[아이티데일리] 공공 클라우드에 대한 관심이 높아지는 상황 속에서 정부‧공공기관에 클라우드 서비스를 공급하기 위해 필요한 ‘클라우드 서비스 보안인증 제도(CSAP)’가 이슈가 되고 있다. CSAP 제도 개편을 두고 과학기술정보통신부(이하 과기정통부), 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(국무총리실 산하) 등 관련 부처 간 입장 차이가 있음은 물론, 제도 개편에 대한 국내 클라우드 서비스 제공사(CSP)들로부터 반대 목소리가 나오면서 이해 관계가 충돌하고 있는 것이다.

특히 기존 CSAP 보안인증을 데이터의 민감도에 따라 ‘상’, ‘중’, ‘하’ 등 세 등급으로 통합‧개편한다는 정부의 계획에 국내 CSP들이 거세게 반발하고 있다. 무엇보다 민간 시장에서 힘겹게 외국 CSP와 경쟁하고 있는 국내 CSP들은 이번 개편으로 해외 CSP가 공공 시장에 무혈입성할 것으로 예상하면서 공공 클라우드 시장마저 빼앗길 수 있다고 우려하고 있다. CSAP 완화‧개편 작업과 관련한 현 상황과 이를 바라보는 업계의 시각은 어떠한지 상세히 짚어본다. 

부처 간 이해관계에 시름 깊어지는 국내 CSP

CSAP와 직접적으로 연관된 부서는 △CSAP의 보안 평가 항목을 지정하는 ‘국가정보원’과 △보안 평가 항목을 토대로 인증을 부여하고 관리하는 ‘과기정통부’ △이렇게 인증받은 클라우드 서비스를 공공기관에서 사용할 수 있도록 사업으로 지원하는 ‘행정안전부’ 등 3곳이다. 그리고 또 다른 한 곳이 있다. 바로 △국무총리를 보좌하는 중앙행정기관이면서, 각 부처의 의견을 수렴하고 중재하는 곳인 ‘국무조정실’이다.

업계의 의견을 종합하면 CSAP 완화‧개편을 처음 지시한 곳은 국무총리실인 것으로 가닥이 모인다. 그리고 이러한 지시를 받은 곳은 과기정통부이며, 현재 CSAP 완화‧개편에 주도적으로 나서고 있다.

한 공공기관 관계자는 “CSAP 완화‧개편과 관련해 부처 간의 의견이 통일되지 않고 있다. CSAP 완화‧개편을 둘러싸고 관련 부처가 서로 다른 입장 차이를 보인다는 것은 공공 클라우드 시장에 투자하고 뛰어든 기업들로 하여금 불안감을 조성하고 있다는 것”이라면서, “관련 부처가 서로 통일된 지향점과 명분을 갖고 있어야 건설적인 CSAP 완화‧개편이 가능해질 것”이라고 말했다.

부처 간에도 이해 관계와 지향하는 목표가 다르기에, 어떤 사안을 두고 서로 다른 입장차를 보일 수 있다. 이러한 부처 간 입장차를 조정하고 중재하는 역할을 하도록 국무조정실을 두고 있다. 그러나 국무총리실이 개입하면 상황은 달라진다. 국무조정실은 국무총리실 산하기관으로 국무총리실의 입김이 강하게 작용할 수밖에 없다. 이미 국무총리실에서 9월 말~10월 초까지 CSAP 완화‧개편을 지시한 상황에서, 국무조정실은 부처 간의 이해관계를 조율하기보다 빠르게 일을 처리하는 것에 방점을 찍을 수밖에 없을 것이라는 게 업계 전문가들의 분석이다.

이에 대해 한 기관의 관계자는 “국무조정실은 CSAP 완화‧개편을 빠르게 진행하고자 할 뿐이다. 그러니 각 부처의 이해관계에서 교집합을 추출하는 것이 아닌, 모든 이해관계를 떠안고 가는 합집합을 택한 것”이라고 설명했다.

