글. 이태우(Searce Korea 클라우드 컨설팅 전무)

증권업계가 변화의 바람을 맞이하고 있다. 최근 클라우드 업계에 가장 큰 이슈는 클라우드 보안인증제(CSAP)를 개편해 클라우드 보안인증 등급제를 도입한다는 내용이다. 정부가 CSAP 완화를 추진하면서 관련 부처와 클라우드 업계에서 각기 다른 목소리가 나오고 있다. CSAP 도입 배경과 전망을 살펴본다.

|  CSAP의 개념

CSAP(Cloud Security Assurance Program)는 2016년부터 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제23조2항에 따라 국가가 지정한 인증기관(KISA, 한국인터넷진흥원)의 이용자 정보보호 기준 준수 여부를 평가 인증하는 제도다. 클라우드 사업자가 정부, 공기업, 교육기관 등의 클라우드 서비스 시장에 진입하기 위해서는 반드시 CSAP 인증을 획득해야 한다. 처음에 서비스형 인프라(IaaS)용 CSAP 인증이 제정되었고 2018년 서비스형 소프트웨어(SaaS) 인증이 추가되었다. SaaS 인증은 표준과 간편 두 가지 모델이 있다. 2020년 서비스형 데스크톱(DaaS) 인증 제도가 시행되었다.

CSAP 인증을 받기 위해서는 필수적으로 물리적 망분리와 물리적 위치, 그리고 보안 인증인 CC인증 등의 기준을 충족해야 한다. 물리적 분리란 민간 기업이 쓰는 클라우드 데이터 센터와 공공이 쓰는 클라우드 데이터 센터를 하드웨어(서버·스토리지·네트워크 등) 단계부터 완벽히 분리하는 행위를 말한다. 반면 논리적 분리란 민간과 공공이 하드웨어는 같이 쓰되 소프트웨어(가상머신·운영체제·컨테이너) 단계에서 분리함으로써 서로 데이터가 섞이는 것을 막는 기술이다. 물리적 위치는 데이터가 저장된 데이터 센터가 반드시 국내여만 한다는 것이며, 기관별로 스토리지에 저장되는 위치를 분리해야 한다는 것이다. CC인증은 공통평가기준 인증으로 국가정보원에서 주관하는 인증제도를 말한다. 현재 한시적으로 2024년 말까지 KISA의 CSAP인증이 있으면 CC인증을 따로 받지 않아도 클라우드 시장 진입이 가능하다.

|  CSAP 개편 내용

현재 행정 예고된 고시 개정안에 따르면, 그 동안 민간 클라우드 이용이 제한됐던 공공 영역을 개방해 클라우드 시장 전반을 활성화하고자 현재의 단일 보안인증 체계를 상·중·하 등급으로 세분화한다는 것이다.

‘상’ 등급은 민감 정보를 포함하거나 행정 내부 업무 운영 시스템, ‘중’ 등급은 비공개 업무 자료를 포함 또는 운영하는 시스템, ‘하’ 등급은 개인 정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템으로 분류한다. 특히, ‘하’ 등급 시스템에 대해서는 국내 SaaS 사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간·공공 영역 간 ‘물리적 분리’ 요건을 완화하여 ‘논리적 분리’를 허용한다. 다만, 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가 항목은 추가한다.

|  CSAP 개편 배경

정부는 ‘하’ 등급의 보안 규제를 완화해 공공 클라우드 시장 혁신을 추진한다는 계획이다. 현재의 CSAP 인증이 너무 까다로워서 국내 SaaS 사업자의 공공 시장 진입이 불가능했다. 또한 현행 CSAP는 민간 영역으로부터의 물리적 분리, 정보 보호 제품에 대한 공통평가기준(CC) 인증 등 국제 표준 대비 지나치게 엄격한 수준의 보안 조치를 요구하고 있다.

