시대 역행하는 공공 보안 규제…국산 보안 기업 설자리 잃어

국내 보안업계가 공공 부문의 경직된 규제로 글로벌 보안 트렌드인 '클라우드 보안' 도입이 가로막혀 있다며 위기감을 토로했다. 규제가 더욱 까다롭다는 금융권도 클라우드 기반 보안 서비스를 빠르게 흡수하고 있는 반면, 공공 시장은 여전히 물리적 장비 구축만을 고집, 국내 보안 산업의 '갈라파고스화'를 부추긴다는 지적이다. 심지어 민간 영역은 외산 제품이 지배하고 있어 국내 보안 기업은 설 자리를 잃고 있는 형국이다.

양봉열 로그프레소 대표는 최근 SNS에서 공공기관의 클라우드 보안 도입 실태를 강하게 비판했다.

양 대표는 "공공기관에 제로 트러스트 전환을 제안하는 과정에서 "클라우드 기반의 보안 액세스 서비스 엣지(SASE)는 클라우드 보안 제품이니 도입할 수 없다. 국가정보원이 이를 허락하지 않는다"는 답을 들었다"면서 "구축형 제품인 제로트러스트 네트워크 액세스(ZTNA) 장비만 도입이 가능하다는 것"이라고 지적했다.

이어 그는 "지금도 민간 영역은 프리즈마 SASE, Z스캐일러, CATO 등 외산 제품으로 도배돼 있다. 국내 벤더사는 어디에 발을 디뎌야 하는가"라고 물으며 "규제가 까다롭다는 금융권도 서비스형 소프트웨어(SaaS)가 개방되기 시작했는데, 서비스형 보안(SECaaS) 도입을 막는 이 심각한 컴플라이언스 문제는 누가 해결해야 하는가"라고 목소리를 높였다.

민간 영역은 이미 글로벌 보안 기업들의 클라우드 기반 SASE 서비스가 국내 대기업 등 민간 시장을 싹쓸하고 있는 가운데 국내 보안 기업 최대 시장인 공공 부문만 유독 빗장을 잠그고 있다는 비판이다. 또 공공기관은 데이터와 서버가 외부에 위치하는 클라우드 환경에 대한 불신과 국가정보원의 기존 보안 검증 틀에 갇혀 기술 도입에 난항을 겪고 있는 실정이다.

정부는 전체 행정기관 정보시스템을 대상으로 2030년까지 전면 클라우드 전환을 목표로 제시한 바 있다. 2021년 당시 행정안전부가 제시한 목표치는 2025년까지 100%였으나, 목표 달성 시기가 늦춰졌다.

미국이 대규모 공공 클라우드 전환에 나서는 가운데 우리나라는 정체돼 있다는 지적이 나온다. (사진=챗GPT 제작)

공공 부문의 클라우드 전환율을 보면 그 이유를 짐작할 수 있다. 행정안전부가 최근 발표한 수치를 기준으로 공공 정보시스템의 클라우드 전환율은 약 42% 수준으로, 절반도 채 전환되지 않았다. 공공 서비스 자체도 클라우드 전환이 늦어지고 있는 상황에 클라우드 보안 제품 역시 도입이 지체되고 있는 것이다.

반면 세계 주요국은 상황이 크게 다르다. 미국, 일본 등은 정부 규제부터 클라우드를 전제로 설계됐으며, 일본은 '클라우드 바이 디폴트'를 정부 원칙으로 삼기도 했다. 이에 글로벌 보안 제품 역시 클라우드로 제공되지 않으면 시장에서 살아남기 힘들어졌다. 클라우드에 맞춰 만들어진 글로벌 보안 제품들은 클라우드가 활성화된 민간 시장을 이미 장악했다.

양 대표는 지디넷코리아와 통화에서 "공공 부문의 보안 체계가 국가 망보안 체계(N2SF)로 전환되고 있다고는 하지만 여전히 시스템 로그나 보안 로그는 S등급으로 보기 때문에 SaaS 도입은 불가하다고 현장에서 이해하고 있다"면서 "이와 별개로 구독 방식으로 SECaaS 예산이 나오지 않는 문제도 있다. 자산 구매 후 유지·보수하는 개념에서 구독 형태로 전환하는 것이 상당히 어렵기 때문"이라고 진단했다.

그는 이어 "공공에서 SECaaS 도입 흐름을 주도하려면 제도적 차원에서 제품 유형별 명확한 보안 통제·요건에 대한 가이드, SaaS 전환 시 인센티브, 예산 부여 등이 뒷받침돼야 한다"고 강조했다.

국가정보원은 N2SF를 통해 데이터 중요도에 따라 C(기밀)·S(민감)·O(공개) 등급별 보안 통제를 차등적으로 적용하는 망분리 규제 완화를 추진하고 있다. 이에 S등급 데이터가 SaaS로 나가려면 적절한 보안 통제 항목을 적용하면 가능하다고 보고 있지만, 현장에서는 불확실성 때문에 SaaS 도입 자체를 꺼려하는 것으로 풀이된다. 보안 통제 항목을 적용했지만 클라우드 환경 때문에 혹시 모를 문제가 생기는 것 자체를 피하는 것이다.