[아이티데일리] 정부가 클라우드 보안인증(CSAP) 제도를 손질하겠다고 선언하자 국내 클라우드 업계가 술렁이고 있다. CSAP는 공공기관에서 기업의 클라우드 서비스를 안전하게 활용할 수 있도록 정부가 직접 보안성을 보증하는 제도다. 현재 완화·통합으로 가닥이 잡힌 CSAP는 클라우드 전환을 앞둔 공공부문 시스템을 ‘상’, ‘중’, ‘하’ 등 3개의 등급으로 분류될 것으로 예상된다. 그리고 ‘하’ 등급에 대한 논리적 망 분리를 허용한다는 조항은 글로벌 CSP들의 공공 시장 무혈입성을 도울 수 있다는 점에서 특히 논란을 낳고 있다.

논란에도 불구하고 CSAP 개편에 대한 정부의 의지는 확고한 것으로 알려졌다. 해외 CSP들의 공공 시장 진출이 확정적인 상황에서 국내 CSP는 “이왕 열릴 공공 클라우드 시장이라면, ‘하’ 등급에 대한 영역을 글로벌 CSP에 열어주되 그간 요구해왔던 ‘중’, ‘상’ 등급에 해당하는 클라우드 전환 수요라도 국내 기업들에게 확실하게 보장해달라”고 요구하고 있다.

올해 안으로 마무리될 예정인 CSAP 개편 작업은 국가 디지털 경쟁력, 데이터 주권, 국내 클라우드 산업 활성화를 좌우할 만큼의 영향력을 갖고 있다는 점에서 신중할 수밖에 없다. 올해가 2달여 남은 현시점에도 CSAP를 3개의 등급으로 구분하는 것 외에 공식적으로 정해진 것은 없다. 지금부터라도 기업들의 의견을 충분히 듣고, 클라우드 산업이 발전할 수 있는 상황으로 개편을 이끌어 나가야 한다는 게 업계 중론이다. 즉 이번 CSAP 등급제 개편 논의에는 오랜 기간 공공 클라우드 시장의 문을 두드려왔던 국내 클라우드 기업들의 요구 사항을 해결하고, 정부·공공기관에서 클라우드를 활용해 디지털 혁신을 꾀할 수 있는 다양한 의견들이 반영돼야 한다. 이에 본지(컴퓨터월드/IT DAILY)는 CSAP 관련 협·단체 대표, 국내 CSP 관계자, SaaS 기업 관계자 등 전문가를 초청, ‘클라우드 보안인증 좌담회’를 개최해 의견을 수렴했다. 좌담회 주요 내용을 정리했다.

‘CSAP 등급제’, 민간 클라우드 우선 기조로 논의돼야

김용석: 클라우드 보안인증(CSAP) 등급제 개편이 관련 업계 최대의 논란거리로 떠올랐다. 특히 ‘하’ 등급에 대한 ‘논리적 망 분리’를 허용한다는 조항은 글로벌 CSP들의 공공 시장 무혈입성을 도울 수 있다는 점에서 논란이 크게 증폭되고 있다.

한 마디로 국내 산업의 싹도 자라기 전에 막강한 영업 및 마케팅력을 가진 글로벌 기업들에게 시장을 내 줄 것이냐?에 대한 논란이다. 무엇이 문제이고, 해결 방안은 없는 것인지 등에 대해 의견을 듣고자 각계 전문가들을 초청해 좌담회를 개최했다. 먼저 한국지능정보사회진흥원의 김은주 단장께서 CSAP 등급제 개편안이 부상한 이유에 대해 말씀해 주시면 좋겠다.

김은주: CSAP 등급제가 본격적으로 대두된 이유는 클라우드 컴퓨팅 발전법이 개정되면서 새로 생긴 2가지 사항 때문이다. 클라우드 컴퓨팅 발전법은 2015년에 처음 제정됐고, 2022년 1월에 개정됐다. ‘공공기관 및 정부 지자체의 민간 클라우드 이용 권장을 확대한다’는 조항이 마련된 것이다. 또 한 가지는 CSAP 인증받은 서비스를 사용하라는 조항이 법에 없었지만 개정되면서 상향 입법됐다는 점이다. 이 2가지 조항은 올해 1월에 개정됐고, 내년 1월부터 발효된다. 이 같은 상황에서 CSAP도 기업의 클라우드를 보다 적극적으로 사용할 수 있도록 개편해야 한다는 목소리가 제기됐다.

