[이코노믹데일리] 정부가 공공기관의 클라우드 도입과 관련한 보안 규제를 국가정보원으로 일원화하는 방안을 검토하면서 외산 클라우드 서비스 제공업체(CSP)의 국내 공공시장 진입 문턱이 한층 높아질 것으로 전망된다. 기존보다 안보 중심의 심사 체계가 강화될 경우 국내 데이터센터를 보유하지 않은 해외 업체들의 활동이 크게 제약될 것으로 분석된다.
4일 업계에 따르면 과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 국내 클라우드 업계를 대상으로 설명회를 열고 공공 클라우드 보안 규제 일원화 방안을 공유했다. 핵심은 과기정통부와 KISA가 관장해 온 클라우드 서비스 보안인증(CSAP)을 민간 자율 인증으로 전환하고 공공기관 클라우드 도입과 관련한 보안성 검토를 국정원 체계로 통합하는 것으로 알려졌다.
현재 공공기관이 민간 클라우드를 활용하려면 CSAP 인증을 받은 서비스만 사용할 수 있으며 일부 사업의 경우 국정원의 별도 보안성 검토도 함께 받아야 한다. 이에 동일한 보안 요건을 두 기관에서 반복적으로 확인받아야 하는 이중 규제로 작동하고 있었다.
정부는 해당 구조를 정비하는 동시에 공공 부문의 클라우드 활용을 확대하겠다는 구상이다. 특히 국가 AI 대전환 전략의 일환으로 공공 데이터와 행정 시스템을 클라우드 기반으로 전환해 인공지능 활용 기반을 강화한다는 목표로 풀이된다.
정부는 기존 지자체별로 개별 운영 중인 시·도 및 새올 행정시스템 245개를 오는 2029년까지 17개 광역 시·도 단위로 통합할 계획이다. 행정 시스템을 통합·표준화하는 과정에서 대규모 클라우드 인프라가 필요해지며 이를 민간 클라우드 사업자가 제공하는 구조가 될 것으로 전망된다.
공공 사업 수주 과정에서 CSAP 인증이 필수 요건에서 빠지는 것에 대해서는 대체로 긍정적으로 작용할 것으로 분석된다. 인증 절차가 민간 중심으로 전환되면 서비스 출시와 인증 획득에 걸리는 시간과 비용 부담이 줄어들 수 있기 때문이다. 또한 국정원이 기존 CSAP에서 다뤘던 주요 보안 요건을 상당 부분 흡수해 새로운 공공 클라우드 보안 가이드라인을 제시할 가능성이 클 것으로 전망된다.
다만 외산 CSP에게는 부담이 커질 것으로 분석된다. 특히 국내에 데이터센터를 두지 않은 해외 클라우드 업체는 민감한 데이터를 다루는 공공 사업에 참여하기가 사실상 어려워질 것으로 예상된다. 국정원 중심의 보안 심사 체계에서는 데이터 주권과 물리적 인프라 위치, 운영 통제권 등이 주요 판단 요소로 작용할 가능성이 높기 때문이다.
최근 아마존웹서비스(AWS), 마이크로소프트, 구글클라우드 등 글로벌 CSP들은 CSAP 하 등급을 획득하며 국내 공공시장 진입을 단계적으로 준비해 온 것으로 알려졌다. 공공기관의 비민감 데이터를 중심으로 사업 기회를 확대하는 전략이었지만 규제 체계가 바뀔 경우 기존 인증 전략만으로는 공공 사업 참여가 어려워질 수 있어 추가적인 투자나 사업 구조 조정이 불가피해질 것으로 전망된다.
임문영 국가인공지능전략위원회 상근부위원장은 지난해 12월 열린 기자간담회에서 "이번 행동계획(대한민국 인공지능 행동계획안)은 인프라 확보와 인재 양성, 산업 지원 등 AI 토대를 마련하는 데 중점을 뒀다"며 "민간의 전문성과 효율성을 최대한 활용해 속도감 있게 정책을 추진하고 각 부처의 이행 여부를 면밀히 챙기겠다"고 밝혔다.
댓글 더보기