[팩플] ‘쇄국 빗장’ 풀리는 공공 클라우드…찬반 둘 다 이유는 “디지털 주권”

사진 셔터스톡

글로벌 1위 사업자도, 해외 빅테크도 발을 못 들인 시장이 있다. 정부가 보호 울타리를 쳐놓은 공공 클라우드 시장이다. 그런데 최근 정부가 이 울타리를 낮추면서 일부 국내 클라우드 업체들이 반발하고 있다. 아마존웹서비스(AWS) 등 이미 민간 클라우드를 장악한 외산 업체들이 공공 시장까지 진입하면 디지털 주권이 흔들릴 수 있다며 ‘클라우드 쇄국주의’는 필요하다는 주장이다. 하지만 같은 이유, 즉 ‘디지털 주권’을 이유로 국산 소프트웨어 업체들은 이번 변화를 반긴다.

과학기술정보통신부는 지난달 29일 ‘클라우드 컴퓨팅 서비스 보안인증(CSAP)에 관한 고시’ 개정안을 행정 예고했다. 이달 18일까지 의견을 수렴한다. 고시의 핵심은 민간 클라우드를 이용하려는 정부 부처나 공공기관을 시스템 중요도에 따라 상·중·하로 분류하는 것. 각 기관이 자체 기준에 따라 중요도를 분류한다.

그래픽=차준홍 기자 cha.junhong@joongang.co.kr

각 부처나 기관별 서버에 저장된 데이터를 클라우드로 이사하는 작업이 2021년부터 진행 중이다. 특히 윤석열 정부가 강조하는 ‘디지털 플랫폼 정부’가 실현되려면 클라우드 기반의 공공 데이터 통합·개방이 필수적. 그러나 이 작업을 정부 혼자서 하기는 역부족이다. 민간 클라우드를 도입해야 하는데 그렇다고 국가의 데이터 관리를 아무에게나 맡길 수는 없는 노릇. 민간 클라우드 서비스 제공업체(CSP)의 안전성과 신뢰성을 검증하는 제도가 바로 CSAP다.

고시 발표 후 논란이 생긴 건 ‘하’ 등급이다. 기존 CSAP 기준에서는 공공기관에 서비스형 인프라(IaaS)를 제공하는 CSP 업체들은 공공 클라우드의 서버·네트워크·보안 장비 등을 일반 클라우드와 분리해야 하고(물리적 망 분리), 운영 인력도 따로 둬야 한다. 그러나 정부가 행정 예고한 개정안에선 중요도 ‘하’ 등급인 기관은 CSP에 물리적 망 분리를 필수로 요구하지 않고 ‘논리적 망분리’를 허용하는 내용이 담겼다. 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 정부·공공기관 시스템이 ‘하’ 등급 대상이다.

① 울타리 걷어내기?
그동안 CSAP의 높은 기준은 공공 클라우드 시장에서 국내 클라우드 기업들을 육성하고 보호하는 울타리 역할을 했다. 아마존웹서비스(AWS)나 마이크로소프트(MS) 등은 굳이 비용을 더 들여야 하는 공공 클라우드 시장에 들어오려고 하지 않았기 때문. 과학기술정책연구원 조사에 따르면 25인 사업장이 물리적 망 분리를 할 때 추가로 5억원가량 더 든다. 이미 국내 클라우드 시장의 62.1%를 잡은 AWS나 MS(12%)로선 공공 클라우드 사업의 매력도가 떨어지는 편. 그런데 이번 고시 개정으로 일부 공공 클라우드가 외산 업체들에 빗장을 푸는 효과를 내게 됐다. 익명을 요구한 국산 CSP 업체 관계자는 “국내 업체들은 수년간 시간과 비용을 들여 정부가 요구하는 망 분리 요건을 갖췄는데 외산 기업들은 갑자기 무혈입성하게 되는 것”이라며 “이제 막 성장하는 국산 CSP 업체들의 경쟁력이 약화될 수 있다”고 우려했다.

