[ET단상]CSAP 개편 앞서 공공분야 민간 클라우드 도입 활성화가 우선

지난해 코로나19로 말미암은 국가적 재난 상황에서도 재택근무, 온라인 교육 등 경제·사회 활동을 가능하게 하고 트래픽 급증에도 유연하게 대응할 수 있다는 점에서 클라우드 서비스가 주목받았다. 클라우드 서비스가 국가 및 기업 위기와 업무환경 변화 대응 수단으로 재조명된 것이다.

정부는 2021년 9월 '제3차 클라우드컴퓨팅 기본계획(2022~2024)'을 발표하며 공공부문의 민간 클라우드 우선 이용 정책을 전면에 내세웠다. 클라우드 활성화를 위해 공공부문에서 민간 클라우드 서비스 이용을 우선 고려하겠다는 의지를 표명했다. 클라우드 기업 입장에서는 두 손 들어 환영할 만한 일이었다.

3차 기본계획 발표 1년을 앞두고 기본계획의 주요 내용 진행 사항 점검에 앞서 클라우드 산업계는 '클라우드 보안인증제도'(CSAP) 개편 관련 이슈로 술렁이고 있다.

인증의 엄격한 기준, 인증 완료까지 오랜 기간이 요구되는 등 민간 클라우드의 공공시장 진입에 걸림돌이 있다는 게 CSAP 개편을 추진하게 된 표면적 배경이다.

이후 국가정보원의 국내 클라우드 서비스 제공사(CSP)를 통한 CSAP 완화 관련 의견 수렴을 시작으로 지난 6월 초부터 해당 제도의 규제 변경 및 인증 완화 진행이 시작됐다. 결국 과학기술정보통신부가 '제5회 국정현안점검조정회의'에서 '정보보호 규제개선 추진상황 및 계획' 발표를 통해 'CSAP 등급제' 확정을 공식화하기에 이르렀다.

'CSAP 등급제'가 공식화되기 전 과기정통부는 클라우드 기업과의 간담회를 통해 CSAP를 미국의 페드램프(FedRAMP)와 같이 데이터 중요도에 따라 3단계(상, 중, 하)로 나누어 평가 기준을 완화하는 방안을 검토하고 있다고 밝힌 바 있었다.

당시 CSAP가 FedRAMP 수준으로 체계적인 보안 인증제도로 거듭나기 위해서는 신중을 좀 더 기하는 등 관련 이해관계자들이 함께 머리를 맞대고 진중하게, 다각도로 검토해야 한다는 의견이 분분했다.

클라우드 업계는 몇 년 동안 시행해 온 제도를 단시간에 재정립해서 시행하기에는 국가의 중요 업무와 기밀 정보 등 안정성에 위협이 우려되는 만큼 중장기적으로 순차적 점검과 확인을 통한 개편이 시행돼야 한다는 의견을 수차례 전달했다.

과기정통부는 디지털플랫폼정부위원회를 통해 산업계와 협회를 포함한 이해관계자 의견 수렴을 거쳐 제도 개편 방안을 마련할 계획이라고 밝혔다. 그러나 지금처럼 공공의 민간 클라우드 시장 확대가 정체된 상황에서 CSAP 평가 기준까지 세분화하는 새로운 제도의 도입은 사실상 업계의 우려를 불러일으키기에 충분해 보이는 것이 사실이다.

정부는 기본계획 내 공공부문에서 민간 클라우드 이용 정책을 통한 클라우드 이용 활성화와 산업 확대에 대한 정책적 의미를 다시 한번 되새겨 보고 먼저 내부 업무를 통한 클라우드 디지털 업무 혁신 방안을 심도 있게 고려해 보아야 한다. 공공부문 클라우드 전환 활성화 정책이 함께 논의될 수 있기를 바란다.

정부가 제도 개편 방침을 공식화한 만큼 앞으로 디지털플랫폼정부위원회에서 이해관계자 및 산업계와 소통할 때는 클라우드 산업 발전을 위한 심도 있는 논의가 꼭 이루어질 수 있기를 기대한다. 현시점은 공공시장 확대를 위해 장벽이 되는 핵심 보안 규제를 풀 수 있는 첫 단추가 될 수도 있다.

지금은 정부와 산업계가 다가오지 않은 미래에 대하여 서로 다른 생각을 할 것이 아니라 진정 중요한 것이 무엇인지 신중한 고민을 통해 클라우드 산업 발전이라는 하나의 목표를 향해 서로 손잡고 합심해서 달려야 할 때다. 정부와 산업계의 소통이 가장 중요한 시점이다.

윤동식 한국클라우드산업협회 회장 help@kcloud.or.kr