[DT현장] CSAP 개편, 생산적 논의가 관건

2023. 1. 25. 18:40
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
팽동현 ICT과학부 기자

설날 아침 오랜만에 부모님과 식사를 하면서 '회의'라는 다소 뜬금없는 주제로 대화를 나눴다. 왜 직장인들은 업무상 갖는 회의임에도 대부분 생산적이지 못하다고 여길까. 물론 여기에는 업무·책임 회피에만 급급한 참여자들의 태도, '높으신 분'의 회의를 가장한 잔소리·흰소리 등 여러 가지 이유가 있을 수 있다. 대화 중 기자는 얼마 전 다녀왔던 행사 현장들을 떠올렸다.

명절 연휴를 앞뒀던 1월 셋째 주 국회의원회관에서는 엔터프라이즈IT 업계가 주목한 토론회가 두 차례 열렸다. 지난 16일에는 민주당 윤영찬 의원 주최로 CSAP(클라우드 보안인증) 등급제에 대한 논의가 진행됐고, 또 18일에는 민주당 변재일 의원 주최로 공공SW(소프트웨어)사업 대기업 참여제한 제도에 대한 의견이 교환됐다. 먼저 밝히자면 이 자리들이 생산적이지 않았다는 말은 아니다.

CSAP 등급제와 공공SW사업 대기업 참여제한 제도, 이 두 화두 사이에 직접적인 연관성까진 두기 어렵다. 하지만 뚜렷한 공통점 몇 가지는 보인다. 일단 주무부처가 과학기술정보통신부다. 또한 둘 다 공공 정보화 사업, 즉 앞으로 추진될 디지털플랫폼정부와도 밀접한 관계를 갖는다. 마지막으로 이들을 두고 열띤 공방이 오가게 한 진원지가 국무조정실이란 점이다.

과기정통부가 오는 30일까지 재행정예고한 CSAP 등급제는 민간 클라우드 도입 희망 부처·기관이 국가정보보안지침을 참고해 각자 시스템을 중요도에 따라 상·중·하 세 등급으로 자체 분류하는 게 골자다. 지난해 바이든 미 대통령 방한 후 국무조정실이 나서면서 논의가 본격화됐다. 특히, 개인정보를 포함하지 않는 하등급의 경우 논리적 망분리를 허용하면서 실증 없이 시행 예정이다. 기존 물리적 망분리 요건에 막혔던 글로벌 CSP(클라우드서비스제공사)들의 공공시장 진입이 점쳐지는 가운데, 국내 CSP들은 역차별과 보안성 문제를 들어 반발하고 있다.

2013년 SW산업진흥법 개정 시행으로 도입된 대기업 참여제한 제도는 공정거래법상 상호출자제한기업 대상으로 국가안보 관련 분야 외 공공SW사업 참여를 제한한다. 도입 당시 SI(시스템통합)업계에선 계열사 일감몰아주기, 재하도급과 갑질 등 독과점 대기업들의 횡포가 만연했기 때문이다.

이후 클라우드·빅데이터 등 신시장 분야, 동반해외진출 가능 사업 등은 발주처 신청과 과기정통부 심사를 통해 예외가 허용되고 있고, 코로나를 거치며 긴급상황에는 대기업이 참여할 방안도 마련했다. 나아가 국무조정실 산하 규제혁신추진단이 이 제도를 올해 ICT (정보통신기술)분야 규제혁신 과제로 지정하면서 지난 10년간 공공SW사업을 주도해온 중견·중소SI기업들이 반발하는 상황이다.

두 화두 모두 뭐가 옳다, 그르다 쉽게 결론지을 사안은 아니다. CSAP 등급제의 경우 물리적 망분리를 위해 투자해온 국내 CSP들에겐 역차별이 되겠고, 보안인증이란 점에서 실증을 생략하는 것에 우려를 표할 수 있다. 반면 SaaS(서비스형SW) 업계는 IaaS(서비스형 인프라)별로 받아야 하는 인증 과정에 드는 시간과 비용을 절감, 공공 SaaS 도입 활성화 계기가 될 것으로 기대한다.

공공SW 대기업 참여제한 제도 관련해선 입장차가 더욱 심하다. 대기업SI들은 ESG(환경·사회·지배구조) 활동과 AI(인공지능) 등 신기술이 중요해진 시대의 변화를, 중견·중소SI기업들은 그동안 이뤄온 사업 성과와 현재 수행 역량을 각각 앞세워 여전히 평행선을 달린다.

궁금한 것은, 국무조정실이 이런 현장 상황에 대해 얼마나 파악하고서 이 '뜨거운 감자'들을 던진 것인지다. CSAP 등급제의 주요 취지인 공공 SaaS 도입 활성화를 위해선 SW업계 일각에서 주장하는 SaaS 전문 보안인증 체계 도입을 검토하는 게 더 빠를 수도 있다. 공공SW사업 대기업 참여제한 제도의 경우 이 제도의 효용성 분석과 과업범위 확정 절차 수립 등이 이뤄진 다음에 논의해도 늦지 않아 보인다. 하지만 지금으로선 이런 갈등에 대한 모든 비난의 화살이 과기정통부로 가는 모양새다.

공공 정보화 사업에서 일어나는 대부분의 비극은 고질적인 수익성 부족에서 기인한다. 더욱이 그 수익성이 갈수록 악화되는 흐름이다. 공공SW사업은 정부 R&D(연구개발) 예산 대비 14.3% 수준이며 대부분이 유지보수사업이라 신규사업 규모는 1조원 이내다. 사업대가는 2010년 이후 두 차례 인상됐을 뿐이다.

행정안전부가 담당하는 공공 클라우드 전환 사업도 마찬가지다. 올해 예산이 당초 계획(1753억원)의 반의반 토막(342억원) 수준이다. 이렇다보니 현장에선 기획재정부의 예산삭감에 대한 성토가 이어지고, 디지털플랫폼정부의 앞날에 대한 의구심도 가중된다. 국무조정실이라면 이런 '큰 건'부터 나서서 조정해줘야 하지 않을까.

설날 아침의 식탁으로 돌아와서, 기자는 그날 회의 주최자·주재자가 가져야 할 자세에 대한 충고를 들었다. 사전에 주제를 명확히 파악해 핵심 내용과 예상 논점에 대해 준비하고, 회의에선 실현 가능하며 책임질 수 있는 한도 내에서 최상의 선택을 하는 것이다. CSAP 등급제와 대기업 참여제한 제도에 대한 앞으로 회의 과정이 보다 생산적이길 기대한다.

팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.