정부가 추진 중인 클라우드 보안인증(CSAP) 제도의 개편이 국내 규제가 글로벌 기준에 부합하는 계기가 되는 방향으로 진행돼야 한다는 목소리가 높다. 토종 SaaS(서비스형 소프트웨어) 기업들은 규제 개선으로 인해 글로벌 시장에 진출할 수 있는 사례(레퍼런스)를 쌓을 수 있는 기회가 많아질 것으로 기대했다.
CSAP는 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률'에 따라 클라우드 관련 기업이 제공하는 서비스가 정보보호 기준을 준수하는지를 인증기관이 평가·인증하는 제도다. CSP(클라우드 서비스 제공 사업자)나 SaaS 기업이 공공 클라우드 사업에 참여하려면 CSAP를 획득해야 한다. 공공기관이 다루는 데이터는 특히 민감한 내용이 담긴 경우가 많으므로 기업들에게 일정 수준 이상의 보안을 요구하는 셈이다.
하지만 이 제도는 글로벌 기준에 부합하지 않는다는 지적이 오랫동안 이어졌다. 먼저 한국이 각국들과 맺은 무역 협정 규범과 충돌하는 부분이 있어 국내 기업들이 글로벌 시장에서 사업을 펼칠 때 걸림돌이 될 수 있다는 지적이 나온다. CSAP의 데이터 현지화 원칙은 각 CSP가 공공 서비스용 서버·네트워크·보안 장비 등을 다른 클라우드 시스템과 분리할 것을 요구한다. 또 각종 컴퓨팅 시설을 국내에 두는 것을 원칙으로 하고 있다. 국내 CSP들이 CSAP를 획득한 반면 글로벌 CSP들은 획득하지 못한 배경이다.
CSAP의 요건은 한국 정부가 2021년 싱가포르와 맺은 디지털동반자협정(KSDPA)과 충돌한다. KSDPA는 국경간 데이터의 이동을 보장하고 컴퓨팅 설비의 현지화 요건 금지 조항을 수용하면서 데이터 현지화 원칙을 배제했기 때문이다.
또 한국이 가입한 세계무역기구(WTO)의 정부조달협정(GPA)과 한미 자유무역협정(FTA)의 정부조달 조항 등의 '자유롭고 공정한 무역 원칙'과 상충된다는 지적도 나온다. 특히 GPA는 체결국간 정부조달 과정의 투명성을 향상시키는 것이 목표다. 물론 대부분의 무역협정이나 규범이 '국가안보'나 '정당한 공공정책상의 목표(LPPO)'와 관련된 경우 예외를 인정한다. 하지만 정보의 중요도나 활용가치와 관계없이 CSAP를 통해 1만4000개에 달하는 정부·공공기관·학교·병원 등의 모든 정보를 국가안보 예외로 두는 것은 동맹국들이 보기에도 국가 이기주의로 여겨질 수 있다는 우려도 나온다.
CSAP는 글로벌 CSP가 국내 공공 클라우드 시장에 진입하지 못하는 요건이 되기도 하지만 국내 SaaS 기업에게도 걸림돌이 되고 있다. '스토리지(물리적 데이터 저장소)를 고객사별로 분리해야 한다'는 조건이 대표적이다. 기업들은 이미 파일들을 나눠 여러 곳의 스토리지에 분산 저장하고 있지만 CSAP를 획득하려면 이 파일들을 다시 고객사별로 따로 모아야 하기 때문이다. 한 국내 SaaS 기업 대표는 "CSAP는 클라우드 환경이 도입되기 전에 만들어진 제도로 현재의 기업 환경을 반영하지 못하고 있다"며 "특히 중소 SaaS 기업들은 공공 사업을 해야 하다보니 울며 겨자먹기로 CSAP를 준비해야 하는데 여기에 많은 인력과 비용이 들어가고 있어 힘들어하고 있다"고 말했다.
SaaS는 기본적으로 클라우드 환경에서 구동되는 소프트웨어다. 시간과 공간의 제약을 받지 않는다. 토종 SaaS 기업들도 기본적으로 글로벌 시장 진출을 염두에 두고 사업을 시작한다. 하지만 해외의 기업이나 기관들에게 영업을 하려면 레퍼런스가 필요하다. 그 레퍼런스를 한국에서 먼저 쌓아야 하는데 CSAP가 걸림돌이 되고 있는 셈이다. 다른 SaaS 기업의 대표는 "CSAP가 요구하는 물리적인 망분리 등을 하지 않아도 보안을 강화할 수 있는 기술이 나왔으니 규제를 완화해달라는 것"이라며 "유럽 시장의 경우 GDPR(개인정보보호 규정)을 기본적으로 충족해야 하고 해당 기업의 자국 레퍼런스도 필요한데 CSAP가 완화되어야 레퍼런스를 확보해 글로벌 시장에 진출하기가 한결 수월해 질 것"이라고 말했다.
한편 과학기술정보통신부는 앞서 CSAP를 3등급의 등급제로 개편하겠다는 발표를 한 상태다. 하지만 아직 구체적인 개편안은 나오지 않았다.
댓글
(0)