[유미's 픽] AWS·MS·구글, 공공 클라우드 공습 임박…토종 CSP 어쩌나

정부 "망분리 완화 등 변화 고려해 CSAP 개선"…'하' 이어 '중' 등급도 시사

컴퓨팅입력 :2024/10/18 17:28    수정: 2024/10/18 21:20

KT·네이버·NHN 등 토종 업체들이 공고하게 지키던 공공 클라우드 시장에 해외 빅테크들의 진입이 임박한 분위기다. 정부가 아마존웹서비스(AWS)·마이크로소프트(MS)·구글 등 외산 클라우드의 문턱을 더 낮출 것을 시사했기 때문이다.

18일 업계에 따르면 과학기술정보통신부는 제17차 정보통신전략위원회에서 국가정보원의 망 분리 완화 등 보안 정책 개편에 따른 여건 변화를 고려해 클라우드 보안인증제(CSAP)를 개선하고 금융 분야의 망 분리 규제를 완화한다고 발표했다.

송상훈 과학기술정보통신부 정보통신정책실장은 "CSAP 상·중·하 등급에 있어서 글로벌 기업의 진출에 대해서는 정부가 명시적으로 된다 안 된다고 이야기한 적 없다"며 "중 등급도 보안 인증을 통과한다면 가능하다"고 밝혔다.

송상훈 과학기술정보통신부 정보통신정책실장 (사진=지디넷코리아 DB)

CSAP는 국내 공공기관에 클라우드 서비스를 제공하려면 반드시 취득해야 하는 보안요건으로, 그간 해외 클라우드 업체의 국내 공공 시장 진출을 막는 방해물로 취급됐다. 이들은 국내에 데이터센터가 없어 '물리적 망 분리'를 할 수 없는 탓에 인증을 획득할 수 없었다. 현재 공공 부문 클라우드를 운영하기 위해서는 공공용 서버와 민간용 서버를 물리적으로 다른 공간에 구축하고 관리 인력도 별도로 두도록 하는 '물리적 망 분리' 요건을 충족해야 한다.

이 탓에 국내 민간 클라우드 시장은 AWS·MS·구글의 합산 점유율이 지난해 말 기준 84% 이르는 반면, 공공 시장에선 CSAP의 문턱을 못넘어 맥을 못 췄다.

하지만 글로벌 CSP들과 국내 SaaS(서비스형 소프트웨어) 기업들이 규제 완화를 요구하면서 과기부는 지난 2023년 시스템별 보안 중요도에 따라 CSAP를 상·중·하로 나눈 등급제를 시행하기로 결정했다. 덕분에 AWS·MS·구글 등 외산 클라우드 업체들도 논리적 망분리가 허용된 '하' 등급에 도전할 수 있게 됐다.

이 같은 움직임에 맞춰 AWS·MS·구글 등 해외 클라우드 서비스 3사는 CSAP '하' 등급을 신청해 심사를 받고 있다. 현재 한국인터넷진흥원(KISA)이 예비심사를 거쳐 본심사를 진행 중으로, 각 업체가 취약점 보완조치를 완료하면 이르면 연내 인증을 획득하는 곳도 나올 수 있을 것으로 기대된다.    

과기정통부는 "미국·영국·중국 등은 클라우드 중요성을 일찌감치 인식해 민간 클라우드 우선 이용 원칙에 따라 전면 도입에 전력을 다하고 있다"며 "국내 전반의 클라우드 도입·전환은 여전히 더딘 상황으로, 클라우드 총지출에서 공공 부문이 차지하는 비중이 7%로 아시아태평양 11개국 중 11위로 최하위"라고 밝혔다.

이에 국내 클라우드 업계는 이미 민간 시장을 장악하고 있는 해외 클라우드 업체들이 공공 시장까지 잠식할까 우려하고 있다. 아직은 '하' 등급에 국한됐다는 점에서 큰 영향이 없을 것이란 관측도 있지만, 망분리 완화 기조가 중·상 등급으로 확산될 여지가 충분히 있다는 점에서 안심할 수 없다는 반응이다. 

특히 정부가 공공·금융 분야 망분리 완화 정책을 본격화하고 있는 점이 가장 우려스러운 대목이다. 국가정보원이 '다층보안체계(MLS)' 계획으로 시사한 공공분야 망분리 규제 완화가 대표적이다. 업무별 중요도에 따라 C(기밀)·S(민감)·O(공개) 등급으로 나눈 MLS는 'O' 등급에서 민간 퍼블릭 클라우드 사용을 허용할 것으로 예상된다.

장기철 과기정통부 인터넷진흥과장은 "국정원이 MLS 세부사항을 올 연말이나 내년 초쯤 발표할 것으로 예상한다"며 "(CSAP 정책방향도) 이에 맞춰 다시 밝힐 기회가 있을 것"이라고 말했다.

업계 관계자는 "CSAP 상·중등급에 대한 가이드라인이 명확하지 않은 상황에서 MLS까지 도입될 경우 시장에 많은 혼란을 가져올 수 있을 듯 하다"며 "과기부와 행안부, 국정원이 CSAP와 MLS 기준을 맞추는 게 우선돼야 할 듯 하다"고 밝혔다.

(사진=AWS)

일단 최고 보안 환경을 요구하는 CSAP 상 등급은 아직까지 빅테크 진출이 현실적으로 어려울 것으로 보인다. 상 등급은 국가안보·외교 등 국가 중대 이익과 관련된 시스템에 적용되며 외부 네트워크 차단과 보안감사 로그 통합관리 등 4개의 강화된 보안 기준이 요구된다. 하지만 빅테크 기업이 클라우드 보안인증제 '중' 등급을 획득해 국내 공공·금융 부문 시장에 진출하게 되면 국내 클라우드 업계가 상당히 반발할 것으로 보인다. 

빅테크 기업들의 움직임도 활발해졌다. AWS는 지난해 한국 클라우드 인프라에 58억8천만 달러(약 7조9천억원)를 투자한다고 발표한 데 이어 올해 7월 공공 부문 대상 퍼블릭 섹터 데이를 개최해 눈길을 끌었다.

관련기사

NHN클라우드·네이버클라우드·KT클라우드 등 토종 클라우드 업체들은 현재 상황을 예의주시하고 있다.

업계 관계자는 "글로벌 업체들이 공공 클라우드 시장에 당장 진입하는 것은 쉽지 않을 것 같다"면서도 "이들이 공공 클라우드 시장에 진출할 경우 토종 업체들이 입을 타격은 상당할 것"이라고 전망했다.