정부의 '클라우드 보안 인증(CSAP) 등급제' 시행 방침으로 글로벌 CSP(클라우드 서비스 제공 사업자)의 국내 공공시장 진입이 초읽기에 들어간 가운데 윤동식 KT클라우드 대표가 토종 CSP 강점으로 '보안'을 꼽았다.

공공 클라우드 시장에 진출하려면 CSAP를 취득해야 한다. 하지만 아마존웹서비스(AWS)·마이크로소프트(MS)·구글 등 글로벌 기업들은 CSAP를 취득하는 것이 사실상 불가능하다. CSAP는 IT 인프라와 데이터를 물리적으로 국내에 둘 것을 요구하지만 글로벌 기업들은 한국의 공공 고객만을 위한 IT 인프라와 데이터를 한국에 별도로 두기 어렵기 때문이다.

반면 국내 시장 중심으로 사업을 펼치고 있는 KT클라우드·네이버클라우드·NHN클라우드 등 토종 CSP들은 CSAP를 취득하고 공공 클라우드 프로젝트를 수행했다. 이런 가운데 CSAP 주무부처인 과학기술정보통신부(이하 과기정통부)는 2022년 8월 현안점검회의를 통해 클라우드 시장을 활성화하고 공공서비스를 혁신하기 위해 그간 획일적으로 운영됐던 CSAP에 상·중·하 등급제를 도입하기로 했다.

토론회 등을 통해 산업계의 의견을 들은 과기정통부는 상·중·하 중 하등급을 1월 중 시행할 예정이다. 하등급의 대상은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이다. 기존의 CSAP 기준이 중등급을 받을 수 있는 기준에 해당되고 하등급은 이보다 완화된 기준이 적용된다. 하등급에 대해서는 기존의 IT 인프라·데이터의 물리적 분리 요건이 완화돼 논리적 분리가 허용된다. 그간 '물리적 망분리'라는 벽에 막혀 한국 공공 클라우드 시장에 진입하지 못했던 글로벌 CSP들이 공공 클라우드 시장에 발을 들여 놓을 수 있는 계기가 마련된 셈이다.

이에 국내 CSP들이 회원사로 있는 한국클라우드산업협회는 최근 논리적 분리가 물리적 분리만큼의 보안이 보장되는지에 대한 실증이 필요하고 소규모 공공기관의 보안관리가 필요하다는 등의 의견을 과기정통부·국가정보원(이하 국정원)·행정안전부 등에 전달했다. 과기정통부는 업계의 의견을 검토했지만 보안에 대해 문제가 없는 범위 내에서 하등급을 예정대로 1월중으로 시행할 방침이다.

국내 CSP들은 우선 하등급에 해당되는 공공 클라우드 사업에서 AWS·MS·구글 등과의 경쟁이 불가피해졌다. 공공기관에게 강조할 수 있는 국내 CSP만의 차별점이 절실해졌다. 한국클라우드산업협회장으로서 토종 CSP들을 대표하는 역할도 맡고 있는 윤 대표는 <블로터>와의 통화에서 "국내 CSP들은 국정원의 가이드에 따라 물리적 망분리 환경에서 클라우드 서비스를 제공한다"며 "(상대적으로 보안이 강한)물리적 망분리 환경 속에서 보안 관제를 제공할 수 있는 것이 차별점"이라고 말했다.

윤 대표는 행안부 주관의 공공 클라우드 전환 사업의 예산이 줄어든 점도 우려했다. 행안부는 2023년 공공 클라우드 전환 사업의 규모를 약 1500억원으로 추산했지만 관련 예산은 300억원대에 머물렀다. 국내 CSP들은 줄어든 사업에서도 CSAP 하등급에 대해 글로벌 기업들과 경쟁을 해야 하는 상황이다.

정부는 1년치의 클라우드 관련 사업을 통합공고하는데 2023년 사업 내역은 아직 나오지 않았다. CSAP의 등급제 도입에 대한 검토 여파로 풀이된다. 업계 관계자는 "하등급의 규모는 금액적으로는 적을 수 있지만 건수로 따지면 상·중 등급보다 많을 수 있다"며 "사업공고가 나오면 글로벌 CSP보다 국내 CSP들이 더 잘할 수 있는 고객지원과 보안 등의 측면을 강조하며 사업을 진행할 것"이라고 말했다.