공공 클라우드, 국정원이 주도한다…"데이터센터 국내 설치 관건"

(서울=뉴스1) 윤주영 기자 = 정부가 공공기관의 클라우드 도입에 필요한 보안 규제를 국가정보원으로 일원화하는 것을 검토 중이다. 기존 유관부서인 과학기술정보통신부와 비교하면, 국정원은 진흥보다 안보를 우선시하고 있어 공공 보안시장 문턱이 높아질 것으로 전망된다.

특히 관건은 외산 클라우드 업체(CSP)의 허용 수준이다. 국내에 데이터센터를 두지 않은 해외 CSP는 민감한 데이터를 다루는 공공사업을 수주하긴 어려울 거로 보인다.

4일 업계에 따르면 과기정통부·한국인터넷진흥원(KISA)은 클라우드 규제 일원화 논의를 공유하고자 최근 국내 클라우드 업계를 대상으로 설명회를 가졌다.

과기정통부·KISA가 관장하는 클라우드서비스 보안인증(CSAP)은 완전히 민간 인증으로 자율화하고, 국정원 보안성 검토로 공공 클라우드 규제를 통일한다는 게 주된 내용이다. 국가인공지능전략위원회에도 관련 내용이 공유됐다. 국가 AI 대전환을 추진하는 전략위는 공공 기관에 민간 클라우드 도입을 적극 권하고 있다.

업계는 일단 공공 사업 수주에 CSAP 인증이 필요 없어지는 것에는 찬성하는 분위기다. 기존엔 CSAP와 국정원 보안성 검토를 모두 획득해야 했던 탓에 이중 규제라는 지적이 있었다. 국정원이 기존 CSAP에서 다뤘던 보안 요건 등을 흡수해 새로운 가이드라인을 낼 것으로 업계는 예측한다.

하지만 CSAP '하' 등급을 획득하며 공공시장 진입을 준비하던 해외 CSP 업체들로선 예기치 못한 상황이 됐다. 아마존웹서비스(AWS)·마이크로소프트·구글클라우드 등이 대표적이다.

업계 관계자는 "국내 데이터센터를 두지 않은 곳이라면 CSPA 중·상 등급을 요구하는 민감한 사업은 수주하기 힘들 거다. 침해사고나 데이터 유출이 일어날 시 국정원 현장조사가 불가능하기 때문"이라고 설명했다.

물론 이같은 인프라 규제가 일종의 비관세 무역장벽이라는 지적이 나올 수 있다. 하지만 진흥 부처인 과기정통부와 달리, 국정원은 다소의 통상 마찰을 겪더라도 안보를 더 중요시할 수밖에 없다고 업계는 보고 있다.

국정원으로선 신속하게 새 인증제의 청사진을 업계에 제시하는 게 숙제가 됐다. 인증제 내용에 따라 열리는 공공 클라우드 시장의 경쟁 수준이나 유망성 등을 가늠할 수 있기 때문이다.

관련해서 국정원은 공공기관의 물리적 망 분리를 완화한다는 취지의 보안 프레임워크 '국가망보안체계(N2SF)를 지난해 발표했다. 국가 전산망을 기밀(C)·민감(S)·공개(O) 등급으로 분류해 차등 보안을 적용한다면, 외부 클라우드·AI 설루션 도입이 가능하다는 내용이다.

다만 이와 연계한 클라우드 컴퓨팅 보안 가이드라인 5.0은 내놓지 못했다.

이 관계자는 "태생이 규제부처인 국정원이 업계의 공공시장 진입을 얼마나 적극적으로 도와줄지도 우려스럽다"며 "KISA의 경우 기업 규모에 따라 CSAP의 인증 비용을 감면해 주거나, 인증을 독려하는 교육 사업을 제공했다. 공공 시장의 초기 수요를 대주는 마중물이 필요하다"고 촉구했다.

legomaster@news1.kr