CSAP와 공공 클라우드 정책을 주관하는 3곳의 부처가 단 한 번도 모이지 않았다는 데서도 이런 상황을 유추해볼 수 있다. 각 기관들이 개별적으로 CSP, SaaS 기업, 단체를 불러 회의를 했을 뿐이다.

실제로 취재 과정에서 확인한 바, 세 부처가 개최한 회의는 10회가 넘었다. 이 중 국정원과 행안부만 공동 회의를 한 차례 열었을 뿐이다. CSAP 완화‧개편 작업의 주무 부처인 과기정통부는 협조 기관으로 국가정보원을 포함했을 뿐, 행안부는 거론조차 하지 않고 있다. 국가정보원 측과 행정안전부 측 역시 과기정통부의 이러한 태도에 관해 불만을 표하기도 한 것으로 알려졌다.

한 공공기관의 관계자는 “공공 담당자들이 서로 다른 목표를 추구하고 있기에 함께 만나 의견을 조율하기 어려울 것이라는 점을 모두가 알고 있는 듯하다. 또한 공공 종사자의 고질적인 문제인 책임 회피 경향 역시 부처들이 함께 하는 것을 막고 있는 것으로 보인다. CSAP 완화‧개편은 장기적으로 국가 클라우드 경쟁력 차원에서 국내 클라우드 산업과 정부 데이터 주권 확립 체계에서 좋지 않은 영향을 줄 것이다. 이 같은 부정적인 결과를 책임지고 싶지 않기 때문에 서로가 서로에게 책임을 떠넘기고 있는 것 같다”고 짚었다.

공공 시장 노리는 ‘해외 CSP’

“아마존웹서비스(AWS)의 공공 영업 인력은 200명이다. 2019년부터 지금까지 공공 관련 수익이 없는 상황에서도 이들 인원을 유지하고 있다. 여기에는 기자 출신과 공공기관 은퇴자 등 공공기관에 영향력을 행사할 수 있는 사람들이 대거 포진돼 있다. AWS가 오래 전부터 공공 클라우드 시장에 눈독을 들이고 있었다는 의미다. 2~3년간 200명이라는 인력을 유지해 왔다는 것은 CSAP가 개편되는 순간 모든 공공 시스템을 AWS 위에서 구동하게 만들겠다는 목표를 갖고 있다는 의미다. 실제 AWS나 MS는 처음에 앞장서서 이슈를 만들었지만, 지금 와선 이들은 보이지 않고 부처 간, 또 국내 CSP와 부처 간 갈등만 보인다. 이들 기업은 CSAP가 완화‧개편되는 순간만을 기다리고 있을 것이다.”

한 국내 CSP 관계자가 현재 해외 CSP의 공공 사업 동향에 관해 한 말이다. 현재 CSAP가 ‘상’, ‘중’, ‘하’로 개편될 움직임이 보이자 해외 CSP들은 쌍수를 들고 반기고 있다. 물리적 망분리와 소스코드 공개 등을 하지 않고 공공 클라우드 시장에 진입할 수 있는 길이 열리게 되기 때문이다.

한 해외 CSP 관계자는 “현재 AWS, MS, 구글 등 글로벌 업체가 국내 시장의 90% 이상을 차지하고 있다. 반면 공공 시장에서는 힘을 쓰지 못하고 있다. CSAP 때문이다. 이 인증을 받으려면 공공기관용 서버의 경우, 국내에서 물리적 망 분리 등의 조건을 충족해야 한다. 글로벌 기업 입장에서는 불가능한 조건이다. CSAP는 공공 클라우드 시장에 글로벌 기업들의 진입을 막는 방파제로 작용해왔다”고 말했다.

이 관계자는 “해외 CSP가 드디어 공공부문 수요에 보다 적극적으로 대응할 수 있게 됐다”면서, “규제가 풀리면 민간 부문에서 검증된 경쟁력과 서비스를 공공 부문에도 똑같이 적용하겠다”고 밝혔다.