외국계 클라우드 기업, 공공시장 진출 '저울질'

외국계 클라우드 서비스 기업이 국내 공공사업 진출을 위해 클라우드 보안인증 획득을 검토하고 있다. 아마존웹서비스(AWS)·마이크로소프트(MS)·오라클·IBM 등 대표 클라우드 사업자 모두 국내 공공사업 진출에 따른 손익계산에 한창이다.

29일 소프트웨어(SW)업계에 따르면 올해 초 행정안전부가 '행정·공공기관 민간 클라우드 이용 가이드라인'을 확정한 뒤 외국계 클라우드 기업은 국내 공공사업 진출을 위한 클라우드 보안인증 획득 여부 검토에 돌입했다. AWS가 미국 중앙정보국(CIA) 등 공공 사업 수주를 토대로 세계 클라우드 시장을 석권했듯 공공사업 레퍼런스가 시장에 미치는 영향은 크다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

가이드라인에는 한국인터넷진흥원(KISA) 보안인증을 받은 서비스형인프라(IaaS)와 서비스형소프트웨어(SaaS)만 이용할 수 있다. 현재 클라우드 보안인증을 획득한 사업자는 KT, 네이버비즈니스플랫폼(NBP), 가비아, NHN, LG CNS 등 5개사뿐이다. KT와 NBP가 공공 클라우드 사업 수주에 강세를 보인다.

최근 국내시장에서는 우정사업본부·코레일 등 공공기관과 광역지자체 등에서 적극적으로 민간 클라우드 도입에 나서고 있다. 한국정보화진흥원(NIA)·정보통신산업진흥원(NIPA) 등 과학기술정보통신부 산하기관을 중심으로 클라우드 활용 확산과 생태계 조성에 대한 연구도 활발하다.

외국계 클라우드가 보안인증을 획득할 경우 경쟁은 더욱 치열해질 전망이다. 한 외국계 클라우드사 임원은 “한국에서 사업을 한다는 것은 민간뿐만 아니라 공공영역에서도 사업을 한다는 것”이라며 “정부가 요구하는 자격 확보 수요가 당연히 있다”고 설명했다. AWS와 MS는 이미 국내 정보보호관리체계(ISMS)인증을 획득했다.

일부 외국계 기업은 정부에 해외기업에 예외 규정을 두는 클라우드 보안인증 이원화를 요구한다. 본사 방침 등으로 보안인증 획득을 위한 절차상 데이터센터(IDC)나 소스코드 공개 등에 일부 제약이 있다. KISA는 클라우드 서비스 관련 자산과 조직에 대해 관리·물리·기술적 보호조치와 공공기관용 추가 보호조치 등 총 14개 부문 117개 통제항목 준수했는지 확인한다.

보안인증 획득 절차 중 국정원 표준화 암호모듈 보안지침에 대한 인증이 필요, 클라우드 서비스와 아키텍처 전반에 대한 확인을 받아야 한다. 외국계사는 이 과정에서 서비스 알고리즘이나 영업비밀 등 기밀이 드러날 가능성을 우려한다.

SW업계 관계자는 “본사 지침을 따라야 하는 외국계 입장에서는 선뜻 보안인증 절차를 밟기가 어려울 것”이라면서도 “국내기업과 외국계기업에 기준을 달리하는 것은 역차별이고 불공정 경쟁”이라고 지적했다.

정부는 공공 클라우드 사업 참여 자격에 대한 예외는 없다는 입장이다. 기존 가이드라인은 공공기관 낮은 등급 정보시스템만 민간 클라우드 서비스를 이용하도록 했다. 그러나 새 가이드라인은 공공기관 모든 시스템과 정부·지자체 대국민서비스까지 대상을 확대해 보안이 중요하다.

행안부 관계자는 “가이드라인에 명시된 대로 클라우드 보안인증을 받은 기업만 공공사업에 참가할 수 있다”고 말했다. 과기정통부 관계자는 “보안인증 관련 예외 적용을 고려하지 않고 있다”고 전했다.

박종진기자 truth@etnews.com