁력 확보는 물론 정부의 과감한 제도적 혁신도 요구되고 있다. 4차 산업혁명과 ‘디지털전환’이라는 시대적 담론과 함께 디지털데일리는 2023년 신년기획으로 ‘IT산업, 생존의 경제학’을 주제로 IT산업계의 생존 해법을 다양한 각도에서 분석해본다. <편집자>

[디지털데일리 이종현기자] 2023년 국내 정보기술(IT) 산업은 큰 변화에 직면하게 된다. 사업의 근간이 되는 정부 정책 및 규제가 크게 바뀜에 따라 이에 대응하는 기업들의 움직임도 바빠질 것으로 전망된다.

가장 이목을 끄는 것은 클라우드 보안인증(CSAP) 등급제 개편이다. 과학기술정보통신부(이하 과기정통부)는 작년 12월 29일 CSAP 등급제 개편안을 행정예고했다. 오는 18일까지 의견을 수렴 중이다. 서비스형 인프라(IaaS)를 제공하는 국내 클라우드 서비스 사업자(CSP)를 중심으로 반대 목소리가 나오지만 정부 의지가 확고해 개편 추진이 강행될 것으로 예상된다.

CSAP는 공공기관에 클라우드 서비스를 제공하려면 받아야 하는 인증이다. 사실상 ‘공공 시장 사업 허가서’ 역할을 하는데, 핵심은 IaaS다. 클라우드 기반 소프트웨어(SW)인 서비스형 소프트웨어(SaaS) 역시 별도로 CSAP 인증을 받아야 한다. 하지만 SaaS가 구동되는 인프라, IaaS가 인증을 받는 것이 기본 전제다.

2022년 기준 CSAP 인증을 받은 서비스는 72건이다. 이중 IaaS 사업자가 받은 것은 9건이다. KT클라우드, 네이버클라우드, 가비아, NHN클라우드, 스마일서브, 삼성SDS, 더존비즈온, 엘지헬로비전, 카카오엔터프라이즈 등으로 모두 국내 사업자다. CSAP가 외산 클라우드 서비스를 공공 시장에 진출하지 못하도록 막는 장벽 역할을 하고 있다는 말이 나오는 배경이다.

외산 클라우드 서비스가 CSAP 인증을 받지 않은 것은 물리적 망분리와 소스코드 공개 등 때문이다. 그런데 정부가 추진되는 CSAP 등급제는 기존 단일 인증 대신 공공 시스템을 상·중·하로 구분해 차등을 두고, 중요도가 낮은 등급의 경우 물리적 망분리 등 조건을 완화시켜주는 것을 골자로 한다. 이 경우 외산 클라우드 서비스의 공공 진출이 가능해진다.

정부가 요구하는 조건을 충족해 시장이 선 진입했던 기업들로서는 반발이 나올 수밖에 없다. 정부 내부에서도 의견이 통합되지 않은 점, 상·중·하를 구분하는 기준 미비 등을 지적하며 추가 논의를 요구하고 있다.

CSAP 등급제 개편은 IaaS를 제공하는 CSP들이 특히 민감하게 반응할 주제다. 다만 클라우드 관리·서비스 기업(MSP)이나 SaaS 기업 역시도 영향을 받게 된다. 외산 클라우드와 비즈니스를 이어가는 기업들로서는 CSAP 등급제 개편이 더 많은 사업 기회로 이어질 수도 있는 만큼 여러 목소리가 나올 것으로 보인다. 관계 기업들이라면 CSAP 개편 향방에 귀를 기울여야 할 이유다.

한창 논의가 진행 중인 CSAP와 달리 사이버보안 기업들이 대상이 되는 보안적합성 검증체계는 지난 연말 이미 개편됐다. CSAP와 보안적합성 검증체계 모두 보안이라는 공통점을 가지는데, 장단점 등 그 골자도 대동소이하다

기존에는 공공기관에 정보보안제품을 납품하기 위해서는 CC인증이나 보안기능 확인서 등을 받아야 했다. 이들 인증은 요건도 까다롭고 시간과 비용도 많이 들어 개편 요구가 지속돼 왔다. 이에 국가정보원은 지난 11월 공공기관 시스템을 중요도에 따라 가·나·다 등급으로 구분한 뒤 각 등급별로 요구하는 사항을 바꿈으로써 정보보안제품의 공공시장 진입 문턱을 낮췄다.

중앙행정기관 및 광역지자체 등은 가급, 일반 공공기관이나 대학교, 기초지자체 등은 나급, 각급학교나 지자체 산하기관, 시·군·구급 기초지자체는 다급에 해당한다. 가급은 기존처럼 엄격한 요건을 갖춰야 한다. 반면 나급은 국제 CC인증이나 새롭게 도입된 신속확인인증을 받은 제품이라면 도입할 수 있다. 다급은 별도 요건 없이 각 기관이 자율적으로 판단·적용 가능하다.

산업계가 주목하는 것은 나·다급 개방이다. 그간 인증을 받기 어려워 좋은 제품을 개발했음에도 판매처를 찾지 못하던 기업들의 숨통이 틔어진다. 또 혁신 서비스의 도입이 빨라짐에 따라 보안 향상 효과도 기대된다.

그러나 보안적합성 검증체계 개편 역시 CSAP와 같은 문제점을 안고 있다. 기존 제도가 외산 솔루션의 공공 시장 진입을 억눌러왔지만 그 족쇄가 풀렸다. 이제 나·다급에서는 글로벌 기업들과 경쟁해야 하는 상황이다. 기술력이든, 가격이든, 영업력이든, 기업들의 경쟁력이 실험대에 오를 전망이다.