"외국계 기업에만 유리"…클라우드 보안인증제 개편 후폭풍

민주당 과방위 간사 조승래 의원, 학계 업계 간담회 개최

등급제로 세분화…'최하위 등급'에 논리적 망분리 허용

해외 기업에 공공 클라우드 시장 문만 열어주는 셈

국내 기업들 "선투자 했는데 허탈…해외 기업만 이득 볼 것"

다음 달 국감서도 다뤄질 듯

[이데일리 김국배 기자] 정부가 공공 부문 클라우드 보안 인증제에 ‘등급제’를 적용하려는 움직임을 보이자, 네이버·KT·NHN·카카오 등 국내 클라우드 기업들이 난색을 표한다.

정부는 ‘규제 개선’이라는 점을 내세우나 업계와 학계에선 “누구를 위한 개선이냐” “외국계 클라우드 기업들만 이득을 보게 될 것”이라는 말들이 나온다.

28일 업계에 따르면 지난달 과학기술정보통신부가 한덕수 국무총리 주제로 열린 제5회 국정현안점검회의에서 클라우드 보안 규제 개선안을 발표한 이후 우려 목소리가 커지고 있다. 논란이 커지면서 다음 달 4일 시작하는 과학기술정보통신부 국정감사에서도 다뤄질 전망이다.

[이데일리 이미나 기자]

“해외 기업만 이득 주는 꼴”

알려진 개선 방향은 이렇다. 클라우드 시스템을 중요도에 따라 3등급으로 나누고 차등화된 보안 기준을 적용하겠다는 것이다. 공공기관이 민간 클라우드를 더 많이 쓸 수 있도록 한다는 취지다.

아직 명확한 기준이 제시된 것은 아니지만, 가장 하위 등급인 3등급에 기존과 달리 ‘공공 전용 클라우드 존’ 같은 물리적 분리 없이도 논리적 망분리만으로 서비스를 허용한다는 사실이 알려지면서 논란이 크다. 사실상 아마존웹서비스(AWS), MS 같은 외국계 클라우드 기업이 공공 시장에 진입할 수 있는 길을 터주겠다는 의미로 받아들여져서다.

그간 정부의 정책에 따라 인증을 받는 등 선투자를 해온 국내 기업들 사이에선 허탈하다는 반응도 나온다. 세계 최대 클라우드 기업인 AWS는 국내 민간 시장의 70% 이상을 장악한 것으로 알려졌으나, 보안 인증이 필요한 공공 시장엔 들어오지 못한 상태였다.

김법연 고려대 정보보호대학원 연구교수는 이날 조승래 더불어민주당 의원 주최로 열린 조찬 간담회에서 공공 클라우드 보안 정책 변화에 대해 “이미 국내 기업들은 인증 요건이 충족돼 있고 해외 기업들만 요건을 갖추면 되는 상황”이라며 “(규제 완화 조치는) 국내 기업에는 특별한 이득이 없고, 해외 기업에만 이득을 주는 결과를 초래할 것”이라고 우려했다.

공공 클라우드 보인 인증제가 ‘무역 장벽’이라는 시선에 대해서도 “물리적 분리는 비용을 투자하기만 하면 가능하기에 한국 기업만 요건을 달성할 수 있는 것이 아니다”라며 “해외 기업을 차별하는 조치로 보이지 않는다”고 강조했다.

28일 국회에서는 조승래 더불어민주당 의원 주최로 클라우드 산업 발전을 위한 조찬 간담회가 열렸다. 이날 간담회에서는 공공 클라우드 보안 정책 변화에 관한 문제점과 고려사항 등이 논의됐다. 사진=조승래 의원실 제공

기술력 상대적으로 열세…공공 시장마저 뺏기면 어쩌나

업계는 이번 제도 변화가 국내 클라우드 산업 생태계에는 부정적이라는 평가가 많다. 글로벌 기업과 기술 격차가 제거되지 않은 데다 국내 기업이 이제 겨우 성장 단계에 오르고 있는 상황에서 너무 서둘러 공공 시장까지 개방한다는 의미이기 때문이다.

국내 클라우드 기업 관계자는 “AWS 같은 글로벌 기업이 자본력과 기술력으로 밀고 들어오면 버텨내기 힘든 게 국내 기업의 현주소”라며 “구글이 국내 대학에 클라우드를 무료로 제공하다가 경쟁사가 거의 없어지자 하루아침에 유료로 전환해버린 일도 있다”고 했다. 간담회에 참석한 업계 관계자는 “현재 국내 클라우드 기업이 그나마 해볼 수 있는 것이 규제가 있는 공공·금융 분야에서 경쟁력을 키워 해외 시장으로 나가는 것”이라고 했다.

아무리 민감도가 낮은 대민 서비스 등 3등급으로 제한한다고 해도 장애 등 사고 대응 측면에서 공공 서비스를 글로벌 기업에 맡기는 것은 신중해야 한다는 의견도 많다. 일례로 2018년 당시 AWS의 서울 리전(데이터센터)에서 84분간 장애가 발생하며 쿠팡, 배달의민족, 마켓컬리, 넥슨, 업비트 등 수많은 기업들이 서비스 운영에 차질을 겪었지만 정부는 손을 쓰기 어려웠다. 물리적인 서버는 서울에 있어도 ‘관리 노드’가 호주 등에 있어서다. 대민 서비스에 포함된 개인정보가 국외로 이전될 가능성도 크다.

다만, 현행 제도를 유지해야 하느냐는 기업별로 온도 차가 있다. 외국계 기업의 진입은 막되, 등급제 논의는 필요하다는 입장인 기업도 있다. 또, AWS 클라우드를 파는 국내 기업(MSP)들 입장에선 이런 식의 제도 개선을 오히려 더 큰 기회로 본다. 과기정통부나 디지털플랫폼정부위원회 차원의 내부 논의가 아니라, 이해 관계자들을 대상으로 한 제대로 된 공청회 등이 필요한 이유다.

과방위 민주당 간사인 조승래 의원은 “국내 기업들은 그간 정부의 정책을 믿고 인증을 받고 투자를 해왔는데 갑자기 정책이 변경되면 투자 비용이 다 매몰 비용이 돼 버린다”면서 “정부 정책의 신뢰성이나 국내 클라우드 기업의 보호·측면에서 심각한 문제인 만큼 바로 잡기 위해 노력할 것”이라고 밝혔다.