특히 물리적 분리 조건은 클라우드 보다 온프레미스 데이터 센터에 더 가깝다는 지적을 받아 왔다. 문제는 이러한 조건에 맞추어 설계된 SaaS 제품이 민간 시장이나 세계 시장에 통용되기 어렵다는 점이다. 중소 SaaS 업체는 글로벌 사업 기회를 확보하기 위해 경쟁력 있는 플랫폼과 협업해야 하는데, CSAP 기준에 부합하는 제품으로는 글로벌 플랫폼과 호환할 수 없기 때문이다.

현재 한국에는 약 1만5,000개에 달하는 소프트웨어 개발 업체가 있지만, 이 중 CSAP를 취득한 곳은 30여 개에 불과한 것이 현행 CSAP의 한계를 보여준다. 이러한 이유로 중소 SaaS 기업은 이미 오래 전부터 CSAP 완화를 주장해 왔다.

SaaS 기업이 필요로 하는 CSAP 완화는 IaaS 기업과 차이가 있다. SaaS의 핵심은 ‘멀티테넌시(Multi-Tenancy)’로 하나의 소프트웨어 인스턴스로 여러 사용자 그룹에 서비스를 제공할 수 있다. SaaS의 이러한 특성은 자원을 공유함으로써 비용을 절감하고 빠른 서비스 도입과 업그레이드를 가능하게 한다. 그러나 기존 CSAP 규정은 이러한 SaaS의 특성을 충분히 고려하지 않고 있었다.

CSAP를 획득하기 위해 SaaS 기업은 한 곳에서 저장·관리 가능한 테이블을 이용자에 따라 모두 분리해야 한다. 한 서비스에 100개의 테이블에 있을 때 원칙적인 SaaS 방식에서는 고객이 증기해도 테이블 수가 동일하지만, CSAP 항목에 따라 테이블 분리를 할 경우 테이블 수가 기하급수적으로 증가한다. 고객마다 테이블 100개를 따로 운영해야 하기 때문이다. 결국 이로 인해 서비스의 수정·보완이 어려워지고, 운영 비용이 큰 폭으로 늘어나는 비효율이 발생한다.

올해 1월 아산나눔재단, 아마존웹서비스(AWS), 구글 스타트업 캠퍼스, 스타트업 얼라이언스, 코리아스타트업이 공동으로 발표한 ‘2022 스타트업 코리아!’ 보고서를 보면, 전 세계 100대 유니콘 기업 중 국내에서 사업 가능한 기업은 45개사에 불과하다. 나머지 43개사는 제한적으로 사업이 가능하고, 승차공유·원격의료·공유숙박 등 분야의 12개사는 한국에서의 사업이 아예 불가한 것으로 나타났다. 글로벌 기업과 손잡고 해외 시장 개척을 꿈꾸는 국내 SaaS 사업자가 이번 CSAP 등급제 개편을 반기는 이유다.

|  CSAP 개편을 둘러싼 논쟁

우선 CSAP 개편에 대한 반대는 주로 국내 CSP에서 나오고 있다. CSAP 개편을 통한 공공 클라우드 시장 개방은 점진적으로 공공 시장이 외국에 잠식되고 장기적으로 데이터 주권을 상실할 가능성이 있다는 우려다. 또한 공공 데이터에 대한 정보 보호 문제는 개인 정보 유출 및 국가 자산 침해 위험 등으로 이어질 수 있다는 의견이다.

반면, CSAP 개편을 찬성하는 의견은 기존의 CSAP 제도가 글로벌 기준에 부합하지 않아서 글로벌 경쟁력을 떨어뜨리고 다른 FTA 체결 국가들과의 무역 협정에서 문제의 소지가 될 가능성이 높다는 우려다. 이와 관련해서 한국규제학회는 지난해 12월 CSAP를 중국 사이버 안보법과 유사한 규제라고 규정하면서, 국내에서만 통용되는 CSAP가 세계 시장에서 국내 클라우드 기업 및 기술이 고립되는 상황을 초래하도록 만드는 규제 장벽이 될 수 있다고 지적한 바 있다. 아울러 CSAP의 개편으로 토종 SaaS 기업들이 글로벌 시장에 진출할 수 있는 사례를 많이 쌓을 수 있을 것으로 기대하고 있다. 또한, 개편된 CSAP 제도는 국내 클라우드 기업의 CSAP 기준 취득을 위한 비용과 시간을 절감시켜, 중소기업들의 업무 효율성을 높일 수 있다는 점을 들고 있다.

