CSAP 등급제 윤곽 안갯속인데…업계 표정은 엇갈려

현재 정부가 추진하고 있는 클라우드 보안인증(CSAP) 등급제 개편이 미뤄지고 있다. 최종 개편안 공개 시기가 안갯속에 빠진 가운데 국내 클라우드 서비스 제공사(CSP)들의 극렬한 반발이 개편을 미루고 있다는 의견이 나온다. 외산 CSP들은 기대를 감추지 않으면서도 지켜보겠다는 입장을 견지하는 등 업계 표정이 엇갈리는 모습이다.

29일 과학기술정보통신부와 업계에 따르면 CSAP 등급제 개편안 공개가 계속해 미뤄지고 있다. CSAP 등급제 개편은 공공기관에 적용하는 클라우드 시스템을 중요도에 따라 ‘상·중·하’ 3등급으로 나누는 게 핵심이다. 특히 이 중 ‘하’ 등급에 외국계 CSP들이 주장하는 논리적 망분리 허용을 검토한다. 지난 6월 국무총리가 공공 클라우드 규제 완화를 언급한 뒤 논의가 급물살을 탔고, 8월 이같은 밑그림이 공개됐다. 이에 외산 CSP들은 판로 확대를 기대하는 한편 국내 CSP들은 공공시장 진출에 경쟁자가 생기는 역차별 문제를 제기했었다.

이처럼 관심이 집중된 가운데 과기정통부가 지난 18일 개최한 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안’ 설명회에서 청사진이 나올 거란 전망이 나왔지만 명확한 윤곽은 제시되지 않았다. 정부는 개편 의지를 접진 않았지만 발표 시기를 특정하기 어렵다는 입장만 전달했다. 당시 설재진 과기정통부 사이버침해대응과장은 “아직 확정안을 발표하긴 어려운 상황이다. 추가적인 논의가 더 진행될 예정”이라고 밝혔다.

논의가 답보 상태에 빠진 와중에 업계 표정은 엇갈리는 모습이다. 국내 CSP 입장에서는 미뤄지는 게 나쁠 게 없는 표정이다. 일각에서는 국내 CSP의 대관 활동이 효과를 거두고 있다는 이야기까지 나온다.

한 국내 CSP 관계자는 “지속적으로 공공 클라우드 시장 공략을 위해 노력해왔는데 해외 기업에 혜택을 주는 것 아니냐”면서 “현재 토론회 등 여러 방면에서 정부에 반대 의견을 전달하고 있다”고 말했다.

이미 공공시장에 진출한 국내 CSP 입장에서는 커스터마이징이나 기능 개발 등 투자를 지속해 왔는데 외국계에 문을 열어주는 등급제 개편 방향에 힘이 빠진다는 뜻이다. 또한 논리적 망분리를 허용하지 않는 현 제도는 외산 CSP의 진출을 막기 위한 규제가 아닌 보안 강화를 위한 조치라는 게 이 관계자의 생각이다.

반대로 외산 CSP는 정부 결정을 지켜보자는 분위기가 감지된다. 국내 CSP들에 비해 한국 정부를 대상으로 한 대관 활동도 어렵다는 하소연도 나온다.

한 외산 CSP 관계자는 “국내 기업은 대관 업무를 활발히 하는 것으로 알고 있다. 결정이 미뤄지는 데 일정 부분 영향을 미치지 않았겠느냐”면서 “아무래도 본사 차원의 탑다운(지시)이 없는 상태에서 한국지사 스스로 움직이기는 힘든 상황”이라고 말했다.

이어 “전세계 매출 규모나 시장 기회에 비해 한국 공공시장에만 집중하기에는 무리가 있다”면서 “물론 기회가 많아지는 것은 좋지만 현재 별도로 본사에 지원을 요청하기에는 투자 대비 수익이 나오지 않는다는 판단도 있는 듯하다”고 말했다.

외산 CSP 빅3 중 한 곳으로 꼽히는 구글 클라우드는 최근 기자간담회에서 관련 질문을 받고 “앞으로 어떻게 바뀔지 모르니, 지켜보면서 인증 프로세스를 준비하고 있다”고 밝혀 파이를 뺏길 수 있는 국내 CSP에 비해서는 상대적으로 소극적인 입장을 견지했다.

대신 외산 CSP은 논리적 설득 카드로 ‘비상 상황’을 꺼냈다. 최근 조승래 더불어민주당 의원실이 개최한 토론회에서 외국 CSP들은  전쟁과 같은 국가 비상 상황 시 현재의 ‘물리적 망분리’로는 데이터 유실을 막기 어렵다는 의견을 전한 것으로 알려졌다. 데이터센터 파괴 등 물리적인 위협에서는 자신들이 주장하는 방식인 논리적 망분리가 효과적이라는 주장이다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network