이에 민간 클라우드 우선 이용 제도가 CSAP와 어떻게 합을 이룰 것인지 논의돼야 한다. CSAP 등급제 개편 논의가 진행될 예정인 현시점이 민간 클라우드가 활성화될 수 있는 분수령이라 할 수 있다. 업계의 공공 클라우드 시장 개방 주장은 현재 법에 반영돼 현실화를 앞두고 있다. CSAP 등급제 개편도 기업의 클라우드를 선제 활용한다는 기조에 기반해야 한다.

김용석: 다음은 한국클라우드산업협회 함재춘 국장께서 CSAP 등급제 개편 현황과 산업에 미칠 영향에 대해 말씀해 주시면 좋겠다.

함재춘: 먼저 현재 CSAP 관련 의견은 특정 기업의 목소리와는 무관하며, 협회 이사회에서 나왔던 의견을 토대로 말씀드리겠다. 현재 디지털플랫폼정부위원회에서 CSAP 등급제에 대해 논의를 시작한 것으로 알고 있다. 정부는 공공기관이 민간 기업의 클라우드를 활용해 혁신적인 서비스를 국민에게 제공할 수 있도록 하기 위해 CSAP를 개편하겠다고 주장하고 있다. 기존에 민간 클라우드 서비스를 활용하기 어려웠던 중요 시스템도 CSAP 등급제 개편을 통해 도입을 고려하겠다는 것으로 해석된다.

하지만 현재 국내 클라우드 기업들은 제도 개선에 대해 자세한 이유와 내용을 파악하지 못하고 있다. 다만 여러 클라우드 사업자와의 미팅 혹은 복수 매체의 기사를 종합해보면 과학기술정보통신부와 국가정보원, 행정안전부에서 CSAP 등급제 개편을 제외하고는 아무것도 확정하지 않았다고 한다. 올해 8월 18일 정부에서는 CSAP 개편안을 공개했다. CSAP를 세 개의 등급으로 나누고, 평가 기준을 완화하겠다는 내용이었다. 또한 자세한 사안은 모두 디지털플랫폼정부위원회와 기관, 이해관계자가 모여 논의할 예정이라고 한다.

다만 디지털플랫폼정부위원회에서 CSAP 개편을 논의하기 전에 민간 클라우드 활성화라는 대의를 반드시 따라야 한다는 점을 짚고 싶다. 현재 CSAP를 받아도 공공기관에 클라우드 서비스를 공급하지 못하는 경우가 상당히 많은 것으로 알고 있다. 이러한 상황에서 단순히 단일 인증을 세 개의 등급으로 구분하기만 하는 것은 정부에서 주장했던 클라우드 도입 활성화와는 무관하다는 의미다. 예를 들어, 고객들이 푸드코트 운영사에 다양한 종류의 음식점을 입점해달라고 요청했는데, 운영사가 식권 가격을 5천 원, 6천 원, 7천 원으로 구분하는 것과 같은 상황이다.

우리 협회에서는 최근 뜨거운 감자가 된 ‘하 등급’에 대한 논리적 망 분리 허용 여부에 대해 공공기관에서 민간 클라우드 수요를 보장해야 한다고 판단한다. CSAP 등급제도 등급제지만, 먼저 민간 클라우드를 확대 적용해달라는 산업계의 의견부터 귀담아들었으면 한다. 민간 클라우드 확대 적용이 없는 상황에서 CSAP 등급제 개편은 국내 클라우드 산업 활성화의 가장 큰 저해 요소가 될 것이다.

김용석: 한국소프트웨어산업협회는 SaaS 활성화 측면에서 현 CSAP 등급제 개편을 어떻게 바라보고 있나. 참고로 조준희 회장은 해외 출장으로 참석을 못 했고, 대신 조영훈 실장께서는 협회의 의견을 정리해 참석했다.

