외산 클라우드 공공시장 진출 임박… 업계선 찬반 `온도차`

팽동현 2023. 1. 8. 18:35
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
CSP "등급 동시 시행" 등 반대
협력 CSP 따라 MSP 입장 달라
SaaS 기업들 "지켜보자" 관망

공정위 '클라우드 서비스 분야 실태조사 연구'에 따른 최근 3년간 국내 클라우드 시장 점유율 상위 기업. 공정위 제공

공정위 '클라우드 서비스 분야 실태조사 연구'에 따른 최근 3년간 국내 클라우드 시장 점유율 상위 기업. 공정위 제공

과학기술정보통신부가 클라우드 보안인증(CSAP) 등급제 시행을 행정예고하면서 외산 클라우드의 공공시장 진출이 코앞으로 다가왔다. 국내 CSP(클라우드서비스제공사)들이 이에 반발하고 나선 반면, MSP(관리형서비스제공사)들 사이에선 다른 기류가 감지된다.

KACI(한국클라우드산업협회)는 CSAP 등급제와 관련해 지난 5일 주요 CSP들과 회의를 연 데 이어 10일에는 국내 MSP 및 SaaS(서비스형 소프트웨어) 기업들과 간담회를 가질 계획이다. 과기정통부는 CSAP 등급제 도입을 위한 고시 개정안을 이달 중 공포할 예정으로, 이번 간담회는 국내 기업들의 의견을 수렴하는 절차다.

이번 개정안의 골자는 각 정부부처·공공기관이 클라우드를 도입하고자 하는 시스템의 중요도를 기준에 따라 상·중·하 등급으로 자체 분류하는 등급제 시행이다. 특히 일부 시스템에 한해 외산 CSP에 진입장벽이었던 '물리적 망분리' 요건이 완화된다. 시스템·데이터의 물리적 위치를 국내로 한정하는 점은 마찬가지지만, 공공용 서버를 따로 둘 필요 없이 가상화 등을 통한 '논리적 망 분리'가 '하' 등급으로 분류된 시스템에는 허용된다.

◇클라우드 업계 내에도 온도차= 공공 클라우드에 요구됐던 물리적 분리 요건 등을 충족하기 위해 투자해왔고, 이곳을 성장 토양으로 삼아온 국내 CSP들은 한 목소리로 반대를 외친다. CSP 업계는 △상·중·하 등급 동시 시행 △모든 등급에 대한 시범·실증 진행 △적용범위 명확화 △유관부처·사업자 참여하는 공론의 장 마련 등을 요구한다.

한 CSP 관계자는 "연내 시행 예정인 상·중 등급과 달리 하 등급 시스템만 실증 없이 고시 공포 후 즉시 시행하는 것은 역차별"이라며 "지난해 바이든 미 대통령 방한 후 국무조정실이 나서 등급제 추진이 본격화됐다. 결국 통상 압박 때문에 강행하는 게 아니냐"고 토로했다.

MSP들은 주로 협력하는 CSP가 어디냐에 따라 온도차가 있다. 다만 AWS(아마존웹서비스)가 국내 민간 클라우드 시장 과반을 점유한 현실을 고려하면 적극 반대할 가능성은 크지 않아 보인다. 공정거래위원회 조사에서 최근 3년간 국내 클라우드 시장 점유율은 AWS 70%, MS(마이크로소프트) 애저 12%, 네이버클라우드 7% 순으로 나타났다.

한 MSP 관계자는 "국내 MSP들이 주로 누구와 사업을 하고 있나. 외산 CSP들이 공공 부문을 뚫으려고 조직을 확장하고 MSP에도 요구사항으로 내건 지는 한참 됐다"면서 "MSP 입장에선 고객 요구와 사업 조건에 따라 CSP를 택할 뿐이다. 이번 건에 대해 대놓고 환영하진 못해도 속으론 웃을 수 있다"고 귀띔했다.

SaaS 기업들은 관망하는 모양새다. 이미 CSAP 인증을 획득했거나, 인증을 준비 중이어도 솔루션 특성상 상·중 등급에 적용될 가능성이 높은 경우는 지켜보자는 분위기다. 국내 CSP들이 글로벌 시장에도 진출하려면 먼저 치러야 할 경쟁이라는 의견도 나온다. 하 등급 시스템용 솔루션을 보유한 기업 중에선 인증절차가 수월해질 것이란 기대감도 있다.

한 SW기업 관계자는 "행정안전부 지정 보안 SW 7종과의 연동 요건 완화를 기대한다"면서 "AWS 등을 통해 이미 SaaS 서비스를 하는 기업은 해당 기관 상황에 따라 국내 CSP 마켓플레이스에 올리기 위한 추가 작업을 안 해도 될 수 있다"고 말했다. 네이버클라우드에 따르면 지난해 CSAP 인증을 획득한 SaaS 기업 27곳 중 18곳이 네이버클라우드 IaaS를 기반으로 받았다.

◇하 등급 비중 '오리무중'= 현재 업계의 최대 관심사는 전체 공공 시스템 중 하 등급으로 분류되는 곳이 얼마나 되느냐다. 과기정통부에 따르면 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 상 등급은 민감정보를 포함하고 있거나 행정 내부업무용 시스템이다.

공공 시스템 상당수가 하 등급에 해당될 수 있다는 관측도 있지만, 과기정통부도 그 비중을 명확히 제시하지 못하고 있다. 이런 시스템 중요도 분류 기준과 절차는 국가정보원에서 국가정보보안기본지침으로 마련하기 때문이다. 그리고 이를 기반으로 각 수요 부처·기관에서 등급 분류를 자체적으로 한다.

국정원 관계자는 "보안지침은 이달 말까지 개정을 완료해 발표할 계획"이라며 "각 시스템에 맞춰 필요한 기준을 나열하는 것일 뿐, 각 기관 스스로 등급을 매겨야 한다. 분류 과정에서 국정원이 자문과 점검 역할을 할 것"이라고 설명했다.

과기정통부는 클라우드 업계와 관계기관 등이 참여하는 간담회를 행정예고 기간에 가질 예정이다. 과기정통부 관계자는 "SaaS 기업들의 공공시장 진출을 활성화하는 게 등급제 도입의 취지"라며 "CSP들의 의견을 검토하고 있고, 하 등급 시스템의 보안성 등에 대한 지적도 구체적으로 들을 예정"이라고 밝혔다.

팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.