[아이티데일리] 오는 25일 이재명 대통령의 방미 일정이 예정된 가운데, 미국 컴퓨터통신산업협회(CCIA)가 5개 관련 협회와 함께 미국 상부무 하워드 러트닉(Howard Lutnick) 장관에게 한국 디지털 무역장벽 완화를 위해 미 정부가 나설 것을 강력히 요구했다.

CCIA는 한국의 대표적 디지털 무역장벽 요인 중 하나로 클라우드보안인증제(CSAP)를 꼽았다. CSAP는 ‘클라우드컴퓨팅발전 및 이용자 보호에 관한 법률’ 제23조의2에 근거하며, 민간 CSP가 제공하는 클라우드컴퓨팅서비스에 대한 보안인증을 수행하는 제도다. 민간 CSP는 공공 클라우드 사업에 참여하기 위해 CSAP 인증을 획득해야 한다.

보안 인증 등급은 시스템의 중요도에 따라 상·중·하로 구분된다. 외교 분야와 같은 민감 정보나 행정 내부업무 운영 시스템의 경우 상등급으로 분류된다. 비공개 업무 자료를 다루는 시스템은 중등급, 개인정보가 포함되지 않은 공공데이터를 다루는 경우 하등급으로 분류될 수 있다. 현재 하 등급만 먼저 시행 중이며, 상‧중등급은 고시 개정을 거친 후 시행될 예정이다.

기존 CSAP는 물리적 망 분리를 내세워 해외 CSP가 공공 시장에 진입하지 못하는 요인으로 작용해왔다. 그러나 지난 2023년 하 등급을 논리적 망분리로 완화해 공공 시장에 외산 기업이 진출할 수 있도록 했다. 이에 따라 해외 CSP 중 마이크로소프트(MS)가 지난해 12월 2일 한국인터넷진흥원(KISA)으로부터 CSAP 하 등급 인증을 제일 먼저 획득했다. 이어서 구글 클라우드(Google Cloud)는 지난 2월 3일, 아마존웹서비스(AWS)는 4월 1일 인증을 획득했다.

그러나 CCIA는 국내 공공기관의 대다수 클라우드 기반 업무에 대해 미국 CSP들이 데이터를 저장 및 처리할 수 있도록 허용해야 한다고 주장했다. 최소한 WTO 정부조달협정(GPA) 및 한미 자유무역협정(KORUS FTA) 의무에 포함된 중앙‧하위기관이 반드시 포함돼야 한다는 입장이다. 이를 위해 미국 CSP들도 공공기관에 서비스를 제공할 때 중 등급까지 분류된 데이터를 저장·처리할 수 있도록 CSAP 인증 요건을 개정해야 한다고 강조했다.

앞서 미국 내에서는 한국의 공공 클라우드 시장 규제 완화에 대한 의견이 꾸준히 나오고 있다. 지난 7월 28일에는 중도우파 성향 단체들이 트럼프 대통령에게 한국의 공공 분야 클라우드 규제가 미국기업의 참여를 제한한다는 내용으로 공동 서한을 보낸 바 있다. 당시 서한을 살펴보면 ‘한국의 클라우드 보안 요건은 미국 CSP의 모든 컴퓨팅 인프라, 데이터, 인력을 한국에 현지화해야 하고 국제 표준과 일치하지 않는 암호화 및 인증 요건을 채택하는 것이 포함돼 미국 CSP가 준수하기 어렵게 만든다’는 내용이 포함됐다.

CCIA 조너선 맥헤일(Jonathan McHale) 부회장은 "한국은 미국의 주요 교역 상대국 중 하나이자 세계적 수준의 디지털 기술과 서비스를 주도하는 국가로, 미국 디지털 기업에 중요한 시장이다”라며 “한국은 미국 제품과 서비스에 불리한 보호 정책을 유지해 왔다. 대미 무역 흑자가 지속적으로 증가하는 상황에서, 한국은 미국과 체결한 무역협정에 따라 경쟁력 있는 미국 기업에 시장을 개방할 의무가 있다”라고 말했다.