공공 클라우드 보안 인증제 '뭇매'…왜?

[이데일리 김국배 기자] 공공 분야에 글로벌 클라우드 기업의 진입을 막고 있는 국내 클라우드 보안 인증(CSAP) 제도에 대해 “재검토가 필요하다”는 목소리가 나왔다. 미국 기업들의 입장을 대변하는 주한미국상공회의소가 6일 개최한 ‘글로벌 디지털 무역협정 체제 편입을 위한 한국의 기술 규제 해소 방안’ 정책 세미나를 통해서다.

(사진=암참)

과학기술정보통신부가 운영하는 이 인증제는 공공기관에 클라우드 서비스를 공급할 수 있는 자격을 주는 제도다. 글로벌 클라우드 기업이 인증 조건을 충족시키지 쉽지 않아 사실상 진입 장벽으로 작용했다. 반대로 네이버, KT 등이 공공 분야에서 선전하는 데 역할을 했다. 실제로 인증을 받은 해외 기업은 전무하다.

그러나 이날 세미나에서 클라우드 보안 인증제는 전문가들의 ‘뭇매’를 맞았다. 이들이 인증제를 개선할 필요가 있다고 주장하는 이유는 쉽게 말해 “향후 한국이 가입할 수 있는 디지털 무역 협정의 규범에 부합하지 않아 문제가 될 수 있는 데다 공공 분야에서 편익도 창출하고 있지 못하다”는 것이다. 한국은 아직 구체적인 디지털 무역 협정에 가입을 완료한 단계는 아니다.

이날 발제자로 나선 김태윤 한양대 정책과학대학 교수는 비용 편익 분석을 통해 “글로벌 클라우드 기업이 공공 분야에 진출할 경우 안정성, 서비스 다양성, 혁신성 증대 등으로 1조5000억원 규모의 편익이 창출될 것”이라며 “의료 분야까지 합하면 4조원 이상”이라고 주장했다.

또 “CSAP 통제 항목 중 글로벌 디지털 규범과 명확히 부합하는 케이스는 12% 정도에 불과하다”며 “‘우리 문은 걸어 잠그고, 너네 문은 열어라’는 식으론 안 된다. 디지털 경제의 핵심은 개방과 경쟁”이라고 했다.

곽동철 경북대 경제통상학부 교수는 “디지털 무역 시대에는 국경 조치가 아니라 국경의 안쪽에서 이뤄지는 조치에 의해 무역이 제한되는 경우가 많다”며 클라우드 보안 인증제를 대표적인 조치로 꼽았다. 곽 교수는 “클라우드 보안 인증 같은 한국의 독특한 기술 규제가 국제 기술 표준과 동떨어져 발전하게 되면 한국은 갈라파고스화될 수밖에 없다”고 했다.

클라우드 소프트웨어(SaaS) 사업자 등 클라우드 생태계를 고려해야 한다는 지적도 있었다. 해외 시장 진출을 노리는 중소 SaaS 기업은 아무래도 글로벌 인프라가 잘 갖춰진 AWS 등을 사용하는 경우가 많지만, 공공 서비스를 위해선 추가로 비용을 들여 국내 클라우드 인프라를 활용해야 하기 때문이다.

노경원 김앤장 법률사무소 변호사는 “한국의 잠재력은 인프라 분야 뿐 아니라 소프트웨어에도 있다”며 “현재 제도는 공공 부문에서 지나치게 획일적인 보안 요건을 강요해 수요자나 SaaS 사업자의 선택권을 지나치게 제한한다”고 했다.

그는 이어 “인증을 받은 서비스를 사용해야만 하는 공공기관의 범위가 너무 넓고, 어떤 업무를 하더라도 인증 받은 서비스를 써야 하는 문제도 있다”며 “대학에서 인공지능(AI) 기술을 활용하고 싶어도 AWS나 애저(마이크로소프트 클라우드)는 쓸 수 없는 상황으로, 다양한 케이스에 따른 고민을 포기한 제도”라고 꼬집었다.

수요 기관의 성격이나 업무(워크로드)의 중요도를 고려해 실질적으로 클라우드 활용률을 높일 수 있는 규제 개선을 강구할 필요가 있다는 얘기다. 이무성 엠엘소프트 대표도 “가장 중요한 것은 ‘지킬 것이 무엇인가(중요 데이터와 비중요 데이터)’에 관한 보안 등급 기준을 먼저 마련하는 것”이라고 말을 보탰다.