조영훈: 먼저 CSAP는 양날의 검과 같다. 국내 IaaS 사업자와 SaaS 기업이 취득할 때 정말 많은 금전적 투자와 기술력이 요구된다. 이는 곧 외국 CSP에게 장애물일 수도 있다. 실제로 소프트웨어의 경우 GS인증이 없었다면, 외국 기업들이 전부 국내 공공 시장을 점유했을 것이다. 클라우드의 경우 CSAP가 이러한 측면에서 기여하고 있다고 생각한다.

하지만 CSAP 등급제 개편과 관련해서는 SaaS 기업과 국내 CSP가 충돌하는 모양새다. 민간 클라우드 활성화를 목표로 SaaS 추진협의회를 구성해 국내 SW 기업의 SaaS 전환을 돕고 있는 우리 협회는 CSAP 등급제 개편이 SaaS 기업과 국내 CSP의 충돌로 이어져 아쉽다는 생각이 든다.

현재 SaaS 추진협의회에서 활동하는 많은 기업이 아마존웹서비스(AWS)와 같이 해외 CSP의 클라우드 인프라를 사용하고 있다. 이 중 몇몇 기업이 AWS 클라우드 위에서도 공공기관에 SaaS를 공급하고 싶어 하는 것 같다. 이미 AWS 위에서 개발한 SaaS를 CSP 사업자별로 전부 다시 개발해야 한다는 이유에서다. 해외 CSP와 주장하는 바가 같아 몇몇 SaaS 기업이 그들의 입장을 대변한 것 같다. 이러한 이유로 국내 CSP와 SaaS 기업의 의견 충돌로 이어진 것 같다.

하지만 CSAP 등급제 개편은 SaaS 기업과 국내 CSP 기업 모두에게 도움이 되는 방향으로 진행돼야 한다. 그래야만 국내 SaaS 기업과 국내 CSP 기업들이 경쟁력을 갖출 수 있는 동력을 확보할 수 있다고 본다.

함재춘: 정부는 기업들이 SaaS 인증을 받지 않는 이유를 모르겠다고 한다. 하지만 SaaS 운영사 대부분이 중소기업인 상황에서 공공 시장 수요가 보장되지도 않는데 어떤 기업이 투자하겠나. 통상 SaaS 인증받는 데 4억 원이 필요하다고 한다.

김용석: 이러한 현안에 대해 추가로 네이버클라우드에서 덧붙일 말은 없나.

김준범: 네이버클라우드, KT클라우드, 카카오엔터프라이즈, 가비아 등 국내 CSP들이 모두 한국클라우드산업협회에서 임원사로 활동하고 있다. 협회 이사회에서 의견을 개진했고, 그 내용을 앞서 함재춘 국장께서 말씀해주셨다.

이국희: 현재 CSAP 인증을 받는 것은 어렵다. 하지만 해외 CSP가 받지 못할 정도는 아니다. 사실 글로벌 CSP들의 입장을 명확하게는 모르겠지만, 그들의 논리를 보면 마치 식당 영업 허가증을 취득하지도 않고 식당을 열게 해달라고 주장하는 것 같다.

“논리적 망 분리 허용은 댐에 생긴 작은 구멍”

김용석: 글로벌 CSP 기업이 국내 공공 클라우드 시장에 들어올 수 있게 되는 계기가 될 것이라는 판단을 하는 이유는 무엇인가.

조영훈: CSAP 등급제 중 ‘하’ 등급에 대한 논리적 망 분리를 허용한다는 것이 이유다. 실제로 학계 몇몇 교수들에 따르면, ‘상’ 등급 시스템의 경우 대부분 통합전산센터 사용을 유지할 것으로 예상된다. 달리 말하면 KT클라우드나 네이버클라우드와 같은 국내 CSP가 비즈니스 경쟁력을 갖출 수 있는 시장은 사실상 ‘중’ 등급밖에 없다는 얘기다. 물리적 망 분리를 강화하면 통합전산센터로 들어가게 되고, 논리적 망 분리를 허용하면 외국 기업들과 경쟁해야 한다.

