클라우드 규제 푸는 건 좋은데...외국계에 시장 내줄라 우려 목소리

한덕수 국무총리가 18일 오전 서울 종로구 정부서울청사에서 국정현안점검조정회의를 주재하고 있다. /사진=뉴시즈

정부가 공공 기관의 민간 클라우드 이용 확대를 위해 CSAP(클라우드 보안인증제)를 개선한다. 시스템 중요도에 따라 등급을 나누고, 차등화된 보안인증기준을 적용하는 것이 골자다. 이를 두고 국내 클라우드 업계는 규제완화로 그동안 국내 시장 진입에 어려움을 겪던 외산기업들이 반사효과를 볼 것이라는 우려가 커지고 있다.

과학기술정보통신부는 18일 제5회 국정현안점검조정회의에서 이 같은 내용이 포함된 '정보보호 규제개선 추진상황 및 계획'을 발표했다.

이번 규제 개선으로 CSAP에 등급제가 도입된다. 이는 IT 시스템의 중요도 기준으로 3등급으로 구분하고, 사이버 안보에 저해되지 않도록 등급별로 차등화된 보안인증기준을 적용하는 방식이다. 상대적으로 낮은 중요도의 데이터를 다루는 클라우드 서비스에는 인증 부담을 완화하는 것이 골자다. 가령 최저 등급 인증에서는 물리적 망 분리와 같은 기준을 제외하는 식이다.

현재 CSAP는 클라우드 인프라의 물리적 망분리 등 까다로운 요건을 모두 갖춰야 부여된다. 클라우드를 도입하는 시스템에 상관없이 획일적으로 높은 수준의 보안 체계를 요구하고 있어, 클라우드 사업자들의 공공 시장에 진입을 어렵게 하는 요인으로 지적됐다. 특히 AWS(아마존웹서비스), MS(마이크로소프트) 등 외산 클라우드 업체들이 이에대해 강하게 문제를 제기해 왔다.

하지만 이번 규제 개선으로 외국계 기업의 시장진입이 물꼬를 틀 낼 전망이다. 이에 국내 기업들은 불편한 기색을 내비치고 있다. 사실상 공공 클라우드 시장에 CSAP가 글로벌 기업들의 진입을 막는 역할을 해왔기 때문이다. 현재 AWS, MS, 구글 등 글로벌 서비스는 국내 민간 시장의 90% 이상을 차지하고 있다. 반면, 정부가 시행한 공공클라우드 전환 사업은 국내 기업들이 대부분 수주했다.

해외 기업의 진출로 공공기관의 보안성에대한 우려의 목소리도 나온다. 국내 클라우드 업계 한 관계자는 "공공 시장은 국가적인 정보를 다루는 만큼 이를 보호할 장치가 있어야 한다"면서 해외 클라우드 서비스를 이용하면 데이터가 해외로 옮겨져 우리 데이터 주권이 훼손되는 것은 물론 공공정보 보안이 위태로워질 수 있다"고 말했다.