[단독]‘쿠팡’ 이어 ‘클라우드 보안’ 뇌관…美테크업계 “韓, 미국 기업 차별 우려”

김형구 2026. 7. 6. 23:02
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

지난 4월 1일(현지시간) 프랑스 그랑 팔레에서 열린 제18회 국제 사이버보안 행사 ‘인사이버’ 포럼에서 구글 클라우드 시큐리티 로고가 내걸려 있다. AFP=연합뉴스

정부가 지난 4월 공공부문 클라우드 보안인증 체계를 국가정보원으로 일원화하고 새로운 보안 가이드라인 도입을 예고한 데 대해, 구글 등 미국 주요 클라우드 기업들이 사실상의 시장 진입 제한으로 규정하고 대응에 나설 태세다. 지난 1일 이른바 ‘쿠팡 사태’를 다룬 미국 하원 법제사법위원회 보고서 공개를 계기로 재점화된 미국 빅테크 기업에 대한 한국 정부의 디지털 규제 논란이 확산될 조짐이다.

5일(현지시간) 미국 외교가와 테크업계에 따르면, 미 빅테크 기업들은 최근 마이클 디솜브리 동아시아·태평양 담당 차관보, 데이비드 윌레졸 한국·일본·몽골 담당 부차관보 등 미 국무부 주요 인사를 잇따라 만나 한국 정부의 공공 클라우드 보안 규제 개편 이슈를 집중적으로 논의했다. 이 자리에 참석한 테크업계 한 관계자는 “미 기업 측은 한국이 기존에 과학기술정보통신부와 국정원이 해 오던 공공 클라우드 이중 보안인증 절차를 국정원 단일 검증체계로 일원화한 데 대해 ‘미국 기업들에 심각한 시장 접근 제한과 형평성 문제를 초래할 것’이라고 우려했다”고 중앙일보에 전했다.

클라우드 보안 체계 이미지.


공공 클라우드 보안절차, 국정원으로 일원화


앞서 지난 4월 20일 과기정통부와 국정원은 공공부문 클라우드 보안인증(CSAP) 체계를 개편해 보안인증 절차·권한을 국정원으로 단일화하는 방안을 발표했다. 이로써 기존 CSAP 체계는 민간 인증으로 자율화하고, 공공부문 접근 최종 허가권은 국정원이 갖게 됐다. 공공부문 클라우드 운용의 독점적 기준이 될 새로운 인증 체계로서 ‘국가 네트워크 보안체계’(National Network Security FrameworkㆍN2SF)가 도입되는데, 국정원은 지난 4월 “올 상반기 중 ‘국가 클라우드컴퓨팅 보안 가이드라인’ 등을 개정하고 1년간 유예기간을 거친 뒤 내년 하반기부터 본격 시행할 계획”이라고 밝혔다.

하지만 미국 빅테크 업계는 이번 개편이 한국 시장 진출을 차단하는 위험요소가 될 것이라고 반발한다. 특히 이들은 국정원이 보안 가이드라인 개정안에 포함할 가능성이 큰 ‘물리적 네트워크 분리(Physical network separation)’ 요건이 아마존웹서비스(AWS), 마이크로소프트 애저(클라우딩 서비스 플랫폼), 구글 클라우드 등 미국 클라우드 서비스 업체에 진입장벽으로 작용할 것이라고 우려하고 있다.

김영옥 기자


美업계 “‘물리적 망 분리’ 요구시 진입장벽”


‘물리적 분리’는 데이터 저장 서버를 물리적으로 분리된 별도 장비와 공간에 구축하는 것으로 사실상 한국 내 별도 데이터센터 등 인프라 구축을 의미한다. 이에 대해 미 테크 업계는 별도 데이터센터 구축 시 막대한 비용이 발생하며 이는 글로벌 기업의 한국 시장 진입을 막는 보호무역주의적 기술 장벽이라고 주장한다. 전 세계 클라우드 업체들은 최첨단 소프트웨어 기술과 암호화 제어를 통해 하나의 서버 안에 데이터 공간을 전자적으로 자동 격리하는 ‘논리적 네트워크 분리(Logical network separation)’를 기반으로 설계돼 있다는 주장이다.