협회는 이번 CSAP 등급제 개편과 관련, 국내 CSP를 포함해 클라우드 기업이 경쟁력을 확보할 수 있는 방향에 초점을 맞췄으면 좋겠다는 의견이다. 이를 위해서는 국내 CSP도 공공 클라우드 시장에 적극적으로 들어갈 수 있어야 한다고 판단한다. 설사 그 과정에서 클라우드 사업에 일부 실패하더라도 기업이 그에 대한 책임을 져 보고, 개선도 해 봐야 산업이 발전할 텐데 시도조차 하지 못하는 것은 상당히 아쉽다.

김준범: ‘하’ 등급에 대한 논리적 망 분리 허용 여부가 아직 확정된 것은 아니다. 다만 국내 클라우드 업계는 여러 회의에서 나온 이야기들을 통해 기정사실화됐다고 인지하고 있다. CSAP가 처음 생겼을 때 KT클라우드, NHN클라우드, 카카오엔터프라이즈, 가비아도 마찬가지였겠지만 다들 ‘상’ 등급에 해당하는 중요 시스템을 기업의 클라우드로 옮기겠다는 목표를 갖고 막대한 금액과 시간을 투자했다. 그렇기에 물리적으로 장비와 공간, 네트워크를 분리한 ‘공공 존(ZONE)’을 만든 것이다.

타 CSP도 같겠지만 CSP 사업자로서 CSAP를 취득하면 행정, 공공기관에 클라우드를 원활히 공급할 수 있을 것으로 생각했다. 또 민간 클라우드를 사용할 수 있는지, 없는지를 판단하는 유일한 기준이 CSAP가 될 것으로 판단했다.

이국희: KT클라우드도 마찬가지다. 단순히 ‘하’ 등급에 해당하는 단순한 시스템을 바라보고 투자하지 않았다. ‘상’ 등급까지의 시장을 바라봤다.

이형칠: 현재 CSAP를 취득했는데도 공공 고객을 확보하기에 어려움이 있는 상황인가.

김준범: 그렇다. 만일 공공기관에서 민간 클라우드를 사용할 수 없다고 판단했다면, 보안상 어떠한 부분이 부족한지 명확하게 제시해줬으면 좋겠다. 공공 클라우드 시장 확대를 위해 대부분의 CSP가 엄청난 금액과 시간을 투자했는데, 일거리가 나오길 기다려야만 하는 형국이다. 정부에서 요건을 강화해 추가로 투자하라고 제시한다면 따를 준비가 돼 있다.

이국희: KT클라우드 역시 정부에서 추가적으로 물리적 망 분리를 강화하라고 한다면 신규 투자를 진행할 것이다. 새로운 문제를 제시하고 싶다. 바로 논리적 망 분리를 허용해 글로벌 CSP의 서비스를 사용한다면, 보안에 대한 책임은 공공기관과 해외 CSP를 구축한 관리 서비스 제공사(MSP)가 떠안아야 한다는 점이다. 해외 CSP가 제시하는 명칭은 다를 순 있으나, 모두 책임공유모델을 제시하고 있다.

이 모델은 하단 인프라에 대한 부분에서 사고가 발생하면 CSP에서 책임지지만, 그 위 논리적인 구성에서 문제가 발생할 경우 고객이 책임지는 구조다. 국내 CSP는 해외 CSP보다 고객 및 기술 지원 차원에서 앞섰다고 평가받고 있는데, 해외 CSP들이 책임공유모델 하에서 과연 얼마나 빠르게 대처할 수 있을지 의문이다. CSAP 등급제 논의 중 논리적 망 분리 부분에 이러한 사항들이 포함돼야 할 것으로 판단된다.

현재 국내 CSP들 모두 정부가 물리적 망 분리에 대한 강화를 지시한다면 투자할 의지와 각오가 있다. 하지만 글로벌 CSP의 경우 기존 정책을 유지하기 때문에 논리적 망 분리를 주장하고 있다. 이들은 아마 책임공유모델에 대한 현재 입장을 고수할 것이다.

