[기자수첩]클라우드 보안인증제, 국내 생태계 우선 고려해야

김국배 ICT부 기자

[이데일리 김국배 기자] 공공 분야에 클라우드 서비스를 공급할 자격을 주는 클라우드 보안 인증제가 ‘융단 폭격’을 맞았다. 지난 6일 주한미국상공회의소(암참)가 개최한 정책 세미나에서다.

이날 전문가들이 쏟아낸 발언을 요약하면, “클라우드 보안 인증은 본래 취지인 보안이라는 정책 효과를 내지 못하고 있을 뿐 아니라 향후 디지털 무역 협정에서 통상 문제가 될 소지가 있다”는 것이다. 사실상 한국에 진출한 미국 기업의 입장을 대변하는 암참의 입장과 같다.

애초에 이날 발표된 주요 내용은 암참 클라우드 분과위원회와 한양대 정책과학대학이 공동 연구한 결과다. 공공 분야에 글로벌 클라우드 기업이 참여하면 안정성, 서비스 다양성 등이 증대돼 1조5000억원 이상의 편익이 발생할 수 있다는 수치 등이 포함돼 있다.

이들이 클라우드 보안 인증제에 대해 강력히 성토하는 이유는 이 인증제가 공공 분야에 해외 기업의 진입을 막는 장벽으로 작용하고 있기 때문이다. 실제로 2016년 이 제도가 도입된 후 현재까지 인증을 받은 해외 기업은 전무하다. 한국에서만 요구하는 추가적인 보호조치를 맞추기 어렵다는 게 이들의 얘기다.

정부가 대놓고 말하진 않지만, 클라우드 보안 인증이 해외 기업들에 진입 장벽 역할을 한 건 부인하기 어렵다. 하지만 2016년 제도가 도입될 당시만 해도 우리나라에 클라우드 기업은 사실상 KT뿐이었다. 그 해 초 세계 1위 클라우드 기업 아마존웹서비스(AWS)는 서울에 데이터센터를 열며 국내 시장 공략을 본격화했다. 네이버는 이듬해인 2017년이 돼서야 클라우드 시장에 진출했다. 결과론적이지만 클라우드 보안 인증이 없었다면 AWS는 민간을 넘어 공공 분야마저 장악했을지도 모른다.

이들의 주장처럼 통상 이슈를 염려해 해외 클라우드 기업에 문을 열어주는 ‘선행적 조치’를 검토해야 한다는 데는 동의하기 어렵다. 자국 기업 보호 기조는 미국이 더하지 않나. 다만 시간이 흘렀고 상황이 바뀐 만큼 인증 제도를 점검할 필요는 있다.

무엇보다 국내 클라우드 소프트웨어(SaaS) 기업의 선택권을 고려해야 한다는 지적은 귀담아들을 만하다. 해외에 진출하려는 중소 SaaS 기업들은 전 세계 도처에 데이터센터 인프라를 보유한 글로벌 클라우드를 쓰는 경향이 뚜렷하지만, 이럴 경우 공공 부문엔 진출할 수 없기 때문이다. 공공 서비스를 위해 국산 클라우드를 추가로 써야 해 비용 부담이 생긴다.

결국 데이터 저장 위치만 따질 게 아니라 데이터를 중요도에 따라 분류하는 일이 선행돼야 할 것이다. 그렇게 되면 중요도가 떨어지는 데이터에 한해 SaaS 기업이 국내, 해외 클라우드를 선택하는 것도 가능할 수 있다. 인증제를 고친다면 해외 클라우드 기업 참여보다 국내 클라우드 기업 생태계 개선에 방점이 찍혀야 한다.