[Ⓒ 픽사베이]

[디지털데일리 권하영기자] 클라우드보안인증(CSAP) 등급제가 드디어 전면시행을 앞두면서, 공공부문 클라우드 네이티브 전환이 속도를 낼 것으로 보인다.

이에 따라 국가 행정내부시스템에도 민간 클라우드 도입이 활발해질 수 있어, 국내 클라우드기업(CSP)에는 큰 기회가 될 전망이다. 다만 ‘하’ 등급을 통해 외산 CSP도 공공 시장 진출이 가능해진 만큼, 국산 기업 중심이던 국내 공공 클라우드 시장에 어떤 변화를 가져올지 귀추가 주목된다.

7일 과학기술정보통신부(이하 과기정통부)에 따르면, CSAP 등급제의 상·중 등급 평가기준이 반영된 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부개정안이 오는 26일까지 행정예고를 거쳐 곧 시행될 예정이다.

CSAP는 민간기업이 공공부문에 클라우드 서비스를 공급할 때 갖춰야 할 필수 인증요건을 말한다. 공공기관에 믿을 만한 클라우드를 공급하자는 취지로 2016년 도입됐다.

하지만 그동안은 CSAP 제도로 인해 국가 행정내부시스템에 민간 클라우드를 도입하기가 쉽지 않았다. 각 공공기관마다 요하는 보안 수준이 다름에도, 등급 구분 없이 일괄적으로 보안인증을 요구하다 보니 전반적으로 진입장벽이 높아졌다는 지적이다.

이에 과기정통부는 상·중·하 등급으로 보안인증 평가기준을 차등화한 ‘CSAP 등급제’를 지난해 1월 도입했다. 현행 수준을 유지하는 ‘중’ 등급, 그보다 더 강화된 보안을 필요로 하는 ‘상’ 등급, 그리고 보안 요구를 다소 완화하는 ‘하’ 등급으로 나눴다.

과기정통부는 당시 하 등급에 대한 평가기준을 먼저 마련해 시행하고, 상·중 등급에 대해서는 관계부처와 함께 실증·검증을 거쳐 보안인증 평가기준을 마련하기로 했었다. 그 결과로 이번 고시 개정안에 상·중 등급 평가기준이 담긴 것이다.

구체적으로, 상 등급은 국가 중대이익(안보·외교 등)이나 행정 내부업무와 관련된 시스템에 적용되며, 이번에 4개의 평가항목(①외부 네트워크 차단 ②보안감사 로그 통합관리 ③계정 및 접근권한 자동화 ④보안패치 자동화)이 신설됐다. 중 등급은 기존 CSAP 인증과 동일한 수준이다. 따라서 등급제 시행 이전에 CSAP를 획득한 사업자는 유효기간 내에서는 중 등급으로 인정이 된다.

클라우드 업계 한 관계자는 “원래는 상 등급을 122개로 하면서 6개 항목을 신설하는 안을 고민했던 것 같은데, 논의 과정에서 120개, 4개로 줄어들었다”며 “확정된 안에서는 상등급에 대한 부담을 조금이나마 완화해준 것 같다”고 평가했다.

이제 상·중 등급에 대한 고시 개정까지 완료되면 CSAP 등급제가 비로소 온전히 시행되는 것이며, 특히 공공 클라우드 도입·전환 수요자인 정부부처와 공공기관들이 각 시스템별로 등급을 매겨 본격적으로 클라우드 사업을 펼칠 수 있게 된다.

국내 클라우드 업계는 환영하는 분위기다. 등급과 기준을 명확히 했으니 공공부문은 훨씬 부담 없이 민간 클라우드를 도입할 수 있고, 사업자들 입장에서도 수요가 늘어나고 각사 기술과 전략에 맞춘 사업을 전개할 수 있어서다.

업계 관계자는 “모호한 기준 때문에 사업자도 공공도 클라우드 도입이 쉽지 않았는데, 가이드라인이 생겼으니 긍정적이라고 본다”고 말했다. 또 다른 업계 관계자도 “새로운 시장이 열리면 기회가 더 늘어날 것이고, 실제 국내 업체들도 CSAP 개정에 맞춰 바로 시장에 뛰어들 수 있게 준비가 다 된 상황”이라고 전했다.

다만 ‘하’ 등급 신설로 인한 외산 기업들의 공공 시장 진출은 논란이다. 그동안 아마존웹서비스(AWS)와 마이크로소프트(MS), 구글클라우드 등 글로벌 CSP들은 일괄적인 보안을 요구하는 기존 CSAP로는 국내 공공 클라우드 시장에 참여하지 못했다. 하지만 보안 요구를 상대적으로 완화한 하 등급이 생기면서, 이들 기업도 기회가 생겼다.

이미 AWS와 구글 등은 CSAP 하 등급을 신청해 인증 평가절차를 밟고 있으며, 알리바바 클라우드, 세일즈포스, 오라클 등도 공공 클라우드 사업에 관심을 보이고 있는 것으로 알려졌다.

이로 인해 국내 CSP들은 긴장할 수밖에 없는 상황이다. 그간 CSAP는 사실상 외산 기업에 대한 진입규제이기도 했는데, 이 덕분에 국내 CSP들이 공공 클라우드 시장을 선점하고 주도했던 면이 있었다. 하지만 하 등급을 통해 글로벌 빅테크들이 밀고 들어온다면, 국내 업체는 어쩔 수 없이 파이를 나눠줘야 한다.

국내 CSP 한 관계자는 “국내 업체들은 CSAP를 받기 위해 보안과 관련한 투자를 많이 했고 경험도 풍부하다”며 “글로벌 기업들은 사실 현행 제도에서도 충분히 CSAP를 획득할 수 있었지만 단지 그만큼 투자를 하지 않았기 때문에 그동안 공공 시장에 들어오지 못한 것”이라고 지적했다. 그러면서 “그런 투자를 하지 않은 글로벌 기업들에 기준을 낮춰주는 식으로 길을 열어주는 것은 불합리하다”고 꼬집었다.

예산에 대한 우려도 나온다. 행정안전부의 올해 클라우드 네이티브 전환 예산은 740억원으로, 지난해(342억원)보다는 배가량 늘었지만 2022년(1786억원)과 비교하면 한참 못 미친다. 당초 행안부가 신청했던 예산은 1200억원 규모였다. 제도개선은 이뤄졌는데 예산이 이를 뒷받침해주지 못한다면 공공 클라우드 전환은 공염불이 될 수밖에 없다는 지적이다.