클라우드 ‘파워 게임’ 중심에 놓인 CSAP 주요 이슈

지난해 클라우드 보안인증(Cloud Security Assurance Program, 이하 CSAP)이 IT 업계를 뒤흔들었다. 2022년 6월 정부가 발표한 CSAP 개편안이 트리거였다. CSAP 인증 요건을 일부 완화하겠다는 내용이 담겼기 때문이다.

우리나라의 민간 클라우드 시장은 아마존웹서비스(이하 AWS), 마이크로소프트(이하 MS) 등 글로벌 기업이 독보적인 우위를 차지하고 있다. 그러나 공공 부문은 국내 기업의 독무대였다. 바로 CSAP 때문이다. CSAP는 공공 부문에 클라우드 서비스를 공급하기 위한 기준을 명시하고 있는데, 그중 일부 요건은 글로벌 기업에 진입 장벽으로 작용해왔다.

이러한 상황에서 더 많은 기업, 특히 글로벌 기업이  공공 시장에 참여할 수 있도록 CSAP 인증 요건이 완화된 것이다. 정부 및 공공기관의 클라우드 사업 규모는 2022년 1조 2,320억 원으로 역대 최대를 기록했다. 링 안의 기업은 경쟁자의 진입을 막기 위해, 링 밖의 기업은 새로운 시장에 진입하기 위해 파워 게임을 벌였고 뜨거운 논란 끝에 CSAP는 결국 2023년 1월 개편됐다.

CSAP 개편을 통해 이익을 보는 것은 누구이고, 손해를 보는 것은 누구일까? 공공 클라우드 시장을 둘러싼 파워 게임은 언제까지, 그리고 어디까지 계속될까? 이 글에서 클라우드 업계 종사자라면 알아야 할 CSAP를 쉽게 이해할 수 있도록 주요 이슈를 시간 순으로 정리해봤다.

2015-2016년: 클라우드 발전법, 그리고 CSAP의 시작

2015년 9월 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)이 시행됐다. 주요 내용은 공공 부문 클라우드 도입, 민간기업 클라우드 도입을 위한 정책 추진, 클라우드 이용자 정보보호, 국내 클라우드 산업 경쟁력 강화를 위한 정부 지원 등이다. 무엇보다 정부와 지자체, 공공기관 등이 정보화 사업 예산을 편성할 때 클라우드 도입을 우선적으로 고려해야 하게 된 것이다.

이어 2016년 4월 CSAP가 실시됐다. “국가와 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위한 목적”이었다. CSAP 인증을 받고 공공 부문에 클라우드를 공급하기 위해서는 보안, 서비스 공급망 및 연속성 관리, 데이터 보호 및 암호화, 정보보호 등에 대한 통제 항목을 준수해야 한다. 이 중 물리적 망분리, CC 인증 등에 대한 요건은 사실상 글로벌 기업이 충족하기 어려워, 국내 CSP(Cloud Service Provider, 클라우드 서비스 제공 업체)를 보호하는 일종의 진입 장벽으로 작용하게 된다.

2017년: 거세지는 통상압력

2017년 3월 발간된 미국 무역대표부(USTR)의 무역장벽 연례보고서*는 망분리 등을 요구하는 한국의 클라우드 정보 보호 기준이 “해외 CSP의 시장 접근 기회를 크게 저하시킨다”고 말했다. 무역장벽 연례보고서는 2013년부터 한국의 클라우드 규제를 꾸준히 언급해왔으나, 2017년에는 보다 구체적이고 직접적인 의견을 표했다.

*무역장벽 연례보고서(National Trade Estimate Report on Foreign Trade Barriers): 미국의 수출에 영향을 주는 외국의 무역장벽과 이를 제거하기 위한 조치를 발표하는 연례보고서.

2019-2021년: CSAP 활성화

국내 클라우드 시장 규모는 2019년 3조 3,714억 원에서 2021년 4조 9,250억 원으로 증가하며 27%가 넘는 성장률을 기록했다.

이 기간 CSAP 역시 점점 활성화되는 모습을 나타냈다. 2016년 KT가 획득한 CSAP 1호 인증을 포함해 CSAP 실시 후 3년간 발급된 CSAP 인증은 6개에 불과했다. 그러나 2019년부터 2021년까지 총 44개의 인증이 발급되며 큰 상승세를 기록했다. 정부는 공공 부문에서 클라우드 도입을 원활하게 하겠다는 목표로 ‘디지털서비스 전문계약제도’를 시행하고, 2025년까지 모든 행정 및 공공기관의 정보시스템을 클라우드 기반으로 전환한다는 계획을 발표하는 등 클라우드 확산을 뒷받침했다.

한편 미국 무역장벽 연례보고서는 2021년 처음으로 CSAP를 직접 언급하며 인증 완화에 대한 통상압력이 더욱 심해질 것임을 시사했다.

2022년 상반기: 폭풍의 시작

2022년 미국 무역장벽 연례보고서는 한국의 클라우드 인증에 두 문단을 할애했다. ‘부담스러운(onerous)’ CSAP 인증 요건이 미국 CSP의 한국 공공 시장 진출을 제한하고 있다는 내용이 포함됐다. AWS 역시 미디어 브리핑을 통해 CSAP 개정을 촉구하며 공세에 나선 가운데, 6월 30일 진행된 제2차 디지털 국정과제 연속 현장 간담회에서 정부가 CSAP 개편 계획을 발표했다. CSAP를 시스템  중요도에 따라 ‘상·중·하’ 등급으로 나누는 등급제로 개편하고, ‘하’ 등급에 논리적 망분리를 허용해 인증 요건을 완화하겠다는 것이 골자였다.