| 클라우드 시장의 경쟁 활성화

최근 클라우드 산업은 SaaS 중심으로 변화하고 있고, 데이터는 궁극적으로 SaaS 업체에 축적되어 가공되고 가치를 창출하는 ‘데이터 중심’이 되고 있다. 현 정부는 출범 초기에 제시한 국정 과제에서 ‘모든 데이터가 연결되는 디지털플랫폼 정부를 구현하겠다’고 발표했다. 이를 위해서는 정부와 공공기관들이 민간 클라우드가 제공하는 SaaS를 적극적으로 활용해서 디지털 혁신과 동시에 SaaS 생태계 발전을 일궈내야  한다.

데이터 주권은 중요하다. 하지만 한국 클라우드 시장의 글로벌 표준 적용은 장기적으로 국내 클라우드 시장이 경쟁력을 강화하는 역할을 할 것이다. 서버 가상화 등 논리적 망분리가 적은 비용과 안정된 서비스 제공의 관점에서 글로벌 대세가 되고 있다. 클라우드의 특성과 이점을 최대한 활용하려면 물리적 망분리는 한계가 있다. ‘디지털플랫폼 정부 추진 방향’ 보고서에 따르면, ‘활용성과 보안성’을 동시에 제고하는 신 보안 체계 구축으로 ‘망분리 및 클라우드 보안 인증 개선’이 포함되어 있다. 보안 관점에서 글로벌 기업들은 국제 표준과 논리적 망분리로 CSAP에서 요구하는 수준의 보안성을 제공할 수 있다는 입장을 보이고 있다. 국가 안보와 직접적으로 관련 없는 분야에 CSAP를 적용하기 보다는 데이터 현지화를 지양하는 방식으로 국제 표준 인증을 수용하는 방안이 제시되고 있다. 팬데믹으로 인한 국가를 넘어서는 글로벌 동조화 현상과 국경을 넘어서는 사이버 보안 이슈는 전세계적으로 공공 데이터의 안전한 보호에 대한 중요성을 더욱 강조하고 있다. 만약의 사태에 대비해 국내에서도 데이터 센터 간 또는 국경 간 데이터 이전을 지원하는 하이퍼스케일 퍼블릭 클라우드 서비스 도입을 고려할 필요가 있다.

| 클라우드 시장 경쟁 전망

그동안 AWS, 마이크로소프트, 구글 클라우드 등 해외 클라우드 기업들은 물리적 인프라를 하지 않고 논리적 인프라 분리만 함으로써 CSAP 인증을 받지 못했다. 이로 인해 국내 공공 클라우드 시장 진입이 불가능했는데, CSAP 등급제가 도입되면 ‘하’ 등급의 공공 분야에 대한 글로벌 클라우드 기업의 시장 공략이 예상된다. 우선 ‘하’ 등급에 대한 구체적 지침과 내용을 파악하고 단계적인 진출 전략을 세울 것으로 보인다.

KT클라우드, 네이버클라우드, 카카오엔터프라이즈, NHN클라우드 등 국내의 대형 클라우드 전문사는 정부의 규제 완화에 크게 긴장하고 있다. 일각에서는 기존 클라우드 보안 인증 요건에 따라, 물리적 망분리를 완료하고 투자한 국내 기업이 역차별을 받는 상황이라는 비판도 제기되고 있다. 그러나 그 동안 축적된 공공기관에 대한 클라우드 서비스 역량을 활용해, 이번 CSAP 개편을 오히려 클라우드 기술 및 서비스 경쟁력을 강화하는 기회로 삼는다면 글로벌 클라우드 기업과의 경쟁에서 밀리지 않을 것이다.

