[기자수첩] 클라우드 보안인증 개편 1년 지났는데…여전히 '오리무중'

[아이뉴스24 박진영 기자] 클라우드 보안인증(CSAP) 등급제가 공표된 지 1년이 지났지만 시행시기는 여전히 오리무중이다. 정부는 지난해 초 클라우드 보안인증을 상·중·하 등급으로 나누고 하등급을 우선 시행키로 했다.

기자수첩

외국계 클라우드 기업에도 허용된 하등급 인증 절차가 진행 중이었지만 그마저도 멈춰 섰다. 국가정보원이 국내 보안적합성(CC) 검증과 암호모듈검증 통과를 요구했기 때문이다. 상·중등급 세부 기준 마련을 위한 실증사업도 마무리 단계였지만 이 역시 국정원의 보안진단이 미뤄지면서 언제 시행될 지 불투명해졌다.

한편에서는 기업들이 비용과 시간을 들여 CSAP 인증을 받아도 쓸모가 없다는 우려도 있다. CSAP는 공공 시장에 클라우드 서비스를 제공하기 위한 필수 인증인데, 실제 공공 부문에서 클라우드 도입 사례가 많지 않기 때문이다.

일례로 디지털서비스 이용지원시스템에 따르면, CSAP를 받은 89개 SaaS(서비스형소프트웨어) 솔루션 중 계약을 한건도 체결하지 못한 솔루션은 70개다. 행정안전부의 행정·공공기관 클라우드컴퓨팅 수요예보조사에 따르면 2022년 기준 행정·공공기관의 클라우드 이용률도 18%에 그쳤다.

게다가 정부의 클라우드 전환 의지도 소극적인 모습이다. 정부는 지난해 공공 부문 '클라우드 네이티브' 전환 로드맵을 발표했지만 이에 대한 예산은 턱없이 부족하다.

'클라우드 네이티브' 방식은 기존 인프라를 단순히 클라우드로 올리는 리프트 앤 시프트 방식이 아닌, 애플리케이션과 아키텍처 등 모든 것을 클라우드 기반으로 전환하는 것을 의미한다. 이를 위해선 과감한 비용투자가 필수적인데 올해 클라우드 네이티브 전환 예산은 740억원에 불과하다. 지난해 (342억)보다 2배 이상 늘었지만 애초에 행정안전부가 신청한 예산(약 1200억원)보다 크게 못 미치는 액수다.

최근 연이은 행정망 먹통 사태로 인해 공공 클라우드 전환의 필요성이 그 어느 때보다 높아지고 있다. 그럴듯한 계획만 세울게 아니라 계획을 실행할 수 있는 추진 동력이 필요하다. 계획을 뒷받침하기 위해선 비용은 물론 공공기관의 시스템을 통합·관리하는 총괄 기관이 중요하다. 클라우드 기반 디지털 정부 실현을 위해 출범한 디지털플랫폼정부위원회의 역할을 기대해본다.

/박진영 기자(sunlight@inews24.com)