글로벌 1위 사업자인 AWS는 국내 클라우드 시장에서도 60% 이상의 점유율을 확보하고 있다. 로이터=연합뉴스

②“디지털 주권, 세계적 흐름”

‘클라우드 쇄국주의’는 해외에도 있다. 미국과 중국(알리바바, 텐센트)도 자국 기업의 클라우드를 쓴다. 국민들의 개인 정보부터 국가 주요 문서 보관 시스템을 외산 클라우드에 두는 걸 꺼려서다. 특히 클라우드 환경에서는 물리적 서버가 국외에 있어도 서비스가 가능하다. 이 때문에 ‘디지털 주권’을 지키려면 공공 클라우드는 자국 기업만 참여할 수 있도록 제한해야 한다는 주장에 힘이 실린다. 특히 유럽연합(EU)이 강경하게 디지털 주권을 주장하고 있다. 2018년 개인정보보호법(GDPR)을 발효시켰고 2020년에는 유럽-미국 간 개인정보 공유 및 전송을 허용하는 EU-US 개인정보 보호 쉴드(Privacy Shield) 협정을 무력화했다. 국회 과학기술정보방송통신위원회 소속 박완주 의원은 “클라우드와 소프트웨어 산업 육성을 국가 기술 패권과 디지털 주권 관점에서 접근하는 것이 글로벌한 추세”라고 말했다.

CSAP의 국내 산업 보호 명분을 정부도 충분히 알고 있다는 입장이다. 그러나 보호하고 육성해야 할 대상이 클라우드 업체들만은 아니라고 본다. 국내 중소 규모 서비스형 소프트웨어(SaaS) 업체들은 그동안 CSAP 장벽에 가로막혀 공공 시장에 들어오지 못했다. SaaS는 CSP의 인프라를 바탕으로 작동하는 소프트웨어다. 과기정통부에 따르면 국내 SaaS 기업의 60% 이상이 외산 CSP 업체를 쓰고 있기 때문에 이들은 애초에 공공 시장에 납품할 시도조차 할 수 없었다.

그러다 보니 현재 정부에서 쓸 수 있는 SaaS 제품은 25종이 전부다. 주로 이메일, 건물 출입 관리, 온라인 학습 등인데 이마저도 민간에서 쓰는 소프트웨어에 비하면 수준이 뒤처진다는 평가를 받는다. 과기정통부 관계자는 “국내 SaaS 업체들이 공공에 납품 이력을 쌓을 수 있을 것”이라며 “일단 공공 클라우드 시장의 크기를 키우는 게 중요하다”고 말했다.

그래픽=차준홍 기자 cha.junhong@joongang.co.kr

◦ 엇갈리는 희비: 울상인 CSP와 달리 클라우드 관리 서비스(MSP) 업체와 SaaS 업체들은 “기회가 왔다”는 입장이다. MSP는 CSP가 제공하는 클라우드 자원을 개별 고객에 맞게 적용하고, 안전하게 운영되도록 관리 서비스를 제공한다. 국내에서는 메가존클라우드, 베스핀글로벌 등이 대표적. AWS 등 외산 기업과 협업하고 있는 이들의 기회도 늘어날 것으로 보인다. 네이버클라우드나 KT클라우드 같은 국내 CSP 업체들도 이들 MSP의 고객사이지만 매출 비중에서 차이가 있다.

◦ 국산 SaaS 육성도 디지털 주권: SaaS 업체들은 더 반기는 분위기다. 외산 클라우드 기반으로 구축한 SaaS를 공공에 납품할 기회가 생기기 때문이다. 공공 시장 납품 이력이 쌓여야 외산 SaaS 기업들과 경쟁에서 제대로 겨룰 수 있다고 본다. 과기정통부가 구성한 ‘공공 클라우드 민간 협의회’에 참여 중인 박영욱 넥스트비즈 대표는 “기존의 CSAP 규정은 '공공 시장에 납품하려면 아래아한글 소프트웨어를 MS 윈도우 아닌 ‘국산 운영체제(OS)’용 버전을 따로 만들라’고 요구하는 꼴”이라며 “국산 SaaS가 공공 레퍼런스를 쌓지 못해 외산에 대체되면 디지털 주권도 위협받을 수 있다”고 말했다.

정부의 클라우드 전환 기조 이후 정부의 정보통신기술(IT) 지출 패턴도 변하는 중. 시스템 구축뿐 아니라 SaaS처럼 구독형의 디지털 서비스에 대한 지출이 빠르게 늘고 있다. 2020년 10월 클라우드와 관련 서비스를 신속하게 도입하기 위한 디지털 서비스 전문계약제도가 도입된 이후 이듬해 1000억원, 지난해에는 2000억원으로 2배가 늘었다.