[아이티데일리] 공공 클라우드에 대한 관심이 높아지는 상황 속에서 정부‧공공기관에 클라우드 서비스를 공급하기 위해 필요한 ‘클라우드 서비스 보안인증 제도(CSAP)’가 이슈가 되고 있다. CSAP 제도 개편을 두고 과학기술정보통신부(이하 과기정통부), 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(국무총리실 산하) 등 관련 부처 간 입장 차이가 있음은 물론, 제도 개편에 대한 국내 클라우드 서비스 제공사(CSP)들로부터 반대 목소리가 나오면서 이해 관계가 충돌하고 있는 것이다.

특히 기존 CSAP 보안인증을 데이터의 민감도에 따라 ‘상’, ‘중’, ‘하’ 등 세 등급으로 통합‧개편한다는 정부의 계획에 국내 CSP들이 거세게 반발하고 있다. 특히 민간 시장에서 힘겹게 외국 CSP와 경쟁하고 있는 국내 CSP들은 이번 개편으로 해외 CSP가 공공 시장에 무혈입성할 것으로 예상하면서 공공 클라우드 시장마저 빼앗길 수 있다고 우려하고 있다. CSAP 완화‧개편 작업과 관련한 현 상황과 이를 바라보는 업계의 시각은 어떠한지 상세히 짚어본다. 

정부의 클라우드 방향성, 데이터 주권에 초점 맞춰야

“현재 미국과 중국을 제외한 국가 중 CSP를 보유한 국가는 드물다. 유럽에서도 OVH클라우드, 클레버 클라우드, 스카일웨이를 제외하곤 없다. 하지만 이 세 기업은 단순히 IDC에서 자원을 임대하는 정도의 서비스만을 제공하고 있다. 그러나 지금 우리나라에 최대 8곳의 CSP가 있다는 것은 클라우드 기술 경쟁력을 확보할 수 있다는 의미이기도 하다. 현재 여러 나라에서 미국 기업의 클라우드를 전면 도입했지만, 데이터 주권을 확보하기 위해 다시금 자국 사업자를 육성하고자 노력하고 있다. 우리나라는 이와 반대로 데이터 주권을 포기하며 다른 나라들과 반대로 나아가는 느낌이다.”

한 CSP 기업 관계자가 주변국이 IT 관련 통상 압력에 대해 어떻게 대응하는지를 설명하며 강조한 말이다.

이 관계자에 따르면 유럽연합(EU)과 일본은 ‘데이터/기술 주권’ 확보에 있어 클라우드가 핵심 기반임을 인식하고, 시장을 장악한 미국 클라우드 사업자를 견제하면서 자국 사업자를 육성하는 데 공을 들이고 있다.

먼저 EU는 데이터 및 기술 주권을 주창하며 출범한 ‘EU 데이터·에지·클라우드 산업 연합(European Alliance for Industrial Data, Edge and Cloud)’의 핵심 기반을 클라우드로 설정했고, “제3국가 당국의 통제나 접근의 대상이 되지 않는 유럽 산업 클라우드 개발을 목표로 한다”고 언급하며 클라우드 분야의 데이터/기술 주권 확보를 주요 정책 현안으로 지정했다.

특히 클라우드 정부 조달 등 클라우드 관련 거버넌스 현안 및 공공 서비스 제공을 위한 요건과 기준을 논의할 예정이며, 해외 기업의 경우 연합 참가에 일부 제약이 있어 EU 클라우드 산업 육성을 통한 데이터‧기술 주권 확보라는 목표가 뚜렷한 상황이다. 일부 제약이란 해외 기업의 경우 EU의 데이터 보호 프레임워크를 준수하기 위해 자신들이 취한 법적, 조직적, 기술적 조치에 대한 추가 증거를 제출해야 한다는 점이다.

또한 클라우드 사업자의 비개인정보 역외 이전까지 까다로운 요건 아래에서만 허용하는 ‘데이터 액트(Data Act)’ 법안도 발의‧논의 중에 있는 것으로 알려졌다.

한 CSP 관계자는 “해당 법안은 미국 수사기관이 구글, MS, AWS, 애플 등 미국 클라우드 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할 수 있는 권한을 갖는 미국 클라우드 법 ‘클라우드 액트(Cloud Act)’를 의식한 내용이라고 알려졌다”고 설명했다.

