[컴퓨터월드] 지난해 개편된 클라우드 보안인증(CSAP) 등급제가 추진된 지 1년이 흘렀지만, 아직까지도 상·중·하 모든 등급의 실증이 마무리되지 않고 있다. 과학기술정보통신부를 비롯한 행정안전부와 국가정보원은 국내 업계가 주목하는 중·상 등급 실증보다 해외 클라우드 서비스 사업자(CSP)들에게 개방된 하 등급 인증부터 우선 시행했으나, 지난 한 해 동안 끝을 맺지 못했다. 공공 클라우드 시장 개화가 ‘지지부진’한 형국에 국내 사업자들은 답답함을 토로하고 있다.

실증 지연과 함께 얼어붙은 공공시장

해외 CSP의 공공시장 입성 우려에도 강행된 CSAP 등급제는 지난해 1월 본격 시행됐다. 당시 과기정통부가 발표한 ‘클라우드컴퓨팅 서비스 보안인증에 관한 고시 개정안’에 따르면, 정부는 하 등급 시스템 인증은 고시 공포 이후 즉시 시행하고, 상·중 등급은 디지털플랫폼정부위원회와 관계부처 공동 실증·검증을 통해 세부 평가기준을 보안한 뒤 2023년 내 시행할 예정이었다.

그러나 당초 공시된 내용은 지켜지지 않았다. 원래 계획대로라면 지난해 중으로 하 등급부터 중·상 등급이 실증이 모두 끝나고 공공시장이 열렸어야 했다. 그런 와중 행안부에서는 디플정 구현 기조에 따라, 기존 공공 클라우드 전환 사업 방향을 공공기관별 각자 주도의 클라우드 네이티브로 바꾸면서 정보시스템에 대해 CSAP 이외의 추가적인 강화된 보안 요건을 필요로 하는 조항까지 제정했다.

진척되지 않고 제자리를 걷는 CSAP 실증사업과 함께 행안부에 의한 보안 요구에 공공시장 진입을 꿈꿔온 국내 CSP와 서비스형 소프트웨어(SaaS) 업체들은 지속적으로 우려의 목소리를 냈다. 특히 이러한 일련의 과정들로 클라우드 전환 사업을 발주하는 공공기관들이 명확한 지침이 나올 때까지 사업을 미뤄 수요가 줄어들지나 않을지 걱정하고 있다.

업계 한 관계자는 “CSAP 실증이 완료되지 않는 상황은 국내 사업자들을 답답하게 할 뿐 아니라, 공공기관들의 클라우드 전환 의지도 꺽는 요인이다. CSAP 실증이 완료돼야 각 기관들이 각자 상·중·하 중 어느 등급에 해당하는지 파악할 수 있다”면서 “최근 클라우드 전환에 드는 비용과 운영 관리의 부담 때문에 클라우드 도입 후 다시 온프레미스 시스템으로 원상복귀하는 기관 사례들이 나오고 있어, 이대로는 공공시장에서의 수요를 기대하기 어려울 것처럼 보여진다”고 토로했다.

공공시장이 쉽사리 열리지 않을 것 같다고 느껴 CSAP 인증 취득을 포기하거나, 이전에 획득한 CSAP 인증을 유지하지 않고 취소하는 기업들도 늘어나고 있다. CSAP 인증 취득부터 유지까지 드는 비용 부담이 만만치 않은 상황에서 클라우드 기업 특히 중소 SaaS 기업들은 불확실한 시장을 두고 투자를 해야 할 이유가 없다는 입장이다. 실제 CSAP 인증을 받는데 크게는 억 단위까지 들기도 하는 것으로 전해진다.

업계는 이처럼 민간·공공 모두가 피해를 보는 상황을 해결하려면, CSAP 실증사업을 주관하는 과기정통부 및 부처들이 중·상 등급 실증을 지금 당장이라도 조속히 마무리해야 한다고 목소리를 내고 있다.

중·상 등급 실증 완료 수순?…“구체적인 가이드라인 필요”

지난해에 실증사업이 끝나지 않아 결과 발표 없이 해를 넘긴 상황에서 과기정통부가 올 초 혹은 1분기 내로 중·상 등급 실증을 완료할 것으로 전해진다.

앞서 과기정통부 CSAP 등급제 개편 고시 개정안에서는 시스템의 중요도를 기준으로 상, 중, 하 등급을 구분해 분류했다. 민간 클라우드를 이용하고자 하는 국가·공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하 등급으로 자체 분류해야 한다. 먼저 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이다. 중 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 상 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류됐다. 과기정통부는 클라우드 시장 신규 창출과 공공 서비스의 품질 제고를 위해 행정 내부업무 운영 시스템은 시스템 중요도에 따라 중 등급으로도 분류한다는 방침이다.

이 중 국내 사업자들은 주로 중 등급 시스템 진입을 목표로 하고 있다. 외국계 CSP들이 인증 절차 중인 하 등급은 논리적 망분리를 허용하되 데이터가 저장되는 물리적 위치(리전)는 국내에 한정되는 요건이고, 상 등급에 속하는 정보시스템은 사실상 행안부 산하 국가정보자원관리원의 통합전산센터와 같은 특화 데이터센터에서 운영될 것으로 전망되기 때문이다. 또한 중 등급에 속하는 공공기관 시스템의 수와 그에 따른 전환 수요가 많을 것으로 예상되는 것도 국내 사업자들은 중 등급 시스템에 관심을 보이는 이유이다.

따라서 업계에 알려진 것과 같이 중·상 등급 실증사업이 현재 완료 수순을 밟고 있다면 국내 사업자들이 공공사업에 본격적으로 참여할 수 있는 기회가 주어진다는 의미라 할 수 있다.

그러나 아직까지는 실증사업의 완료 시점이나 기관별 구체적인 등급과 관련된 가이드라인은 마련되지 않은 것으로 보인다. 이에 대해 업계 한 실무자는 “과기정통부에서는 중·상 등급 실증이 이미 끝났다고 하지만, 아직 구체적인 내용은 공개되거나 전달되지 않았다. 정말로 실증이 마무리됐다면 이에 대한 명확한 답과 가이드라인을 제시해야 한다”고 말했다.

이 관계자는 이어 “정부는 이번 CSAP 중·상 등급 실증 결과를 토대로 민간기업들에게 이전과는 달리 공공시장을 상당 부분 개방하려는 움직임도 보인다”라면서 “지난 행정전산망 마비 사태 이후 앞으로 비슷한 유형의 사건이 생겼을 때의 책임소재를 민간기업들에게 전가하기 위함이 아닌가라는 의구심이 든다”고 피력했다.

업계에 알려진 것과 같이 올 1분기 중 CSAP 실증사업이 완료된다면 정체돼 온 공공 클라우드 산업이 드디어 기지개를 켜며 활성화될 것으로 기대된다. 그러나 사업 발주자인 공공기관들의 클라우드 전환을 촉구하고 진정한 디플정 구현을 이루고자 한다면, 정부는 민간과 함께 기관의 애로사항에도 귀 기울이고 적극 나서 주어진 과제들을 해결해야 할 것이다.