‘망’에 대한 정부의 접근법 재정의 요구

일각에서는 CSAP 등급제 개편과 관련해 ‘네트워크 망’에 대한 정부의 접근법도 이번 디플정위원회에서 새롭게 정의해야 한다는 주장도 제기되고 있다. 공공 시장에서 민간 클라우드를 활성화하기 위해 CSAP를 등급제로 개편하려면 망에 대한 접근법을 다시금 정의해야 한다는 주장이다.

현재 정부는 망을 보안의 수단으로 정의하고 있다. 데이터 보호를 위해 망 연계를 배제하고 있는 것도 이런 이유다. 실제 지자체와 공공기관은 자체 보유한 정보시스템을 민간 클라우드로 이전할 때 국정원으로부터 정부 보유 센터 내 망에 대한 접근을 승인받아야 한다. 승인받지 못한다면 민간 클라우드를 사용할 수 없다. 국가의 데이터 보안성을 최우선시하는 국정원은 아주 중요하지 않는 시스템만 민간 클라우드를 사용할 수 있도록 허가하고 있다.

이에 대해 업계 한 관계자는 “한 공공기관에서 CSAP 등급 ‘중’에 해당하는 내부 시스템을 민간 클라우드로 이전하려 했다. 하지만 국정원에서 민간 클라우드와 통합전산센터와의 망 연동을 허가해주지 않았다. 당시 우리 기업에서는 우회하는 방법을 제시했지만, 국정원은 ‘망 단절’에 초점을 맞춰 제안을 거절했다”면서, “물론 중요시스템을 민간 클라우드로 이관한 사례도 있다. 하지만 이 경우에는 기관 내에서 자체 운영하던 망이기에 가능했다. 기관 전산실 망에 있는 시스템을 옮기는 것은 일부 완화가 된듯하다. 하지만 여전히 국정원은 대부분의 민간 클라우드 망이 정부의 통합전산센터 폐쇄망에 접근하는 것을 막고 있다. 실제로 행안부에서 추진하고 있는 지방 권역별 클라우드센터 구축 시범사업도 정부에서 운영하는 망과 민간 클라우드 기업의 망을 연계하는 방법을 두고 국정원과 협의 중”이라고 설명했다.

또 다른 관계자 역시 “CSAP를 받은 대부분의 IaaS 사업자는 일반 기업과 물리적으로 망을 분리한 별도의 ‘공공존’을 만들었다. 중요 시스템을 민간 클라우드에서 이용하는 등 민간클라우드 활성화를 위해서 정부는 통합전산센터 핵망에 ‘공공존’의 망을 연계할 수 있도록 망에 대한 인식부터 개선해야 한다”면서, “핵망과 기업의 공공존 망을 연결할 때는 가상사설망(VPN, Virtual Private Network)을 비롯해 다양한 방법이 존재한다. 그러나 국정원은 이를 거부하고 있다. 물론 국정원에서도 이러한 점을 이식하고 망 연계에 대한 부분들을 개선하겠다고 했지만, 지금까지도 국정원이 수용하는 것은 비중요시스템에 한정돼있다”고 말했다.

클라우드 업계 관계자들 대부분은 민간 클라우드를 활성화하기 위해 CSAP 등급제 개편 논의를 진행한다면, 이 과정에서 망에 대한 접근 방식을 ‘보안’에서 ‘인프라’로 무게중심을 옮겨야 한다고 입을 모은다. 또 과기부와 행안부, 국정원이 합의해 각 등급에 해당하는 선례를 만들어 공개해야 한다고 주장한다.

‘중’ 등급 시스템 확대해야 SaaS 기업 및 CSP 성장 가능

CSAP 등급제 개편을 두고 몇몇 SaaS 기업과 국내 CSP의 의견이 충돌하는 듯한 분위기도 감지된다. 실제 일부 SaaS 기업은 해외 CSP의 공공 클라우드 시장 참여를 반기는 분위기다. 이 SaaS 기업들은 그동안 공공보다는 민간 시장을 공략하기 위해 해외 CSP의 클라우드 인프라 위에서 SaaS를 개발·공급하고 있다. 이들 기업이 공공 클라우드 시장에 진입하기 위해선 CSAP를 인증받은 IaaS 사업자의 클라우드 위에서 SaaS의 보안성을 인증받아야만 했다. 그러나 인증 과정에서 발생하는 비용이 4억 원에 달하며, 기간도 최소 6개월 이상 소요돼 그동안 거의 포기하다시피 한 시장이었다. 그러나 CSAP가 등급제로 개편돼 해외 CSP들이 공공 클라우드 시장에 참여하게 되면 상황은 달라진다. SaaS 기업들이 해외 CSP를 등에 업고 쉽게 공공 클라우드 시장에 진출할 수 있는 길이 열리게 되는 것이다.

국내 CSP는 해외 CSP의 공공 클라우드 시장 진출을 적극 반대하고 있다. 이제 막 열리기 시작한 공공 클라우드 시장을 자본력을 앞세운 해외 CSP에 모두 내 줄수 있다는 우려에서이다. 특히 현재 ‘하’ 등급에 속하는 비중요시스템만 클라우드로 이전이 가능하기 때문에 국내 CSP는 더더욱 해외 CSP의 공공 클라우드 시장 입성에 반대하고 있다.

‘하’ 등급에 속하는 비중요시스템의 클라우드 이전에 해외 CSP의 참여가 기정사실화된 상황에서 국내 CSP들은 해외 CSP들과의 경쟁에 대비하며서 ‘중’ 등급에 해당하는 공공 정보시스템의 수를 늘려달라고 주장하고 있다. 이처럼 서로 다른 이해 관계에 따라 CSAP 등급제 개편을 두고 벌이는 국내 CSP 기업과 몇몇 SaaS 기업의 의견 대립은 당분간 계속될 것으로 보인다.

하지만 몇몇 SaaS 기업들이 간과하고 있는 사실이 있다. 해외 CSP는 ‘하’ 등급 인증만 취득할 수 있고, SaaS는 ‘중’ 등급에 포함된다는 점이다. 한 공공기관 관계자에 따르면, 현행 CSAP SaaS 인증을 취득한 SaaS는 대부분 ‘하’ 등급이 아닌 ‘중’ 등급에 속할 것으로 예상된다. 또한 공공에서 사용되는 SaaS는 주로 화상회의, 메일과 같은 서비스가 공공 업무에 사용되고 있어 ‘중’ 등급에 해당할 것으로 예상된다.

종합해보면 결국 SaaS 기업들이 요구하고 있는 ‘해외 CSP가 공공 클라우드 시장에 들어와야 한다는 주장’은 해당 내용을 명확하게 인지하지 못한 상황에서 나오고 있는 주장으로 보인다. SaaS 기업과 국내 CSP 모두 같은 ‘중’ 등급에 해당하는 시장을 바라보고 있다는 것이다.

한 SaaS 기업의 관계자는 “해외 CSP의 공공 클라우드 시장 참여를 주장한 몇몇 SaaS 기업은 해외 CSP로부터 압박을 받았을 것”이라고 추측하며, “CSAP 등급제 개편과 관련해 SaaS 기업들과 국내 CSP가 한 자리에 모여 용어를 재정리하고 안건들을 명문화했으면 한다”고 말했다.