[디지털데일리 이종현기자] 행정안전부는 오는 2025년까지 8600억원의 예산을 투입해 공공 시스템을 클라우드 환경으로 전면 전환하겠다고 밝혔다. 행정기관과 공공기관이 운영 중인 1만9개의 모든 정보시스템을 클라우드로 전면 전환·통합한다.

기존 용역 위주의 공공 SW 사업 비중을 낮추고 상용 소프트웨어(SW) 구매 비율도 높인다는 계획도 세웠다. 이에 공공부문 클라우드 전환 시 공공 업무시스템을 서비스형 소프트웨어(SaaS)로 대체할 수 있을 경우 민간기업의 SaaS를 우선 활용하도록 한다는 방침이다.

모든 기업에 문호를 여는 것은 아니다. 공공에 클라우드 서비스를 공급하기 위해서는 한국인터넷진흥원(KISA)의 클라우드 보안인증(CSAP)을 받아야 한다. 안정성 및 신뢰성이 검증된 서비스를 공공에 도입하기 위해 마련된 제도다. 서비스형 인프라(IaaS) 기준 14개 분야 117개 통제항목을 준수해야 한다.

CSAP는 높은 품질의 서비스를 가려낸다는 것 외에 국내 기업을 육성한다는 효과도 있다. CSAP는 물리적 망 분리를 인증 조건으로 두고 있다. SaaS의 경우도 고객사별 데이터베이스(DB)를 따로 구축하는 등 다소 까다로운 조건을 요구하고 있는데, 공공기관 납품을 위한 제품 재구축 혹은 커스터마이징이 필요한 만큼 글로벌 기업이 진입하기는 쉽지 않다.

국제공통표준(CC), 굿소프트웨어(GS) 인증 등도 유사한 점이 있다. 해외 기업이 준수하기 어려운 조항을 넣음으로써 국산 SW 산업을 육성하겠다는 취지다. 해외 기업은 이와 같은 제도들이 불공평하다고 줄곧 비판해오고 있다.

다소 쓴소리를 듣더라도 이와 같은 인증이 꼭 필요하다는 의견이 지배적이다. 단순히 제품 경쟁력을 두고 경쟁한다면 규모 면에서 훨씬 큰 글로벌 기업을 이겨내기란 쉽지 않기 때문이다. 민간 영역이라면 시장논리에 의해 경쟁할 수 있지만, 공공이라면 국산 SW를 쓰는 것이 바람직하다.

다만 이런 인증들이 되려 우리 중소기업 및 스타트업에게 걸림돌이 될 수도 있다는 목소리도 있다.

CSAP 인증을 위해서는 사전컨설팅, 서면·현장평가 및 위약점 점검, 모의침투테스트, 이행점검 등의 과정을 거쳐야 한다. 이 과정에서 상당한 시간과 예산이 든다는 것이 SW 업계 관계자의 설명이다.

문제는 중소기업 및 스타트업 입장에서 이런 인증을 얻기가 쉽지 않다는 점이다. 여기서부터는 닭과 달걀의 문제가 된다. 기업에게 시간이란 곧 돈이다. 기업을 지속하기 위해서는 돈이 필요하고, 돈을 벌기 위해서는 제품을 판매해야 하고, 제품을 판매하기 위해서는 인증을 얻어야 하고, 인증을 얻기 위해서는 돈이 필요하다.

CSAP 인증 등이 국내 공공기관 공급용 인증이라는 점도 문제다. 공공시장을 주요 타깃으로 삼는 기업이 아니라면 굳이 CSAP 인증을 얻지 않을 수도 있다.

지난 7월까지 CSAP 인증서를 발급받은 제품은 총 38개다. 2020년부터 올해 7월까지 CSAP 인증서를 발급받은 제품은 총 19개로 2020년 10개 제품, 2021년 7월까지 9개 제품이 CSAP 인증을 받았다. 숱한 서비스 중에서도 38개 만이 인증을 받은 상황이다.

제품의 변별력을 확보하고, 국내 기업에 유리한 무대를 마련해 주는 등 SW 인증이 가진 순기능은 명확하다. 다만 그 순기능만 바라보기에는 시장 변화가 거세다. SW 업계 관계자는 “우리 기업들이 SW 인증의 혜택을 누리는 것은 부정할 수 없다. 그러나 자칫하다간 국내 SW 산업의 갈라파고스화를 부추길 수도 있다”고 우려했다.