CSAP 손질 논의에 국내 클라우드 업계 우려 커져
국정원 중심 재편 시 공공 발주 지연 우려, 외산 진입 확산도 변수
공공기관 클라우드 도입의 핵심 요건인 ‘클라우드 서비스 보안 인증(CSAP)’ 제도 개편 논의가 이어지면서 국내 클라우드 업계에서는 우려의 목소리가 나오고 있다.
클라우드·보안업계에 따르면, 정부는 공공 클라우드 도입 과정에서 CSAP의 적용 방식과 공공 보안 검증 체계를 함께 손질하는 방안을 논의 중인 것으로 전해졌다. 업계에서는 ‘CSAP를 공공 진입의 필수 요건으로 유지할지, 적용 범위를 조정할지’와 함께 ‘공공 클라우드 보안 검증 창구를 국가정보원(국정원) 중심으로 정리하는 구상’이 거론되고 있다. CSAP를 공공 의무 요건에서 빼 민간 인증 성격으로 전환하는 방안도 논의 중인 내용 중 하나로 언급된다.
국내 클라우드 업계는 이런 변화가 현실화되면 공공기관의 클라우드 발주·도입 과정과 업계 경쟁 구도에 동시에 영향을 줄 수 있다고 보고 있다.
국정원 중심 재편…“전환기 공공 시장 위축” 우려
업계가 먼저 우려하는 지점은 공공 보안 검증 체계가 국정원 중심으로 재편됐을 때의 시장 위축이다. 국정원의 보안 기준이 자리 잡는 과정에서 보안 요구 수준이 높아지거나, 제도 전환기에 공공 발주가 늦어져 단기적으로 시장이 얼어붙을 수 있다는 관측이다.
한 클라우드 업체 관계자는 “국정원이 공공 클라우드 보안을 전담하게 되면 무엇이 어떻게 달라질지가 업계가 가장 민감하게 보는 부분”이라며 “제도가 발표되지 않은 상태에서 말이 무성하면 공공 쪽 수요가 당분간 줄어들 수 있다”고 말했다. 이어 “미리 준비했다가 기준이 바뀌면 중복 일이 될 수 있다”며 “수요자와 공급자 모두 적응 시간이 필요하다”고 덧붙였다.
또 다른 국내 클라우드 업체 관계자는 “인증의 주체가 바뀌면 공공은 처음부터 다시 시작하는 상황이 될 수 있다”며 “국정원은 보안에 더 민감한 곳이라 사업보다 보안을 중점으로 볼 텐데, 공공 클라우드 시장이 전반적으로 위축될까 우려된다”고 말했다.
‘민간 인증 전환’…외산 확장 변수에 업계 촉각
또 다른 우려는 CSAP의 ‘민간 인증 전환’ 논의가 외산 클라우드의 공공시장 확장 변수로 작용할 수 있다는 점이다. 업계에서는 CSAP의 공공 진입 요건이 민간 인증으로 전환되면, 외국계 사업자가 공공 시장에서 영역을 넓힐 수 있는 여지가 커질 수 있다고 보고 있다.
다만 ‘민간 인증 전환’이 곧바로 외산에 유리한 구조라고 단정하긴 어렵다는 시각도 있다. 공공 영역은 국정원 보안 적합성 검증 등 별도 기준을 충족해야 할 가능성이 크고, 관건은 국정원 중심 검증 체계가 어떤 요구사항과 절차로 설계되느냐에 달렸기 때문이다. 그럼에도 국내 업체들은 전환 시기의 불확실성과 외산과의 경쟁 확대를 함께 경계하는 분위기다.
해외 주요 클라우드 사업자들은 지난해 CSAP 등급을 취득하는 등 국내에서의 서비스 확장을 더욱 넓혀가고 있다. KISA의 CSAP 인증서 발급 현황에 따르면, 마이크로소프트(MS)와 구글 클라우드, 아마존웹서비스(AWS)는 지난해 CSAP ‘하’ 등급을 취득했으며, 상위 등급에서도 규제 완화를 요구하고 있다.
한 클라우드 업체 관계자는 “아직 확정된 건 아니지만 CSAP 규제가 완화되면, 외산 클라우드의 진입이 더 유연해질 수 있다”며 “국내 클라우드 업계에 결코 좋은 소식은 아닐 것”이라고 말했다.
또 다른 국내 클라우드 업체 관계자는 “제도 변화에 따라 기존에 해외 클라우드 업체가 받은 등급보다 더 높은 등급을 받게 되고, 영역을 확장할 수 있지 않을까 하는 우려가 전반적인 업계의 분위기”라고 말했다.
한편 클라우드 서비스를 직접 공급하는 사업자뿐 아니라, 공공·민간 고객의 클라우드 구축·운영을 맡는 관리형 서비스 제공자(MSP) 업계도 CSAP 제도 변화가 현장에 미칠 영향을 예의주시하고 있다. MSP 사업자들은 제도 변화에서 국내 업체들을 고려한 균형 있는 설계가 필요하다고 보고 있다.
국내 관리형 클라우드 서비스 제공자(MSP)인 아이티센클로잇 관계자는 “CSAP 제도 개편은 시장 흐름을 보면 자연스럽게 논의될 수 있는 방향”이라면서도 “해외 사업자와의 서비스 격차를 고려하면 국내 업체들이 우려를 갖는 것은 당연하다”고 말했다. 이어 “민간 인증으로 넘길 수 있는 영역과 공공 핵심 시스템처럼 엄격히 관리할 영역을 구분해, 국내 클라우드 시장이 혼란에 휩싸이지 않도록 균형 있게 설계할 필요가 있어 보인다”고 덧붙였다.
또 다른 MSP 업체 관계자는 “중복 인증을 줄이는 등 효율성 있게 개편하는 건 필요해 보인다. 단, CSAP라는 제도 자체는 분명 필요하다”며 “외산 클라우드가 공공 시장에 들어오는 흐름이 이어지는데, 국내 사업자들이 투자해온 인증 체계가 한순간에 의미가 약해지면 역차별 논란이 생길 수 있다”고 말했다. 이어 “해외에도 자국 기업을 위한 제도가 있는 것처럼, CSAP는 공공 시장의 기본 질서를 위해 유지될 필요가 있다고 본다”고 덧붙였다.
정부는 아직 CSAP 개편에 대해서는 말을 아끼고 있다. KISA 관계자는 “CSAP와 관련해 과기정통부, 국정원 등 관계 부처가 논의하고 있는 상태”라며 “다만 구체적으로 ‘어떻게 하자’는 결론을 낸 상태는 아니다”고 말했다. 이어 “업계의 의견들을 종합해 검토를 진행할 것으로 보인다”고 덧붙였다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40



