공공기관의 민간 클라우드 활용이 확대되면서 디지털서비스 이용지원시스템에 등록된 외산 인프라서비스(IaaS)도 빠르게 늘고 있다. 정부가 공공 클라우드 보안 체계를 기존 클라우드보안인증(CSAP) 중심에서 국가정보원 단일 검증 체계로 개편하기로 하면서, 외국계 클라우드 기업들의 공공시장 확대 기대와 시장 관망론이 동시에 커지는 분위기다.
14일 디지털서비스 이용지원시스템에 따르면 현재 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 기반 IaaS 서비스가 다수 등록돼 있다. 디지털서비스 이용지원시스템은 국가기관과 공공기관이 민간 클라우드와 인공지능(AI), 서비스형 소프트웨어(SaaS) 등을 신속하게 도입할 수 있도록 지원하는 전문계약 제도다.
현재 AWS 기반 IaaS 서비스는 메가존클라우드와 가비아, 디딤365, 엔디에스 등을 포함해 6개가 등록돼 있다. MS 애저 기반 서비스는 클루커스와 에쓰핀테크놀로지 등 4개, 구글클라우드 기반 서비스는 LG CNS와 베스핀글로벌, 클루커스 등 4개가 등록된 상태다.
공공 클라우드 시장은 그동안 CSAP 인증 '중' 등급을 확보한 네이버클라우드와 NHN클라우드, KT클라우드 등 국내 사업자가 주도해 왔다. 지난해에는 구글클라우드와 MS에 이어 AWS까지 CSAP '하' 등급을 획득하면서 글로벌 빅3 모두 공공시장 진입 기반을 마련했지만, 제한적인 범위에서만 사업에 참여해왔다.
이 같은 흐름 속에서 정부는 지난 4월 공공 클라우드 보안 체계 개편안을 발표했다. 과학기술정보통신부와 국정원은 기존 CSAP 인증과 국정원 보안 검토로 이원화됐던 구조를 국정원 중심 단일 검증 체계로 통합하기로 했다.
정부는 기업들이 겪어온 중복 인증 부담을 줄이고 공공 클라우드 도입을 활성화하겠다는 입장이다. 올해 관련 가이드라인 개정을 거쳐 1년 유예기간을 둔 뒤 2027년 하반기부터 새 체계를 본격 적용할 계획이다.
업계에선 이번 개편이 장기적으로는 외국계 사업자의 공공시장 진입 확대에 긍정적으로 작용할 수 있다고 보고 있다. 미국 무역대표부(USTR)가 지속적으로 한국의 클라우드 규제 완화를 요구해 온 데다, 글로벌 사업자 입장에서도 이중 인증 부담이 줄어들 가능성이 있어서다.
다만 당장 시장이 확대될 것으로 단정하기는 어렵다는 분석도 적지 않다. 국정원이 적용할 세부 검증 기준이 아직 공개되지 않았고 국가망보안체계(N2SF), 행정안전부 정보시스템 등급제 등 다른 정책과의 정합성도 명확하지 않기 때문이다.
특히 공공기관들이 제도 변화에 따른 불확실성을 이유로 클라우드 전환 시점을 늦출 가능성도 제기된다. 현재 추진하는 사업이 향후 변경될 보안 기준과 충돌할 수 있다는 우려도 나온다.
관련기사
- 엔디에스, AWS 공공 클라우드 길 열었다…디지털서비스 공급사 등록2026.06.10
- [AI는 지금] "모델 경쟁 끝났다"…해외 CSP 3사, 'AI 거버넌스'로 승부수2026.04.24
- 공공 클라우드 보안 주도권 흔들리나…CSAP 재편 논의에 업계 '혼란'2025.12.16
- 아마존·구글 이어 MS까지…LG CNS, 생성형 AI 글로벌 인증 '3관왕'2025.07.31
클라우드 업계에선 보안 체계 개편이 오히려 단기적으로는 시장을 위축시킬 수 있다는 지적도 제기된다. 공공기관 특성상 새로운 기준이 확정되기 전까지 의사결정을 보류하는 경향이 강해질 수 있다는 이유에서다. 일각에선 장비 교체 시기가 도래한 기관들이 클라우드 전환 대신 기존 전산실 운영을 연장하는 선택을 할 가능성도 거론된다.
해외 클라우드 업계 관계자는 "보안 인증 체계 개편 방향 자체는 긍정적으로 평가하고 있지만 실제 영향은 향후 공개될 세부 기준에 달려 있다"며 "기업들이 예측 가능한 환경에서 사업을 준비할 수 있도록 검증 기준과 적용 방안이 조속히 마련될 필요가 있다"고 말했다.
