공공기관 클라우드 보안 인증 '이중 검토'를 국가정보원(국정원)으로 일원화하는 선택지를 포함한 논의는 미국 정부의 공공 클라우드 시장 개방 압박과 맞물리며 더디게 흘러가고 있다. 클라우드 서비스 업체(CSP)의 진입 문턱은 재설계될 정책 기조에 달렸다.

핵심 쟁점은 해외 CSP의 국내 공공 시장 진입 범위다. 현재 과학기술정보통신부와 한국인터넷진흥원(KISA)이 운영하는 클라우드서비스 보안인증(CSAP)이 사라지면 해외 기업의 공공서비스 진출 문턱을 한 단계 낮출 수 있다. 다만 국정원이 국내 데이터센터를 두고 공공 서비스용 서버를 분리하도록 규정하면 해외 CSP에는 오히려 불리해진다.

'관세 표적' 된 CSAP…국정원 일원화 논의중
4일 정보기술(IT) 업계에 따르면 과기정통부는 공공기관의 클라우드 서비스 도입에 필요한 보안 인증제 CSAP를 민간 인증으로 전환하고, 국정원의 보안성 검토로 공공 클라우드 규제를 통일하는 방안을 포함해 공공 클라우드 정책 개편안을 논의 중이다.

현재는 CSAP와 국정원 보안성 검토를 모두 획득한 CSP만 공공기관이 발주한 클라우드 사업을 수주할 수 있다. 과기정통부와 국정원이 논의 중인 개편안은 구체적인 내용이 정해지지 않았지만, 업계는 국정원이 기존 CSAP에서 규정한 보안 요건을 흡수해 새로운 가이드라인을 낼 것으로 예측한다.

CSAP는 '무역법 301조'를 꺼내든 미 무역대표부(USTR)의 관세 압박 대상에도 올라와 있다.

지난해 USTR은 '2025 국가별 무역장벽 리포트'(NTE)를 통해 "CSAP는 한국 공공시장에 진출하려는 해외 CSP에 상당한 장벽이 되고 있다"며 "이 때문에 미국 기업이 한국 시장에서 제외되고 있다"고 주장했다.

정부로서는 공공 클라우드의 보안 관리와 시장 개방성 확대 사이 균형을 찾아야 하는 상황에 놓였다. 과기정통부 관계자는 "공공 클라우드 사업의 보안 인증 정책은 여러 방안을 두고 국정원과 논의 중"이라며 "구체적인 내용은 확정되지 않았다"고 설명했다.


美 기업, '비공개 데이터' 접근 가능 등급 요구
미 정부는 자국 기업을 대상으로 한 CSAP의 등급 규제를 완화해 달라고 요구하고 있다. 국내에 진출한 구글 클라우드·아마존웹서비스(AWS)·마이크로소프트(MS) 등 빅테크가 획득한 가장 낮은 수준의 등급으로는 공공 시장 내 주요 데이터에 접근하기 힘들기 때문이다.

CSAP는 보안 수준에 따라 상·중·하 3단계로 CSP에 등급을 부여한다. 현재 하 등급을 제외한 나머지 가이드라인은 고시로 확립되지 않았지만, 정부는 2023년 과기정통부와 국정원이 함께 세운 '국가 클라우드 컴퓨팅 보안 가이드라인'에 따라 CSP의 보안 등급을 나누고 있다.

하 등급 사업자는 개인정보를 포함하지 않고 누구나 접근할 수 있는 공공 데이터만 처리할 수 있다. 중 등급은 비공개 업무자료를 다룰 수 있고, 상 등급은 안보·국방·외교 등 국가 중대 이익이나 민감정보를 취급할 수 있다. 국내에 진출한 미국 CSP 3사는 모두 하 등급만 획득한 상태다.

한국클라우드산업협회 관계자는 "개방된 데이터에만 접근할 수 있는 하 등급 기업은 실질적으로 먹거리 사업을 수주하기 힘들다"며 "그런 부분 때문에 해외 기업이 중·상 등급의 보안 규제를 완화해달라고 요구하는 것"이라고 말했다.

국정원 기조 변수…'PPP 입점·물리적 망 분리' 관건
변수는 국정원이 공공 클라우드 시장에 적용할 보안 요건이다. 진흥보다 안보에 초점을 둔 기관 성격상 민감 데이터가 포함된 공공사업에서 안보 인증과 통제를 강화할 가능성이 있다.

특히 국내에 데이터센터를 둬야만 CSAP 중·상 등급에 준하는 민감한 사업을 따낼 수 있도록 가이드라인을 제정할 것이란 관측도 나온다. 국내 공공 시장 진출을 위해 CSAP 하 등급 획득에 주력했던 해외 CSP에는 예상치 못한 변수다.

현재 CSAP의 상 등급에 준하는 국정원 보안기준의 상 등급은 국내에 구축된 서버와 상면 등 데이터 인프라를 이용하고, 공공과 민간용 클라우드 서버를 물리적으로 분리한(물리적 망 분리) 기업에만 부과된다. 침해사고나 데이터 유출이 일어날 경우 현장조사를 용이하게 하고, 민감 데이터를 다루는 공공 영역의 보안을 강화하기 위함이다.

국정원 상 등급은 국가정보자원관리원(국정자원) 대구센터의 민관협력형(PPP) 클라우드에 입점한 NHN클라우드·삼성SDS·KT클라우드 3사에 부여돼 있다. PPP 클라우드는 상면·전력·보안·망 연계 등 기본 물리 인프라는 국가가 제공하되, 클라우드 네이티브 기술·그래픽처리장치(GPU)·인공지능(AI)·개발운영(데브옵스) 등은 민간 CSP가 책임지는 방식이다.

클라우드 업계 전문가는 "안보 위주의 국정원 기조를 고려하면 해외 CSP가 공공 시장에 진입하기가 더욱 까다로워질 것으로 보인다"며 "PPP 클라우드 입점이 상 등급 획득의 필수 요건이 되면 글로벌 기업은 사실상 진입이 불가능하다고 봐야 한다"고 말했다.


국가 데이터 보안·디지털 주권과 직결…"청사진 확정부터"
공공 클라우드 규제 개편은 국가 데이터의 보안을 넘어 디지털 주권과도 직결되는 사안이다. 국내 클라우드 기업은 그간 외산 클라우드의 시장 장악에 방어하기 위해 상대적으로 입점 요건이 보수적인 공공 시장 진출에 주력해 왔다.

국내 업계는 가닥만 잡고 있는 공공 클라우드 정책의 개편안이 서둘러 확정되기를 기다리는 분위기다. 정책 가이드라인에 따라 열리는 공공 클라우드 시장의 경쟁 수준과 유망성을 가늠하고, 이를 바탕으로 민간사업자의 공공 시장 진출 확장 방안을 강구할 수 있기 때문이다.

한국클라우드산업협회 관계자는 "CSAP 등급제 폐지 자체를 두고는 등급 획득 여부에 따라 국내 기업 사이에서도 의견이 조금씩 갈린다"면서도 "공통적으로는 새 인증제도가 빠르게 확립돼 민간 CSP가 공공 시장으로도 사업을 확대할 수 있는 기반이 마련되길 바라고 있다"고 설명했다.

bean@news1.kr