김용석: CSAP ‘하’ 등급에 논리적 망 분리가 허용된다는 것은 마치 댐에 작은 구멍이 생긴 것과 같다. 작은 물줄기는 점점 커질 것이다. 마찬가지로 해외 CSP들은 ‘중’ 등급과 ‘상’ 등급에 해당하는 영역까지도 논리적 망 분리를 허용해달라고 주장할 것으로 보이는데, 이에 대해 어떻게 생각하는가. 네이버클라우드 김준범 이사께서 의견을 주시면 좋겠다.

김준범: 맞습니다. 해외 CSP들은 ‘하’ 등급에 안주하지 않고 ‘중’ 등급과 ‘상’ 등급까지도 논리적 망 분리 요건을 확대해달라고 주장할 것이다. 그렇게 될 경우 행정안전부나 국정원과 같이 데이터의 안전 확보를 최우선 목표로 하는 부처에서는 민간 클라우드 활용에 거부감을 느끼게 될 것으로 예상된다.

CSAP 등급은 ‘데이터 민감도’가 기준 돼야

김용석: CSAP 등급 분류 기준은 무엇인가.

함재춘: 이미 8월 18일 정부는 CSAP를 세 등급으로 분류하겠다고 선언했다. 하지만 개별적인 등급에 대해 세부적으로 논의된 것은 아직 아무것도 없다.

김용석: 이에 대해서는 김은주 단장께서 말씀해주셨으면 한다.

김은주: 아직 정해지지 않았다. 다만 현재 클라우드 전환사업이 진행되고 있는 것을 보면 ‘하’ 등급에는 공공기관의 홈페이지와 비슷한 대민서비스가 포함될 것으로 예측된다.

이국희: KT클라우드는 현재 클라우드 전환사업에 참여하고 있다. 실제로 수행하는 대다수의 시스템이 대민서비스다. 하지만 CSAP 등급제에서는 달라져야 한다고 본다. 전환사업 수행 예시를 보면 개별 서비스로 구분할 때 기상청과 같은 부분은 하로 들어간다. 하지만 실제로 전환사업을 해보면 상당히 민감한 데이터가 많다. 이를 ‘하’ 등급으로 지정해서는 안 된다. 이 같은 측면에서 클라우드 전환사업과 같이 시스템 중요도로 등급을 분류하면 안 된다는 얘기다. 그 안에 담긴 데이터의 민감도를 종합적으로 판단하는 것이 옳다고 생각한다.

이형칠: 이국희 상무 말씀에 동감한다. 현재 CSAP 등급제 개편 현황을 점검해보면, 이해되지 않는 부분이 있다. 이미 등급제로 나누겠다고 선언하고 나서, 기준을 정하는 것이 맞는 것인지 잘 모르겠다. 정부가 등급제를 선언했다면 어떠한 기준으로 분류할 것인지 계획을 명확히 수립했어야 하고, 이와 관련한 산업계의 의견을 이미 들었어야 했다.

하지만 이미 선언하고 기준을 세운다는 것은 정말 이해되지 않는다. 임금을 모시기 위해 궁을 건립하는 것이지, 절대로 궁을 먼저 짓고 들어올 임금을 정하지 않는다. 이 부분 역시 마찬가지다.

특히 분류 기준이 무엇인지에 대해 데이터산업협회장이자 한 SW 기업의 대표로서 말씀 드리면 데이터 민감도가 기준이 돼야 한다고 생각한다. 우리는 민간을 위주의 비즈니스를 하고 있는데, 고객들은 인하우스에서 구축하기를 원하는 경우가 많다. 자칫 외부에 공개되면 안 되는 중요한 데이터가 많다는 이유에서다. 그렇다는 것은 그들이 운영하던 시스템보다도 상위 개념인 데이터에 따라 보안에 대한 기준을 판가름한다는 의미다. 공공의 경우 데이터의 민감도와 중요도가 타 산업군에 비해 상당히 높다. 기준은 시스템이 아닌 데이터의 민감도가 돼야 한다.

김은주: 물론 이국희 상무님 말씀대로 대민서비스라고 해서 전부 ‘하’ 등급에 속하는 것은 아니다. SaaS 대부분은 행정업무를 지원하는 기능이다. 그렇다면 다루는 데이터의 중요도도 상당히 높을 것이다. 예로 화상회의 SaaS를 들 수 있다. 공공기관에서 화상회의를 통해 중요한 안건을 다뤘다면 이에 해당하는 음성 데이터와 공유 화면 등에 대한 데이터 민감도는 상당히 높을 것이다.

