공공 클라우드 시장 진입 요건으로 작용해 온 보안인증 체계가 흔들리면서 업계 전반에 긴장감이 확산되고 있다. 과학기술정보통신부와 국가정보원이 클라우드 보안인증(CSAP)과 국정원 보안적합성 절차 간 관계 재정립을 논의하는 것으로 알려지며 제도 변화 방향을 둘러싼 해석과 이해관계가 엇갈리고 있다.
16일 정부와 클라우드 업계에 따르면 과기정통부와 국정원은 공공 클라우드 서비스 제공 요건에서 CSAP 의무를 조정하는 방안을 두고 협의를 이어가는 것으로 전해졌다.
국정원의 보안적합성 절차와 CSAP 간 중복 문제를 정리하자는 취지로 논의가 진행 중이지만, 구체적인 제도 설계나 적용 시점은 확정되지 않은 상태다.
현재 공공 클라우드 시장에 진입하려는 기업은 과기정통부 주관 CSAP 인증을 획득한 뒤에도 국정원의 별도 보안 절차를 거쳐야 한다. 업계에서는 동일·유사 항목에 대한 이중 검증으로 시간과 비용 부담이 과도하다는 지적이 지속돼 왔다. 다만 제도 개편 논의가 규제 완화나 시장 개방으로 단순 해석되는 것에 대해선 신중론도 적지 않다.
CSAP·국정원 보안 절차 조정 논의…"확정된 건 없다"
CSAP 조정 논의는 공공 클라우드 진입 과정에서 제기돼 온 이중 규제 문제를 해소하려는 문제의식에서 출발했다. 과기정통부와 국정원은 CSAP와 국정원 보안 절차 간 역할을 정리하는 방향을 놓고 의견을 교환하고 있는 것으로 전해졌다.
과기정통부 관계자는 "CSAP와 국정원 보안 절차 간 중복 문제를 어떻게 정리할지 논의는 진행 중"이라며 "다만 제도 개편 여부나 구체적인 방식이 확정된 단계는 아니다"라고 밝혔다. 관련 고시 개정 여부 역시 향후 협의 결과에 따라 결정될 사안이라는 설명이다.
업계에서는 논의의 방향이 명확히 공유되지 않으면서 혼선이 커지고 있다고 지적한다. 일각에서는 CSAP 없이 국정원 절차만으로 공공 진입이 가능해지는 것 아니냐는 해석이 나오지만, 정부 측은 공식적으로 확정된 안은 없다는 입장을 유지하고 있다.
특히 전문가들은 공공 클라우드 부문에서 국정원 보안 절차를 하나의 개념으로 단순화해 해석하는 것은 부적절하다고 지적한다. 국정원의 '보안적합성 검증'과 '보안성 검토'는 적용 대상과 목적이 다른 별개의 절차로, 이를 CSAP와 동일선상에서 혼용할 경우 제도 취지가 왜곡될 수 있다는 설명이다.
한 클라우드 보안 분야 전문가는 "보안적합성 검증과 보안성 검토는 개념적으로 다르며 이를 마치 하나의 인증처럼 해석해 CSAP를 조정해선 안된다"며 "CSAP를 대체하는 구조로 제도가 개편된다면 기존 인증을 취득한 기업들에 대한 역차별 논란이 불가피하다"고 설명했다.
국내 CSP·SaaS 업계 엇갈린 시선…글로벌 기업 문턱 논란도
양 부처의 제도 논의가 알려지자 업계 내 이해관계도 뚜렷하게 갈리고 있다. 국내 클라우드 서비스 기업(CSP)들은 수년간 막대한 비용을 투입해 CSAP 요건에 맞춘 인프라를 구축해 온 만큼, 제도 변화가 자칫 형평성 문제로 이어질 수 있다는 우려를 내놓고 있다.
한 클라우드 업계 관계자는 "CSAP가 사실상 공공시장 진입의 허들 역할을 해왔는데 제도 구조가 바뀔 경우 기존에 투자한 기업들은 억울할 수밖에 없다"며 "기업들과 충분한 논의 없이 방향이 정해지는 것은 바람직하지 않다"고 말했다.
특히 글로벌 클라우드 사업자의 공공시장 진입 문턱이 낮아질 가능성에 대한 경계도 나온다. CSAP 조정 논의가 과기정통부가 아닌 국정원 중심의 절차로 이동할 경우 기존 CSAP 취득 여부와 별개로 외국계 사업자가 국정원의 보안 인증만으로 공공부문 접근성이 높아질 수 있다는 우려에서다.
반면 서비스형 소프트웨어(SaaS) 업계 일각에서는 공공시장 진입 기회가 확대될 수 있다는 기대도 감지된다. 다수 SaaS 기업이 외산 클라우드 인프라 위에서 서비스를 운영하는 만큼, 제도 장벽이 완화되면 공공 레퍼런스 확보와 사업 확장에 도움이 될 수 있다는 판단이다. 또 CSAP 인증과 사후 평가에 대한 부담을 덜 수도 있다는 시각도 존재한다.
다만 업계 전반에서는 제도 변화 효과를 과대평가해서는 안 된다는 목소리가 우세하다. 이미 지속적으로 CSAP 중·상등급 실증이 지연돼 온 상황에서 인증 체계 조정만으로 공공 클라우드 도입이 단기간에 활성화되기는 어렵다는 지적이다.
더욱이 새로운 보안 체계가 본격화되기 전까지 사업자는 물론 클라우드 도입 수요가 있는 공공기관 역시 혼란을 빚을 수 밖에 없을 것으로 전망된다.
관련기사
- 아콘소프트, NHN클라우드 기반 CSAP 인증 획득…멀티 클라우드 안정성 입증2025.08.26
- 정부 클라우드 센터는 포화, 참여는 제한…민간 협력 '지역 분산' 필요성 제기2025.07.22
- SaaS 기업은 기회, CSP는 위기…외산 클라우드 두고 '엇갈린 시선'2025.07.18
- 주무 부처 클라우드 정책 '엇박자'…"퍼블릭 클라우드 생태계 키워야"2025.05.12
클라우드 업계 관계자는 "CSAP와 국정원 보안 절차를 어떻게 조정하느냐는 단순한 인증 문제가 아니라 공공 클라우드 정책 방향 전반과 맞닿아 있다"며 "최근 국가정보자원관리원 화재 이후 공공 디지털 인프라의 민간 클라우드 이용 활성화가 논의되는 시점에서 제동이 걸릴 것 같아 우려된다"고 말했다.
이어 "정부가 충분한 의견 수렴과 명확한 공공 클라우드 보안 기준을 제시해 시장 혼란을 최소화해야 한다"고 강조했다.