이어 그는 “클라우드 사업자가 EU법이나 회원국의 법과 충돌 가능한 비개인정보의 역외 이전을 하기 위해서는 클라우드 서비스 사업자가 협정을 포함한 필요한 모든 합리적인 기술적, 법적, 그리고 조직적 조치를 취해야 하며, 데이터의 역외 이전을 요구하는 제3국과의 별도 상호적 국제 협정이 존재하지 않는 한 비개인정보의 역외 이전은 허용되지 않는다”면서, “국가 간 협정없이 역외 이전이 가능하기 위해서는 상당히 까다로운 요건을 충족해야 한다”고 덧붙였다.

미국의 대표 우방국인 일본도 클라우드 영역에 있어서는 산업 보호 정책을 마련하는 등 데이터 주권과 사이버 안보 체계를 확립하기 위해 동분서주하고 있다. 일본은 2022년 5월 클라우드 서비스를 반도체, 제약 분야와 함께 경제 안보의 중요한 핵심 상품(Critical Product)으로 선정하고, 관련 기업들이 정부 보조금 혜택이나 저금리 자금 조달이 가능하도록 하는 자국 클라우드 사업자 육성 방안을 모색하겠다고 발표했다.

이는 민감한 공공 영역의 정보가 해외 클라우드에 이전되거나 관리될 경우, 일본에 대한 사이버 공격에 해외 사업자들이 빠르게 대처하지 못할 수도 있다는 우려의 목소리가 높아진 데 따른 조치다. 일본 정부는 공공 클라우드 관련 주요 엔지니어링 조직을 자국 내에 두도록 강제하는 등 추가적으로 클라우드 관련 보호 정책을 마련 중인 것으로 알려졌다.

후지키메라연구소의 조사에 따르면, 현재 일본의 민간 클라우드 시장의 72%를 해외 사업자가 장악하고 있다. 여기에 더해 2021년 일본 디지털청이 AWS와 구글 클라우드를 주요 공공 클라우드 프로젝트 사업자로 선정하면서, 일본 정부는 사안의 심각성을 인식하기 시작했다. 이때부터 일본은 경제 안보 차원에서 자국 클라우드 사업자 육성 정책을 본격 추진하기 시작했다.

이처럼 데이터/기술 주권 수호를 위한 EU와 일본의 정책적인 움직임과는 달리, 한국은 ‘디지털플랫폼정부’의 주요 정책 추진 과제에 오히려 ‘해외 클라우드 사업자의 시장 진입 장벽 완화’가 포함돼 있다는 점을 반드시 돌아봐야 한다. 디지털플랫폼정부 추진방향 보고서에 따르면, ‘활용성과 보안성을 동시 제고하는 신(新) 보안체계 구축’의 세부 계획으로 ‘망분리 및 클라우드 보안인증 개선’이 포함됐으며, 이를 통해 ‘해외 클라우드 사업자 진입장벽을 완화’하겠다는 표현이 직접적으로 나타난 것이다.

한 CSP 관계자는 “현재 우리나라는 공공분야 클라우드 활용 증진을 위해 해외 CSP의 시장 진입이 필요하지 않다. EU, 일본이 미국 클라우드 사업자의 시장 잠식 문제를 ‘데이터/기술 주권’ 확보의 심각한 위협으로 받아들이고, 공공 클라우드 분야에 있어 자립적 클라우드 인프라 구축에 집중하고 있는 것과는 달리 한국의 공공 클라우드 정책 방향은 외산 클라우드 문호개방이 주요 목표로 설정돼있다”면서, “현행 CSAP도 해외 CSP가 의지만 있다면, 인증을 받을 수 있으나, 해외 CSP가 CSAP 인증을 받지 않는 것은 자신들의 글로벌 표준에 벗어나면서까지 추가 투자를 단행할 정도로 한국 공공 클라우드 시장이 열리지 않았다고 사업적으로 판단했기 때문”이라고 설명했다.