특히 반면, 국내 MSP(Managed Service Provider)와 대형 SI 등은 공공기관에 제안할 상품들이 글로벌 클라우드 기업까지 포함할 수 있게 되어 다양한 포트폴리오의 서비스 제안이 가능해지고 공공 사업 참여가 더욱 활발해질 것으로 예상된다. 또한, 클라우드 보안 인증 개정으로 인프라 투자 규모가 작은 중소 SaaS 기업과 외산 서비스형 인프라(IaaS)를 기반으로 SaaS를 제공하는 국내 사업자들에게 공공시장 진출 기회가 생길 것으로 보인다.

하지만 지난해 말 공정거래위원회가 조사한 국내 클라우드 시장 실태 조사에 따르면 국내 기업이 멀티클라우드를 도입하지 않는 이유로 상호운용성이 보장되지 않은 점을 꼽았다. 또한 기존 인프라에 대량으로 수집한 데이터를 원활하게 경쟁사로 이전하는데 드는 비용과 시간 등도 제약이 크고, 고객 유치를 위한 업계 관행이 있는 것으로도 나타났다. 이에 공정위는 비클라우드와 클라우드 서비스를 결합해 판매하면서 자사우대 등 경쟁제한 행위가 있는지, 클라우드사가 고객에게 불리한 거래조건을 설정하는지 등에 대해서도 주의 깊게 살펴볼 필요가 있다고 지적했다. 공정위는 이번 실태조사 분석결과를 토대로 클라우드 시장 경쟁력 제고를 위한 제도개선 등 효과적인 방안을 강구해 나갈 방침이다.

| 공공 클라우드 개방을 통한 디지털플랫폼 정부 구현

클라우드 산업은 4차 산업혁명의 핵심이다. 클라우드는 그 자체에 목적이 있는 것이 아니라, 이를 통해 데이터, 인공지능, 블록체인 등 기술을 연결하고 활용할 수 있는 기반 기술이다. 클라우드 서비스의 가치는 지역·국경을 넘어서는 연결성, 효율성이다. 공공 영역이 고립되어 있지 않고 민간 영역과 활발하게 교류함으로써 공공 서비스 혁신을 이루는 것이 현 정부가 추구하는 데이터 기반 디지털플랫폼 정부의 구현을 위해 매우 중요하다.

규제를 통한 국내 클라우드 사업자의 보호가 클라우드 시장의 국제 경쟁력을 근본적으로 높이는 길이 될 수 없다. 글로벌 업체에 시장을 열어 주고 당당히 데이터 주권을 요구해야 한다. 국내 사업자, 글로벌 사업자 모두에게 ‘중요데이터 보안’, ‘개인정보 보호’ 등은 엄격히 적용되어야 하는 기준이다. 사고 발생 시 징벌적 손해배상제로 강력히 책임을 물어야 한다. 그 동안의 클라우드 보안 규정은 국제 기준에도 벗어나면서, 국내 대형 클라우드 기업들 만을 위한 보호 장치였다. CSAP 개편은 중소 SaaS 기업의 공공 부문 사업 진출만이 아니라 글로벌 표준을 통해 글로벌 기업과 손잡고 해외 진출 기회를 높이는데 기여할 것이다. 또한 이러한 개방 정책은 한국의 시장 투명성을 국제 사회에 각인 시켜 국내 기업의 해외 진출 시 봉착하게 되는 유사한 규제 상황에 대해 보다 공정한 무역환경을 요구할 수 있는 강력한 논리로 작용할 것이다.

CSAP 개편은 국가 경제 전체 측면의 이익과 공공 클라우드 시장의 성장이라는 측면에서 그 의미가 있다. 특정 산업과 기업 보호를 위해 클라우드 시장의 글로벌 경쟁력을 약화시킬 수은 없다. CSAP 개편으로 글로벌 사업자가 공공 시장에 참여하면 공공 기관의 선택 폭이 넓어지고 더 질 높은 서비스를 제공할 수 있다. 이를 토대로 디지털 플랫폼 정부를 성공적으로 구축하는 선순환 구조가 만들어지게 된다.

* 저작권법에 의하여 해당 콘텐츠는 코스콤에 저작권이 있습니다.
* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.