김용석: CSAP 등급제와 관련해 데이터 민감도가 기준인 페드램프(FedRAMP)를 참고했다고 들었다. 함재춘 국장께서 조금 더 자세하게 말씀해달라.

함재춘: 페드램프는 미 연방정부에서 데이터 민감도를 기준으로 민간 클라우드 사용 기준을 제시한 것이다. 데이터의 민감도에 따라 민간 클라우드 사업자에게 준수해야 할 보호 조건들이 나온다. 가령 ‘매우 높음’ 등급이라고 한다면 그에 해당하는 보호 조치를, ‘중간’ 등급이라고 한다면 중간 수준에 맞는 보호 조치를, ‘낮음’ 등급이라면 낮음에 해당하는 보호 조치 요건을 준수하면 된다.

쉽게 말하면 ‘낮음’ 수준의 인증을 받았다는 것은 어떠한 데이터를 담고 있는 시스템을 민간의 클라우드로 옮길 수 있다는 기준이 상대적으로 명쾌하다는 것이다. 하지만 국내 CSAP 등급제의 경우에는 보호 요건을 마련하지 않고 등급만 구별한 것이다. 인증에 대한 제도부터 설계한 우리나라의 CSAP와 내부 보안 보호 조치부터 설계한 페드램프는 시작부터 달랐다고 볼 수 있다.

최근 정부에서도 데이터를 개방하고 활용하는 쪽에 역점을 두고 있다. 그렇다면 이러한 데이터 활용 기조에 따라 당연하게도 데이터 민감도가 CSAP의 등급 분류 기준이 돼야 한다. 그렇다고 정부의 모든 데이터를 분류해야 한다는 것은 아니다. 민간 클라우드를 이용할 시스템에 적용되는 데이터에 대한 분류를 말하는 것이다.

김용석: CSAP는 페드램프를 채용했지만, 기본 설계부터 달랐다는 것으로 이해할 수 있다. 그리고 CSAP 등급제의 분류 기준이 데이터 민감도를 따라야 하는 것으로 보이는데, 김은주 단장께서 이와 관련해 의견을 주길 바란다.

김은주: CSAP 등급 분류 기준은 확실하게 정해진 것이 아직 없다. 함재춘 국장 말씀대로 설계부터 페드램프와는 차이가 존재하기 때문이다. 페드램프를 채용했다면 데이터 민감도가 분류 기준이 돼야 한다고 생각한다.

SaaS는 ‘하’ 등급 속해

김은주: SaaS와 관련해서 이야기하자면, 현행 CSAP SaaS 인증을 취득한 SaaS는 대부분 ‘하’ 등급에 속하지 않고 ‘중’ 등급으로 포함될 가능성이 높다. 앞서 조영훈 실장께서 하신 SaaS 기업과 국내 CSP 기업들이 충돌하고 있다는 말씀도 이러한 부분들을 SaaS 기업들이 인지하지 못해서 그런 것 같다.

김준범: 김은주 단장 말씀대로 시장이 정확히 ‘상’, ‘중’, ‘하’ 등급으로 나뉘었는지, 어디서부터 어디까지인지 SaaS 기업과 CSP 역시도 명확히 이해하고 있지 못했던 것 같다. 최근 ‘하’ 등급에 대한 간담회에 참석한 적이 있었다. 마치 CSAP ‘하’ 등급을 취득하면, 공공 SaaS 시장을 상당수 확보할 수 있을 것처럼 느껴지는 얘기들이 오갔다. 하지만 실제로 CSAP 등급제 개편 뒤에 SaaS 기업들이 진출할 수 있는 시장이 먼저 정의돼야 한다. 왜 CSAP ‘하’ 등급만 취득하면 그 시장이 있을 것으로 생각하는지 의문이다.

