[디지털투데이 강진규 기자] 국가·공공기관에서 도입 가능한 민간 클라우드 컴퓨팅 서비스가 급격히 늘고 있다. 해당 제품은 2016년부터 올해 7월까지 89개에 달해 연말 100개를 돌파할 것으로 예상된다.

10일 보안업계에 따르면 국가정보원 국가사이버안보센터가 국가·공공기관 민간 클라우드 컴퓨팅 서비스 도입 가능 제품‘ 목록을 공시했다.

국가·공공기관에 민간 클라우드 컴퓨팅 서비스를 제공하기 위해서는 클라우드 보안인증(CSAP)를 받아야 한다. CSAP는 클라우드 서비스의 보안, 안정성 등을 확인해 부여된다. 과학기술정보통신부, 한국인터넷진흥원(KISA)이 주관하고 있다. 그동안 개별 기업들이 CSAP를 받은 사실을 공개해왔지만 국정원이 전체 목록을 공개한 것은 이례적이다. 국정원은 국가·공공기관들이 자신들이 쓸 수 있는 클라우드 서비스를 확인할 수 있도록 목록을 만든 것으로 알려졌다.

7월 말 기준으로 현재 국가·공공기관이 이용할 수 있는 클라우드 서비스는 89개(인증이 유효한 제품 기준)다. 

목록에 따르면 2016년에 KT클라우드가 클라우드 인프라(IaaS)로 처음 CSAP 인증을 받았다. 2017년에는 네이버클라우드, 가비아, NHN클라우드 3곳이 인증을 획득했다. 이어 2018년에는 네이버클라우드가 클라우드 소프트웨어(SaaS) 2개 제품의 인증을 받았다.

이후 2019년에 등록된 제품이 8개, 2020년 8개였다. 이후 CSAP 인증 제품이 크게 늘었다. 2021년 21개, 2022년 25개, 올해 7월까지 21개가 인증을 받았다. 

수년 간 CSAP 인증이 크게 늘어난 것은 간편등급이 도입됐기 때문인 것으로 해석된다. 정부는 2019년 7월 기존 표준등급 이외 심사항목을 줄인 간편등급를 도입했다. 표준 등급은 78개 인증 항목을 점검받는데 간편등급은 30여개 항목을 인증받으면 된다. 간편등급을 받은 클라우드 제품은 48개로 전체 인증 제품의 절반 이상을 차지고 있다.

현재 추세라면 올해 국가·공공기관이 이용할 수 있는 클라우드 서비스가 100개를 넘어설 것으로 예상된다.

올해 클라우드 보안인증(CSAP)에 또 한번의 변화가 있었다. 정부는 올해 1월 CSAP 상‧중‧하 등급제를 도입한다고 밝혔다.  

민간 클라우드를 이용하고자 하는 국가‧공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상‧중‧하 등급으로 자체 분류한다. 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류하기로 했다.

클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화해 기존 평가항목 기준으로 상등급 평가기준은 보완‧강화하고, 중등급 평가기준은 현행수준을 유지하는 한편 하등급 평가기준은 합리적으로 완화하기로 했다. 

CSAP는 공공 클라우드 부문에 진입 장벽 역할을 해왔다. 국정원이 공개한 목록에 클라우드 서비스를 모두 국산이다. 해외 유명한 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 등의 제품은 없다.

해외 클라우드 사업자들이 인증을 위한 보안 요구사항 등에 부담을 느꼈기 때문이다. 이에 올해 등급제 시행되면서 해외 클라우드 사업자가 국내 공공 시장에 진출하는 것이 아니냐는 국내 업체들의 우려도 있었다. 향후 해외 클라우드 사업자들이 CSAP 인증을 받고 공공시장에 진출할지 주목된다.