[디지털투데이 황치규 기자]과학기술정보통신부가 공공 부문에 클라우드 서비스를 제공하기 위해 획득해야 하는 클라우드보안인증제도(CSAP) 개편을 추진하는 가운데, 데이터 주권 약화 및 국내 클라우드 시장에서 글로벌 회사들 지배력이 커지는 결과로 이어질 수 있다며 국내 클라우드 회사들 중심으로 반발이 거세다.

반면 현행 CSAP을 둘러싼 과도한 규제 요소는 해소할 필요가 있다는 목소리도 만만치 않다. CSAP 개편은 국정감사를 앞두고 정치권에서도 이슈로 떠올라, 향후 논의가 어떻게 진행될지 주목된다.

현재 제도 아래 CSAP을 획득하려면 클라우드 인프라에 대한 물리적 망분리, CC 인증 등의 요건을 모두 갖춰야 한다. 어떤 시스템에 클라우드를 도입하느냐와 상관 없이 높은 수준 보안 체계를 요구한다.

이는 결과적으로 해외 클라우드 사업자들이 국내 공공 시장 진입을 어렵게 하는 상황으로 이어졌다. 아마존웹서비스(AWS), 마이크로소프트 애저 등 해외 클라우드 업체들도 CSAP 제도에 대한 문제를 제기해왔다. 국제 표준과 논리적 망분리로 현행 CSAP 수준의 보안성을 제공할 수 있다는 것이 글로벌 회사들 입장이다.

CSAP 제도 개편안은 클라우드로 사용될 시스템을 중요도 기준으로 3등급 구분하고, 차등화된 보안 인증 기준을 적용하는 것이 골자다. 이를 통해 공공기관에서 민간 클라우드 도입이 확대될 것으로 과기정통부는 강조하고 있다. 해외 업체 클라우드 플랫폼 기반으로 서비스를 개발한 국내 SaaS 업체들이 공공 시장에 진입할 기회도 확대될 것으로도 기대했다.

등급제 도입에 따라 클라우드 보안인증 평가기준도 보완·완화된다. 민감 정보 등을 다루는 클라우드에 대해서는 보안성을 높이고, 보안 위험이 상대적으로 낮은 공개 데이터를 다루는 클라우드에 대해서는 보안 진입 장벽이 낮아질 것으로 전망된다. 

이에 따라 글로벌 업체들도 보안 진입 장벽이 낮은 공공 시장에는 진출이 가능해질 전망이다.

이와 관련해 국내 업체들은 시장이 글로벌 회사들에 의해 장악될 우려가 있다며 신중론을 강조하고 있지만 일각에선 국제 통상 문제, 국내 SaaS 업체들 부담 완화 측면에서 CSAP 제도 개편이 현실적으로 필요하다는 목소리도 만만치 않다. 지금처럼 해외 업체들에 따르기 힘든 조건을 유지할 경우 다른 나라들에서 한국 기업들에 대한 상응 조치를 불러오는 부작용으로 이어질 수 있다는 시각도 있다.

통제 문제 관점에서 CSAP를 바라봐야 한다는 의견들도 있다. 현재 CSAP 요건들은 통상문제로 번질 가능성이 있다는 지적이다. 한국 정부는 2021년말 싱가포르와 디지털동반자협정(KSDPA)을 체결하면서 전자적 수단을 통한 국경 간 데이터 이동 보장, 컴퓨팅 설비 현지화 요건 금지와 같은 조항을 수용했다.

현재 CSAP 데이터 현지화 요건은 미국 · 멕시코 · 캐나다 무역협정(USMCA), 미-일 디지털무역협정(USJDTA), 디지털경제동반자협정(DEPA) 등 최신 디지털 무역 협정에 의해 채택된 디지털 무역 규범 주류 패러다임에도 부합하지 않는다는 지적이다. 대부분 통상협정에서 국가 안보 우려 관련 정부조달에 대해서는 예외 조항을 인정하고 있다. 하지만  현재 CSAP이 요구하는 조건들이  예외 조항에 부합하지는 따져볼 필요가 있다는 지적도 있다.

곽동철 경북대 경제통상학부 교수는 “국내 CSP들은 CSAP 규제 개혁에 대한 우려를 지속적으로 제기하고 있지만, 이는 국내 CSP들 시장을 국내로 한정하고 글로벌 시장에 대한 접근을 제한하는 결과를 초래할 수 있다” 면서” 장기적 관점에서 CSAP는 국내 CSP들이 해외 데이터 시장에 진출하고자 할 때 유사한 규제에 봉착하는 상황으로  돌아올 수도 있다”고 말했다.

이어 "CSAP 제도 개편은 사용 가능한 서비스 범위와 시장에서 경쟁을 제한해 비용을 증가시키기 때문에 혁신을 저해할 수 있다"고 덧붙였다.

공공과 금융권에서 요구되는 물리적인 망분리는 과도한 규제라는 목소리도 있다. 

양희동 한국경영정보학회 회장(이화여자대학교 교수)은 최근 한국소프트웨어산업협회가 주관한 'SaaS 서밋 2022' 컨퍼런스 기조연설에서 "글로벌 기업에서 제기하는 논리적 망분리는 수용해야 한다. 물리적 망분리는 사용자 기업에게 별로 환영받지 못하고 있다"면서  "CSAP 등급제 전환에 따른 영향을 고민하고 어떻게 다듬어 나갈지 논의해야 한다"고 말했다.