한국 정부는 북한과 인접한 특수한 지정학적 상황을 들어 ‘국가안보 문제’임을 강조하지만 미 빅테크 기업들은 대만·이스라엘 등 비슷한 국가안보 위협 상황에 처한 다른 국가들도 ‘논리적 분리’ 기술을 통해 구글이나 AWS 등 글로벌 클라우드 업체의 진입을 허용하고 있다고 반박한다. 미 테크 업계 관계자는 “정보 기관이 클라우드 보안 검증을 주도하는 국가는 한국이 유일할 것”이라며 “국무부를 비롯한 미 행정부는 물론 의회도 글로벌 클라우드 기업들이 직면한 문제를 잘 알고 있으며 한국 정부를 면밀히 주시하고 있다”고 말했다.

미 클라우드 기업들은 형평성 문제도 제기하고 있다. 기존 CSAP 인증체계 하에서 저위험 등급 기준을 이미 충족한 미국 기업들이 있음에도, 국정원이 관리하는 최종 승인업체 목록에는 한국 기업들만 자동 등재돼 있을 뿐 미국 기업들은 빠졌다는 주장이다. 한국 정부가 미국 기업들에게만 별도의 추가 신청 절차를 요구하는 것은 한·미 자유무역협정(FTA)의 대전제인 ‘내국민 대우’ 원칙 위반이라는 게 이들의 인식이다. 미 테크 업계는 이미 상무부와 미국무역대표부(USTR) 등에도 이같은 우려를 전달하고 대응 방안을 함께 논의 중이다.

국가정보원 청사 전경. 사진 국정원


美, 국정원 ‘보안 가이드라인 개정’ 주시


미 정부와 의회는 일단 국정원이 새로 내놓을 보안 가이드라인 개정안에 어떤 내용이 담길지를 주시하고 있다고 한다. 국정원은 올 상반기 내로 개정안을 내고 1년의 유예기간을 가진 뒤 2027년 하반기 본격 시행하겠다고 했지만, 7월로 접어든 현재까지 개정안은 공개되지 않고 있다.

미 빅테크 기업들은 특히 해당 개정안에 ‘물리적 분리’ 요구가 명문화할 경우 이는 지난해 한·미 정부가 맺은 무역 합의 위반이라고 보고 본격적인 대응에 나설 태세다. 지난해 11월 한·미 간 무역·안보 합의사항을 담아 공개한 조인트 팩트시트(공동 설명자료)에는 “양국은 네트워크 사용료 및 온라인 플랫폼 규제를 포함한 디지털 서비스 관련 법률·정책에서 미국 기업이 차별당하거나 불필요한 장벽에 직면하지 않도록 보장한다”는 내용이 들어 있다.

미 외교가 한 관계자는 “만약 한국의 보안 가이드라인에 물리적 분리 내용이 포함된다면 큰 문제가 될 것”이라며 “한국은 핵추진잠수함 건조와 사용후핵연료 재처리 능력 확보를 원하는데, 만약 클라우드 보안 분야 기술적 장벽 문제가 현실화한다면 미국 내 많은 사람들이 ‘한국이 우리 기업들을 공정하게 대하지 않는데 우리가 왜 한국과 이런 일을 해야 하는가’라는 인식이 커질 것”이라고 말했다. 공공 클라우드 보안체계를 둘러싼 한·미 간 갈등이 표면화할 경우 핵잠 도입을 비롯한 양국 안보 분야 후속 협의에 악영향을 끼칠 수 있다는 의미다.


韓 “보안절차 개편, 외국 기업 차별 아냐”


한국 정부는 이번 클라우드 보안 절차 개편안이 결코 외국 테크 기업을 차별하기 위한 ‘디지털 보호무역주의’ 조치가 아니라는 입장이다. 클라우드 서비스 기업이 공공시장에 진입하려면 과기정통부의 CSAP를 먼저 취득한 뒤 별도로 국정원의 보안 검증을 거쳐야 했지만 검증체계를 국정원으로 단일화해 보안 수준은 강화하되 기업의 부담은 경감시키려는 취지라는 얘기다.

하지만 최근 미 백악관이 쿠팡을 콕 집어 “한국 정부의 차별적 표적화”를 문제삼고 청와대가 “사실과 다르다”고 반박하는 등 양국 간 디지털 규제를 둘러싼 인식차가 공개적으로 드러난 상황이다. 공공 클라우드 보안체계 논란까지 갈등 현안으로 비화할 경우 양국 간 통상·안보 협의 전반에 부담으로 작용할 수 있는 만큼 정교한 외교적 조율이 필요하다는 지적이 나온다.

워싱턴=김형구 특파원 kim.hyounggu@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.