이어 그는 “정부가 ‘상’, ‘중’, ‘하’ 등급으로 구분한다고 하면서 ‘하’ 등급에 대한 예시로 기상청 정보를 말했다. 민감정보가 아니라고 하지만 실제로 기상청 날씨 정보에 접근하기 위한 메인 DB는 G클라우드 핵망 내에 있다. 홈페이지를 AWS로, G클라우드 핵망 내 DB와 연계한다는 것이 어떻게 ‘하’ 등급으로 분류되는지 이해할 수 없다”면서, “정부가 추구하는 디지털플랫폼정부는 정부 내 데이터를 융합, 새로운 서비스로 국민들에게 혁신 서비스를 제공한다는 것이 핵심이다. 하지만 국가 정보시스템의 등급이 ‘하’로 구분되더라도 중요 데이터와 연계될 수밖에 없다. 정부가 주장한 디지털플랫폼정부위원회에서 CSAP 완화 세부 규칙을 논의한다고 하는데, 데이터 주권을 전부 빼앗기게 될 것이다. 해외 CSP들이 서울에 리전이 있다고 하지만 러닝 데이터만 서울 리전에 존재할 뿐, 백업 데이터는 해외 각 리전으로 분산될 것이다. 자국 데이터를 해외 특정 리전도 아닌 어딘지 모를 리전으로 분산하는 것이 데이터 주권을 확보할 수 있는 길인지 깊이 생각해야 한다”고 첨언했다.

사회적 합의 선행돼야…방어책 아닌 보완책 절실

정부의 CSAP 완화‧개편 움직임에 국내 CSP들은 “목적과 방향을 제시해주지 않고서는 동의할 수 없다”는 입장이다. 한 기업의 관계자는 “중‧장기적으로 협의하는 것도 맞다. 하지만 산, 학, 연, 관에 해당하는 사람들이 모두 모여 사회적인 합의를 도출하는 것이 우선이다. 이렇게 사회적 합의를 거친다는 것은 모두가 CSAP 완화‧개편에 동의했다는 의미이면서, 업계가 받아들일 수 있는 이익이 제시됐다는 것”이라면서, “이후 이행 계획을 만들고 다양한 사람들이 모두 모여 중‧장기적인 관점에서 국가 클라우드 경쟁력과 데이터 주권을 고려해 CSAP 완화‧개편 작업에 돌입해야 하는 것이 옳은 방향”이라고 말했다.

지난 10여년 동안 규모가 적은 기업은 수억 원을, 규모가 있는 CSP는 수천억 원을 언젠가 열릴 공공 클라우드 시장을 바라보며 투자했다. 현재 공공 클라우드 시장에 참여한 CSP들은 미래를 위해 투자하고 있을 뿐 당장 이익을 거의 내지 못하고 있다. 일례로 한 기업은 정부의 시스템을 클라우드로 이전 완료했지만 한 달에 100만 원도 이익이 나오지 않는 상황이라고 한다.

KT클라우드의 경우 천안 IDC에 G클라우드존을 만들었고, 용산IDC에도 G클라우드존을 새롭게 개소할 예정인 것으로 알려졌다. 이처럼 자국 기업들은 막대한 금액을 투자해 이 시장에 진입하고 있지만, 해외 CSP들은 아무 투자 없이 무임승차 할 수 있는 길이 열리고 있다는 점을 반드시 유념해야 한다.

초기 수면 아래에서 사안이 논의됐을 당시, 정부는 CSP들의 의견을 충분히 듣는 듯하는 모습을 보였다. 하지만 8월 18일 국무총리 주재 회의에서 CSAP를 기존대로 세분화한다는 내용이 나왔고, 디지털플랫폼정부위원회에서 관련한 세부 내용을 마련해간다는 내용을 발표했다. 결과적으로 정부가 국내 CSP들의 목소리를 듣는 시늉만 했다는 점이 여실히 드러나는 대목이다.

국내 CSP들은 기존 수십 차례 회의에서 “명분과 목적, 사회적 합의가 우선돼야 하며, 해외 CSP 무혈입성을 도울 것이면 ‘중’, ‘상’ 등급에 해당하는 정보자원도 클라우드로 이관한다는 보장을 해달라”는 메시지를 충분히 내놨다.

이번 정부의 CSAP 완화‧개편은 한덕수 국무총리가 직접 추진하고 있다고 한다. 반드시 CSAP 완화‧개편이 이뤄질 것이라는 의미다. 하지만 목표도, 이유도 없는 일방향적인 CSAP 완화‧개편은 한국의 데이터 주권, 클라우드 기술 경쟁력 약화로 이어질 수 있다는 점을 반드시 기억해야 할 것이다.