[디지털데일리 이종현기자] 정부의 클라우드 보안인증(CSAP) 개편 발표에 국내 클라우드 산업계가 떠들썩하다. 핵심인 인프라를 제공하는 클라우드 서비스 사업자(CSP)의 반발이 특히 거세다. 국내 CSP 관계자는 “지난 몇 년간의 공든 탑이 무너질 위기에 처했다”고 호소하고 나섰다.
CSAP는 클라우드 서비스의 보안성과 신뢰성을 객관적으로 입증하기 위해 마련된 인증 제도다. 공공기관에 클라우드 서비스를 공급하기 위해 필수적으로 받아야 하는 관문 역할을 한다.
문제가 불거진 것은 지난 8월 18일이다. 과학기술정보통신부(이하 과기정통부)가 국정현안점검조정회의에서 발표한 정보보호 규제개선 추진 상황 및 계획 중 CSAP 제도 개선 내용이 포함됐는데, 그 내용이 논란의 불씨를 당겼다.
과기정통부가 제시한 것은 획일된 CSAP 체계를 시스템 중요도에 따라 3등급으로 구분하는 등급제로의 개선이다. 현재 적용 중인 CSAP 평가기준을 완화해 보안 위험이 상대적으로 낮은 공개 데이터를 다루는 클라우드에 대해서는 부담을 줄이겠다는 것을 골자로 한다.
이와 같은 개선이 논란이 된 것은 그간 CSAP가 해외 CSP의 공공 클라우드 시장 진입을 막는 역할을 해온 데 있다. 현행 CSAP 인증을 위해서는 클라우드 데이터센터에서 공공기관용과 민간용 영역을 물리적으로 구분해야 한다. 또 영업 기밀인 소스코드가 공개되는데, 아마존웹서비스(AWS)를 비롯한 해외 사업자들은 ‘과도한 규제’라며 개선을 촉구해왔다.
현재 논의 중인 CSAP 개선안에서는 최저등급의 경우 물리적 분리 및 소스코드 공개 등, 기존 해외 사업자들이 겪던 어려움을 해소토록 하는 방향으로 가닥을 잡은 것으로 전해진다.
이와 관련 국내 CSP 업계는 극렬하게 반발 중이다. 현재 국내 민간 클라우드 시장은 AWS가 장악 중이다. AWS의 점유율이 전체의 과반을 넘어선다는 말도 있다. 반면 공공 영역에서는 네이버, NHN, KT 등 국내 사업자가 활약 중이다. 그런데 CSAP가 개선돼 외산 클라우드가 공공에서도 쓰일 경우, 국내 사업자들이 큰 타격을 받을 수밖에 없다.
외국계 CSP와 국내 CSP가 부딪히는 가운데 CSP와 함께 클라우드 생태계를 조성하고 있는 국내 클라우드 관리·서비스(MSP) 기업은 은연중 외국계 CSP의 편을 들고 있다는 목소리도 나온다. 업계 관계자는 “CSP를 고객사로 삼는 MSP의 특성상, 가장 큰 고객인 AWS의 편에 설 수밖에 없다”고 말했다.
국내 CSP 기업 관계자는 “속도조절이 필요하다”고 피력했다. 그는 “국내 CSP는 그간 정부에서 요구하던 물리적 분리 등을 모두 수용한 결과 CSAP 인증을 받았다. 선행 투자를 한 셈인데, 이제와서 조건을 완화한다면 그간의 투자는 무용지물이 되는 것인가”라고 반문하며 “산업계의 의견을 듣는 공청회 정도는 거쳐야 하지 않나. 무엇이 이렇게 급한지 모르겠다”고 전했다.