[뉴스토마토 이진하 기자] 마이크로소프트(MS)에 이어 구글 클라우드가 국내 공공기관 클라우드 시장에 진출할 수 있는 클라우드 서비스 보안인증제(CSAP) 인증을 획득했습니다. 현재 심사를 받고 있는 아마존웹서비스(AWS)까지 인증을 받게 된다면 글로벌 빅3 클라우드 기업이 토종 클라우드 업계를 제치고 국내 공공시장에 진출하는 것은 시간문제란 평가가 나옵니다.
MS에 이어 구글 클라우드가 올해 초 국내 공공 클라우드 시장에 진출할 수 있는 인증을 받게 됐다. (이미지=연합뉴스)
MS는 지난해 말 빅테크 중 처음으로 CSAP 하 등급을 받았고, 이달 초 구글 클라우드도 연이어 하 등급을 받았습니다. 현재 AWS의 심사만 남은 상태입니다.
CSAP는 과학기술정보통신부가 주관하고 한국인터넷진흥원(KISA)이 평가하는 클라우드 서비스 보안인증제도인데요. 민간 클라우드 기업이 공공기관에 진출하기 위해 필수적으로 받아야 하는 인증입니다. 그동안 CSAP는 국내 기업에 유리하게 작용해 외산 기업의 시장 진입을 막는 역할을 해왔습니다.
그러나 고급암호화표준(AES)를 사용하는 외국계 클라우드 기업의 끊임없는 요청 등으로 단일 등급이었던 CSAP가 지난 2023년부터 등급제로 바뀌었습니다. 상·중·하로 분류되면서 외산 클라우드가 도전할 수 있게 됐는데요. 상·중 등급은 업무자료·민감정보가 포함된 시스템을, 하 등급은 가상공간을 활용해 망을 분리할 수 있는 '논리적 망분리'가 허용됩니다. 더불어 정부가 공공기관 암호모듈 안전성 검증에 국산 인증 알고리즘 외에도 AES를 허용하기로 해 문턱이 한층 더 낮아졌습니다.
마이크로소프트(MS)가 해외 빅테크 중 최초로 우리 정부로부터 클라우드서비스보안인증(CSAP)을 받았다. (사진=뉴시스)
여기에 국가정보원이 지난달 '국가망 신보안체계(N²SF)' 가이드라인을 공개하면서 국내 업계는 혼란스러워하는 분위기인데요. 클라우드와 인공지능(AI) 등 신기술을 적극 활용하기 위해 마련한 N²SF는 데이터의 중요도에 따라 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open)로 구분해 차등적으로 보안 의무를 부과하는 것이 골자입니다. 이를 두고 일각에서는 기존 CSAP 인증과 중첩되는 것 아니냐는 의문을 제기하기도 합니다.
국내 클라우드 업계 관계자는 본지와 통화에서 "그동안 외산 벤더들이 공공사업에 진출하지 못하는 장벽이 있었기 때문에 자생력이 있었다"며 "그러나 외산 벤더들이 국내 시장 진출이 가능해지면서 국내 벤더들의 입지가 줄어들 것으로 보인다. 특히 공공 클라우드는 도입 초기 단계라 외산 벤더들이 기존 사업을 뺏을 수 있기 때문"이라고 말했습니다.
반면 김승주 고려대 정보보호대학원 교수는 "지난 수십 년 동안 국내 업체들을 보호만 해왔다면 이제는 글로벌 시대에 발맞춰 장벽을 풀어줘야 한다"며 "특히 트럼프 2기 정부가 시작되면서 강력한 관세 정책을 부과하고 있기 때문에 선제적인 개방이 필요하고, 이에 따라 기술력 향상도 필요하다"고 강조했습니다.
이어 "국정원이 지난달 발표한 N²SF로 인해 혼란이 가중된다는 이야기가 있지만 이는 사실이 아니다"라며 "오히려 데이터 중요도에 따라 정책을 분류할 수 있는 개념이며, 해외에서 데이터 분류 정책을 사용하고 있다"고 덧붙였습니다.
이진하 기자 jh311@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지