2022년 하반기: 논란, 또 논란

정부의 CSAP 개편 계획은 하반기 내내 클라우드 업계를 들끓게 만들었다. 특히 IaaS를 제공하는 국내 CSP들은 강하게 반발했다. 그동안 국내 CSP들이 공공 클라우드 부문 진출을 위해 진행해온 대규모 투자를 무력화하는 역차별적 조치이며, 민간에 이어 공공 부문까지 글로벌 클라우드에 잠식당할 우려가 있다는 것이었다. 클라우드 관리 사업자(MSP, Managed Service Provider)들은 직접적으로 의견을 표현하지는 않았으나 CSP에 비해 긍정적일 수밖에 없다. 이 사업자들은 주로 글로벌 클라우드에 대한 컨설팅, 구축, 운영 등의 서비스를 제공하고 있는 만큼 더 많은 사업 기회가 창출될 것이라고 기대한다.

CSAP 완화가 가시화되자 미국의 압박도 더욱 커졌다. 5월 조 바이든 미국 대통령의 방한 이후 CSAP 개편 움직임이 가속화됐다는 시각도 있었다. 주한미국상공회의소(AMCHAM)는 더욱 폭넓은 인증 완화를 요구하는 건의안을 과학기술정보통신부(이하 과기부)에 보냈다. AWS는 공공 부문 인력 채용을 진행하며 CSAP 완화에 대비하는 모습을 보였다.

이르면 3분기 중으로 계획되었던 CSAP 개편은 난항을 겪으며 지연됐다. 무산되었다는 추측도 있었으나 과기부가 송년 기자간담회에서 CSAP 개편 의지를 드러내며 잠잠해졌다. 결국 12월 29일 과기부가 ‘클라우드컴퓨팅 서비스 보안인증에 관한 고시’ 개정안을 행정예고하며 CSAP의 개편이 확정됐다.

이에 따라 단일 인증이었던 CSAP는 시스템 중요도를 기준으로 ‘상·중·하’의 등급제로 변경됐다. 망분리 요건의 완화로 논리적 망분리가 허용된 ‘하’ 등급은 실증을 거치지 않고 고시 공포 이후 시행되며, ‘상·중’ 등급은 관계부처 공동 실증과 검증을 통해 세부 평가기준을 보완한 후 2023년 내 시행될 예정이다.

2023년: 던져진 주사위, 그 이후는?

국내 클라우드 업계는 ‘하’ 등급은 실증을 거치지 않고 먼저 시행하면서 ‘상·중’ 등급은 실증을 진행한다는 것에 반발하며 모든 등급에 대한 시범과 실증을 진행하고 ‘상·중·하 등급’을 동시 시행할 것을 촉구했다. 반발이 이어지자 과기부는 추가적으로 의견을 수렴하고 평가항목을 보완하기 위해 2023년 1월 18일 마감될 예정이던 개정안의 행정예고를 1월 30일로 연장했고 1월 31일 공포했다. 데이터 분리, 암호화 등 보안 평가 항목이 일부 추가되었으나 클라우드 업계가 요구한 핵심 사안인 전 등급 동시 시행은 끝내 수용되지 않았다.

결국 가장 큰 논란이 되었던 ‘하’ 등급이 우선 시행되며 글로벌 CSP의 공공 부문 진입이 가능해지는 것으로 상황은 일단락됐다. 과기부는 ‘상·중’ 등급 에 대해 실증 및 검증 후 별도 기준을 마련해 연내 시행하는 것을 목표로 하고 있다. 이에 마음이 급한 국내 CSP는 글로벌 CSP의 진입이 불가능한 ‘상·중’ 등급 의 빠른 실증을 요구하고 있다.

2022년 12월 발표된 공정거래위원회의 '클라우드 서비스 분야 실태조사'는 국내 클라우드 시장 현황을 적나라하게 드러내고 있다. 2021년 AWS의 시장점유율은 그나마 줄어들어 62.1%를 기록했다. 15%p가 감소했어도 절반이 훌쩍 넘는다. AWS와 MS의 시장점유율을 합산하면 74%에 육박한다. 국내 CSP 중에서는 네이버가 7%로 3위를 차지해 체면치레를 했다. 시장 잠식에 대한 국내 CSP들의 우려를 이해할 수 있는 수치다.

규모의 경제가 작동하는 클라우드 업계에서 글로벌 CSP에 대항하기란 쉽지 않다. 게다가 CSAP 기준이 완화되며, CSAP가 진입 장벽의 역할을 하고 있던 공공 부문에서도 글로벌 CSP의 진입 길이 열렸다. AWS·MS·세일즈포스닷컴 등이 인증을 준비 중인 것으로 보인다.

아직까지 CSAP 인증을 취득한 글로벌 CSP는 없다. 그러나 CSAP 개편이 시장에 어떤 영향을 줄지는 예단할 수 없다. 미국 상공회의소(USCC)는 ‘하’ 등급의 논리적 망분리 허용을 포함한 CSAP 개정안이 공표된 지 한 달도 지나지 않아 ‘중’ 등급의 논리적 망분리 허용 등을 요구하며 압박 수위를 높였다. 과기부는 등급제를 그대로 추진한다고 밝혔으나 나날이 거세지는 통상압력이 향후 CSAP에 어떤 영향을 미칠지는 미지수다. 하반기에도 CSAP를 둘러싼 상황은 여전히 복잡하고 혼란스러울 것으로 예상된다. '외국계 최초' CSAP 타이틀을 가져갈 글로벌 CSP는 누구일지, ‘상·중’ 등급의 시행이 무사히 완료될 것인지 등이 하반기의 관전 포인트가 될 것이다.

요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.