정부가 공공 클라우드 시장 진입 장벽인 '클라우드 보안인증(CSAP)' 제도를 놓고 엇박자를 낸 사이 올해 인증을 자진 반납한 기업이 수십 곳에 이른 것으로 파악됐다. 유무형 손실을 견디지 못해 벌어진 일인데, 피해 구제를 위한 후속 조치가 필요하다는 목소리가 높다.
17일 클라우드 업계 등에 따르면 올해 들어서만 CSAP 인증을 자진 취소하거나 갱신을 포기한 기업은 총 19곳에 달한다. 안랩, KT클라우드 등 내로라하는 보안·클라우드 기업들이 포함됐다.
가장 큰 원인으로는 불안감이 꼽힌다. 국가정보원과 과학기술정보통신부 등은 국가망 보안체계(N2SF) 도입을 예고하면서도 기존 CSAP와 관계나 개편 방향을 확정하지 않았다.
부처 간 협의가 미뤄지는 사이 기업들은 '밑 빠진 독에 물 붓기' 식으로 인증 유지 비용을 감당해야 했다. 인증 갱신 심사에만 수개월의 시간과 수천만원에서 수억원의 컨설팅·심사 비용이 든다.
다만 정부는 내년부터 CSAP 없이 국정원 보안성 검토만으로 공공 시장 진입을 허용하는 방안에 합의한 것으로 알려졌다. 기존 CSAP 획득 기업이 겪던 CSAP 심사와 보안성 검토라는 이중 규제를 없애고, N2SF 체계와 정합성을 맞추겠다는 것이다.
결국 올해 인증을 반납한 19개 기업은 부처 간 엇박자 속에 일종의 희생양이 된 셈이다.
CSAP 인증을 포기한 한 기업 대표는 “내년부터 인증이 없어도 된다는 사실을 미리 알았다면, 무의미한 유지 비용을 쓰지 않고 진작 정리했을 것”이라며 “정부의 '깜깜이 행정' 탓에 판단이 늦어져 애꿎은 기업들만 매몰 비용을 떠안게 됐다”고 지적했다.
클라우드 업계에선 정부가 이들을 위한 실질적인 피해 구제와 연착륙을 위한 후속 조치를 내놓아야 한다는 목소리가 나온다.
대표적으로 CSAP을 자진 반납했던 기업들이 새로운 보안성 검토 체계로 진입할 때 '패스트트랙'을 적용하거나, 기존 심사 데이터를 인정해주는 등의 행정적 배려가 필요하다는 지적이다.
한 업계 관계자는 “정책 전환기에 기업이 피해를 보지 않도록 하는 것은 정부의 책무”라며 “새로운 보안성 검토 기준과 기존 CSAP 항목 간의 상호 인정 범위를 명확히 한 가이드라인을 즉시 배포해 예측 가능성을 높여야 한다”고 말했다.
류태웅 기자 bigheroryu@etnews.com
