[아이티데일리] 과학기술정보통신부(이하 과기부)가 추진 중인 클라우드 보안인증(CSAP) 등급제의 행정예고가 임박했다. 그러나 현재 CSAP 등급제와 관련해 국내 클라우드 서비스 제공사(CSP)들은 반대 목소리를 내고 있다. 과기부가 CSAP를 상, 중, 하로 구분하고 하 등급을 해외 CSP에게 개방할 경우, 해외 CSP가 공공시장에 무혈입성할 것이라는 이유에서다.

이러한 상황에서 국내 CSP와 SW기업의 의견이 일견 첨예하게 대립하는 모양새다. 앞서 과기부가 등급제 추진 근거로 들었던 ‘국내 SW기업의 공공 서비스형 소프트웨어(SaaS) 시장 진출 활성화’라는 이유가 국내 SW기업과 CSP의 의견이 충돌하는 듯한 양상을 만들어 낸 것으로 분석된다.

실제로 CSAP 등급제를 취재하며 만났던 SW기업 실무진과 대표들의 이야기는 과기부의 주장과는 괴리가 있었다. 한 SW기업 실무진과 대표이사는 “현행 CSAP 서비스형 소프트웨어(SaaS) 인증 중 간편인증을 취득하기 위해서는 보안인증 평가항목 130여개 중 30여개 항목을 준수하면 됐지만, 개편될 CSAP 하 등급을 취득하기 위해선 50여개 항목을 준수해야 한다. 여타 국내 SW기업들도 마찬가지겠지만 공공 SaaS 시장에 진입하기 위한 간소화 방안이 가장 필요하다. 상, 중, 하 등급으로 나눠 오히려 평가항목, 비용과 관련돼 부담만 늘었다”고 토로했다.

오히려 CSAP 등급제로 인해 국내 SW기업들의 공공 클라우드 시장 진입 난이도가 높아졌다는 얘기도 들린다. 과기부의 주장과는 달리 SW기업이 공공기관에 SaaS를 제공하기 위해선 하 등급이 아닌 중 등급 인증을 취득해야 한다는 이유에서다.

한 공공기관의 IT 정책 담당자는 “CSAP 등급제가 시행된다면, 공공기관에서는 중 등급 인증을 보유한 SaaS만 도입할 수 있게 될 것이다. 정부의 주장대로라면 개인정보가 포함되는 것은 중 등급부터인데, SaaS에는 계정이 필수로 들어간다. 공무원의 계정 정보는 하 등급이 아닌 중 등급에 속한다”면서, “과기부는 CSAP 등급제를 통해 하 등급을 개방하면 국내 SW기업에 ‘덜 민감한 기관이나 지자체의 민간 SaaS 확대’, ‘국내 CSP IaaS 기반 신규 SaaS 인증 취득’ 등과 같은 이점을 줄 수 있는 것처럼 주장해서는 안 된다”고 꼬집었다.

해외 CSP가 적극적으로 찬성 목소리를 내지 않는 이유에 대해서도 의문이 든다. 일반적으로 찬성 측과 충돌하는 것은 반대하는 쪽이다. 즉 국내 CSP와 충돌 양상을 보여야 하는 것은 해외 CSP라는 것이다. 업계에 따르면, 해외 CSP의 경우 국내 공공시장 공략을 위해 각국 정부에게 정치‧외교 압박을 가해달라고 요청한 것으로 알려진다. 그러나 그만큼 열심히 움직였던 해외 CSP가 매체, 부처 발표 어디에도 등장하지 않고 그저 간담회의 질의응답을 통해 다른 주장없이 “하 등급 허용되면 적극적으로 참여하겠다”는 소극적인 메시지만 던지고 있다. 또 해외 CSP가 있어야 할 자리에는 국내 SW기업이 반대하고 있다.

국내 CSP와 SW 업계가 대립하는 양상으로 언제부터 바뀌었는지는 아무도 모른다. 하지만 중요한 것은 국내 CSP와 SW기업 모두 ‘공공 클라우드 시장 진입 및 사업 확대’라는 같은 목표를 바라보고 있다는 점이다. 과기부는 이 같은 국내 CSP, SW기업의 목소리를 제대로 듣고 반영해야 할 것이다.