SaaS 기업에 물어보고 싶은 것이 있다. AWS 클라우드 위에서 민간 기업을 상대로 SaaS를 제공하면서 공공 시장에 진출하기 어렵다고 하는데, 공공 시장에서 민간 기업의 SaaS를 써주겠다는 확신을 받은 적이 있었는지 말이다. 민간 기업들의 모든 SaaS가 공공기관에 적합하다고는 생각하지 않는다. 네이버클라우드가 공공 시장에 클라우드를 공급한 사례를 되짚어보면 대부분이 홈페이지와 같은 것들이다. 대민서비스이면서 업무에 사용되는 SaaS 영역은 네이버클라우드도, KT클라우드도 모두 개방하고 확장해달라고 주장하고 있다.

김은주: 현재 SaaS 기업과 국내 CSP 기업은 서로 같은 시장이 열리길 바라면서도 다른 쪽을 바라보고 있는 것 같다. SaaS 기업들이 열어 달라고 주장하는 시장과 CSP가 확대해달라고 주장하는 시장은 같다. 모두 행정업무와 관련된 ‘중’ 등급 영역이다. 하지만 ‘중’ 등급이 열릴 기미가 보이지 않으니, 이를 열어달라고 협심해 주장해야 한다. 현재는 마치 서로 반대편이 된 것처럼 보인다. SaaS 기업들은 요구하는 시장이 어떤 영역인지 정확히 표현해야 하고 이를 대민서비스인지, 행정업무인지 공공기관에서 이해할 수 있는 용어로 명확하게 제시해야 한다.

김용석: 실제로 SaaS 기업은 어떻게 생각하고 있는지 SaaS 보안인증을 획득한 이즈파크 깁갑산 대표와 홍덕기 상무께서 의견 말씀해달라.

김갑산: 사실 CSAP 등급제 자체가 보안이 간소화되는 것에만 초점을 맞추고 있었다. 하지만 시장도 함께 봐야 한다. 공공기관의 특성상 담당자는 보안 사고를 가장 우려하고 있다. 이즈파크는 CSAP 제도가 간소화됐을 때 SaaS 표준인증을 취득했다. 취득 후 자사 SaaS인 ‘s게이트’를 공공기관에 공급할 때 담당자들은 보안에 대한 불안을 이야기했다. 이점도 함께 양지했으면 좋겠다.

홍덕기: SaaS 기업마다 차이는 존재하겠지만, SaaS가 개편될 CSAP 등급제에서 어떤 영역에 속하고 있는지를 명확하게 파악하기가 힘들 것이다. 사실 SaaS가 ‘하’ 등급에 속할 것으로 생각하는 기업도 있을 것이다. 하지만 김은주 단장 말씀을 듣고 보니 ‘중’ 등급에 가까울 것으로 보인다. 그렇다면 SaaS 기업과 CSP 기업이 같은 ‘중’ 등급 시장을 요구하고 있다는 말이고, 이 ‘중’ 등급 시장이 확보되고 넓어져야 민간 클라우드는 활성화될 것이다.

송영선: 이 과정에서 SaaS가 무엇인지에 대한 기준도 명확히 정립돼야 한다. 우리 협회는 패키지SW 기업들의 SaaS화를 지원하기 위해 힘쓰고 있다. 하지만 SaaS의 기준이 무엇인지 명확하게 말할 수 있는 사람은 드물 것이다. 실제로 누구는 멀티 테넌시(Multi-Tenancy)를 기본 요건으로 보기도 하지만 구독형을 기준으로 보는 사람들도 있다. 클라우드 IaaS에 올라가서 구독형으로 제공되는 SaaS도 SaaS다. SaaS가 무엇인지에 대한 명확한 기준도 수립해야 한다. 특히 SaaS 기업들이 보안인증을 받는 과정도 간소화돼야 한다.

현재 인증 과정에서 소스코드를 모두 공개하게 돼 있다. 최근 SaaS 표준인증으로 PaaS를 검증받았는데 모든 소스코드를 공개했다. 이후에는 매년 점검한다. 하지만 이 과정에서 준비해야 하는 서류가 상당히 많다. SaaS는 대다수가 중소기업인데, 비즈니스에 집중해도 모자란 시간에 회사 직원 대부분을 서류 준비에 투입해야 할 정도다. 또 점검할 때 심사관이 누구인지에 따라 걸리는 시간도 상이하다.

