정부의 불확실한 클라우드 보안정책으로 인해 내년 공공 클라우드 시장이 쉽지 않을 것이라는 우려 목소리가 높아진다.
정부가 새롭게 클라우드 보안 정책을 마련하겠다고 발표했지만 정확한 시기, 방식 등이 명쾌하지 않아 상당수 공공 발주가 지연될 가능성이 높기 때문이다.
클라우드 산업이 도태되지 않도록 정부 부처간 협업을 통한 발빠른 정책 확정·공유가 필요하다는 지적이 제기된다.
업계는 우선 클라우드 보안인증(CSAP) 존속 여부에 대한 정부의 조속한 의사결정과 공표가 필요히다고 요구한다.
CSAP는 공공 클라우드 도입을 위해 필수적으로 받아야하는 인증이다. 한 번 획득한다고 끝나지 않는다. 취득 후 매년 사후평가를 받는 등 보안기준을 충족하는지 지속 확인받아야 한다. 클라우드 기업은 인증을 획득하기까지 시간과 비용을 투입한데 이어 이를 유지하기 위한 노력도 지속할 수 밖에 없는 상황이다.
그런데 국가정보원(국정원)이 최근 새로운 보안체계를 발표하면서 CSAP 변화를 예고해 업계 혼란이 온 것이다.
업계 관계자는 “새로운 보안체계라는 큰 틀에서 클라우드도 동떨어질 수 없다는 사실은 주지한다”면서도 “CSAP를 아예 폐지하는 것인지 아니면 새롭게 개편되는 것인지 방향을 알아야 CSAP 취득을 준비하는데 방향을 잡을 수 있는데 구체적 정보가 전혀 공개되지 않아 업계 입장에선 답답한 상황”이라고 말했다.
당장 내년 공공 시장에도 영향이 불가피할 것으로 보인다.
또 다른 업계 관계자는 “국정원이 내년 상반기에 CSAP를 포함한 클라우드 보안인증제 개편 방안을 공유하겠다고 했는데 이 기준이면 내년 6월도 상반기가 될 수 있다”면서 “연초에 확정되더라도 이를 현장에 적용하는 과정에서 몇 달 기간이 걸릴텐데 이 같은 상황에서 먼저 민간 클라우드를 도입하겠다고 나서는 공공은 거의 없을 것”이라고 말했다.
한 CSAP 컨설팅 업체 관계자는 “CSAP 제도가 시행된지 거의 10년이 다 돼가면서 이제 공공 발주자에게 CSAP가 자리잡고 이를 기반으로 한 민간 클라우드 사업이 하나둘 나오는 상황”이라면서 “CSAP가 완전 폐지될 경우 기업뿐만 아니라 발주자 혼란 상황까지 초래할 수 있기 때문에 아무리 큰 틀의 보안체계가 바뀐다 하더라도 (CSAP)폐지보다는 수정·보완으로 가닥잡히지 않겠냐”고 전했다.
클라우드 정책을 담당하는 주요 부처 간 소통과 협업이 필요하다는 지적이 제기된다.
보안 전반 정책은 국정원이 다루지만 CSAP는 클라우드컴퓨팅법에 따라 과학기술정보통신부에서 담당한다. 공공 클라우드 관련 정책·제도는 행정안전부가 총괄하지만 클라우드 산업 전반 육성을 과기정통부가 담당한다.
한 클라우드 서비스 제공사(CSP) 대표는 “내년 공공 클라우드 사업 방향을 잡고 고객사인 공공 발주 담당자와 소통하기 위해선 부처간 통일된 정책과 메시지가 필요하다”면서 “CSAP를 비롯해 국정원에서 준비중인 보안체계에 따른 민간 클라우드 사용 유무 등 공공 클라우드에 필수 정책은 관련 부처가 함께 논의해 빠른 시일내 정책 방향 등을 공유해주길 바란다”고 말했다.
김지선 기자 river@etnews.com