쉽게 말해 SaaS 인증 이후의 점검에 대한 기준이 없다는 얘기다. 이 같은 SaaS 기업들의 고충도 정부에서는 이해하고 정책으로 해결해주기를 바란다.

김준범: SaaS 보안인증과 관련한 부담을 줄여줘야 한다는 점에 공감한다. SaaS 기업 입장에서 네이버클라우드의 IaaS에서 인증받았더라도 KT클라우드 IaaS에 올릴 경우 새롭게 인증받아야 한다. 인증을 받더라도 밑단 환경 변동에 따른 SaaS 구동이 아닌 SaaS 내부 코드를 손봐야 하기도 한다. 이러한 부분들에 대한 표준화도 필요하다고 생각한다.

산·학·연·관 모여 합의 후 디플정위원회 안건 상정해야

김용석: 현재 SaaS 기업과 국내 CSP는 모두 같은 시장을 바라보고 있는 것으로 이해된다. 다른 분들은 어떻게 생각하는가.

김은주: 그렇다고 판단된다. 그간 SaaS 기업과 국내 CSP 기업들이 바라보는 영역이 명확히 정의되지 않았던 것 같다. 결국 SaaS 기업도, 국내 CSP도 ‘중’ 등급에 해당하는 영역을 확대해달라고 주장하고 있었던 것이다. 물론 서로 공통적인 영역을 바라보더라도 원하는 세부적 사항은 다를 수 있다. 하지만 지금까지 SaaS 기업과 CSP가 충돌해왔던 이유는 확인된 것 같다. 업계에서 먼저 모여 CSAP 등급제 개편과 관련한 논의 사항을 명확히 재정의하고 이를 명문화한 뒤 디지털플랫폼정부위원회에 의견을 전달했으면 한다.

함재춘: 업계에서 모여 사안들을 재정의하고 명문화하는 것도 필수적이지만, 디지털플랫폼정부위원회에서도 기업에게 먼저 손을 내밀었으면 좋겠다. 공공 시장에서 비즈니스를 영위하는 기업이라면 당연하게도 정부의 눈치를 살필 수밖에 없다. 소모적인 회의도 이미 몇 차례 있었다. 그러니 디지털플랫폼정부위원회에서 먼저 기업들을 소집해 관련 사안들을 재정의하고 명문화할 수 있는 장을 만들어줬으면 좋겠다. 한국클라우드산업협회는 국내 클라우드 산업 활성화를 위해 힘쓰는 협회인 만큼 이러한 방향의 모임을 적극적으로 지원하겠다.

홍덕기: SaaS 기업의 공공 클라우드 사업 담당자로서 CSAP 등급제 개편에 대한 내용을 그간 명확히 확인할 수 없었다. 하지만 금일 좌담회를 통해 국내 CSP와 SaaS 기업이 바라보는 지향점이 같다는 점을 확인할 수 있었다. 근시일 내 SaaS 기업과 국내 CSP 등 업계가 모여 각 등급에 해당하는 영역과 각사가 목표로 하는 시장을 명확하게 짚어보고, 요구해야 하는 세부적인 사안은 무엇인지를 논의할 수 있는 자리가 마련됐으면 한다.

김용석: 짧은 시간 동안 많은 의견을 주셨다. 국내 클라우드 산업 활성화와 CSAP 등급제 개편 관련 정책은 맞물려가야 한다고 생각한다. CSAP 등급제 개편과 관련해 디지털플랫폼정부위원회의 역할 역시 중요한 것 같다. 국내 클라우드 업계에서도 산업 활성화를 위한 CSAP 등급제 논의 안건을 명확하게 제시할 수 있도록 노력해달라. 금일 좌담회를 통해 현재 흘러가고 있는 CSAP 등급제 개편 상황을 들여다봤고, 어찌 보면 향후 방향도 잡은 것 같다. 향후 국내 클라우드 기업들이 자생력을 기를 수 있는 환경을 마련하고, 잘 개발된 국내 클라우드 서비스를 정부가 적극적으로 활용해 목표했던 디지털플랫폼정부를 이룩할 수 있기를 기대하겠다.