공공 클라우드 업계서 클라우드 보안인증(CSAP) 등급제를 두고 여전히 논란이 벌어지고 있다. 정부가 CSAP을 상중하 3단계로 나누고 하 등급에는 물리적 망 분리가 아닌 논리적 망 분리도 허용하는 등 규제 수위를 크게 낮추자 국내 클라우드 업계가 불편한 심기를 감추지 않고있기 때문이다.
AWS 및 마이크로소프트 애저, 구글 클라우드 등 글로벌 사업자 입장에서는 CSAP 개편이 고무적이다. 다만 국내 클라우드 업체 입장에서는 민간 클라우드 시장을 장악한 글로벌 기업들이 공공 클라우드 시장까지 잠식, 궁극적으로는 전체 클라우드 시장이 외국에 넘어갈 것이라 우려하고 있다. 그 연장선에서 데이터 주권 및 보안 이슈 등이 연이어 터져나오고 있다.
최근 고진 디지털플랫폼정부위원회 위원장이 많은 정부 업무 시스템을 CSAP 중 단계로 바꾸는 것을 시사한 배경이다.
이런 가운데 3일 AWS 서밋 서울 2023 현장에서 CSAP 개편 및 글로벌 클라우드 업계의 공공 시장 진출을 두고 "공포 마케팅을 그만해야 한다"는 주장이 나와 눈길을 끈다. CSAP 개편 및 글로벌 클라우드 업계의 공공 시장 진출에 불편해하는 국내 클라우드 업계를 의식한 발언이기 때문이다.
"발상의 전환 필요"
신종회 엔씨소프트 정보보안센터장은 '클라우드 정책의 현재와 미래 전문가 대담'을 통해 "많은 기업들이 클라우드 도입을 주저하는 이유는 비용, 그리고 보안 문제"라면서 "공공 클라우드 업계에서 CSAP 개편을 두고 벌어지는 논란 중 보안 이슈에 주목하는 이들도 많다"고 말했다.
결론부터 말하자면, CSAP 개편에 반대하며 보안이 약해질 것이라 생각하는 것은 '공포 마케팅'이라는 주장이다.
신종회 센터장은 엔씨소프트의 사례를 들어 설명했다. 그는 "2019년 당시 회사는 게임 별 개별망을 두고 있었지만, 인터넷이나 클라우드 사용에 있어 부서간 협업이 어렵다는 지적이 많았다"면서 "이 문제를 해결하려면 망을 통합해야 하는데 보안 문제로 주저하는 기류가 강했다"고 말했다.
신 센터장은 제로 트러스트 전략을 빼들었다.
제로 트러스트는 기존의 보안 패러다임을 완전히 비튼 개념이다. 네트워크에 접근할 수 있는 내부와, 그럴 수 없는 외부를 분리하는 기존 보안 패러다임은 외부 공격자가 내부로 침투할 수 있는 길이 열리면 무력화될 수 밖에 없으나 제로 트러스트는 그 경계를 나누지 않는 개념이다.
'아무것도 신뢰하지 않는다'는 전제 아래 네트워크에 접근된 인가된 사용자라도 끊임없이 유기적인 통제를 받기 때문이다. 그리고 엔씨소프트는 보안 인프라 정책에 있어 제로 트러스트 개념을 도입, 기존 보안 인프라보다 더 강력한 시스템을 구축할 수 있었다.
신 센터장은 CSAP에도 비슷한 접근이 필요하다고 봤다. 그는 "CSAP 개편에 반대하는 이들은 보안 문제가 벌어질 것이라 주장하고, 이는 공공 클라우드의 성격상 매우 큰 위협이 될 수 있다"면서도 "제로 트러스트를 도입해 전혀 다른 방식으로 보안 우려를 불식시킨 엔씨소프트의 사례를 볼 때, CSAP 개편에 따른 보안 위협을 논하는 것은 지나치게 멀리 간 해석"이라고 단언했다.
그는 나아가 "글로벌 클라우드 업체들이 공공 클라우드 보안 인프라에도 많은 도움을 줄 수 있다"면서 "그들의 보안 기술력 자체가 뛰어나기 때문"이라고 말했다.
"글로벌 업체 유입, 장기적 관점에서 좋은 일"
CSAP 개편에 따른 글로벌 업계의 공공 클라우드 시장 진입을 반대하는 또 다른 목소리로는 '국내 클라우드 기업의 어려움이 커진다'를 들 수 있다.
현재 민간 클라우드 시장은 AWS 등 글로벌 업계가 장악했다. 이런 상황에서 공공 클라우드 시장도 CSAP 개편을 기점으로 글로벌 업계에 넘어가면 네이버클라우드 및 KT, NHN 등 국내 클라우드 시장은 고사할 것이라는 우려다.
CSAP 개편 정국을 두고 공공 클라우드의 보안 약화를 주장하는 목소리가 '글로벌 기업의 공습 강화, 국내 기업의 기초체력 약화 우려'라는 본심을 약간 숨긴 주장이라면 '국내 클라우드 기업의 어려움이 커진다'는 주장은 말 그대로 진심에 가깝다.
다만 이영범 건국대학교 교수는 단기적 관점과 장기적 관점을 나눠야 한다고 주장했다. 이 교수는 "단기적 관점으로는 CSAP 개편 및 글로벌 기업의 공공 클라우드 시장 진입이 이뤄지면 국내 클라우드 기업들이 타격을 받을 것"이라면서도 "장기적 관점에서는 글로벌 무대와 경쟁하며 국내 기업들의 성장에 도움이 된다"고 강조했다.
이 교수는 "많은 연구들을 보면 시장 진입장벽을 높일수록 투자의 양은 감소되고 새로운 사업자가 유입되지 못해 생태계 전체가 침체된다는 것을 알 수 있다"면서 "정부가 이러한 점에 착안해 다양한 이해 관계자들을 조율하는 전략을 보여줘야 한다"고 말했다.
스타트업, AWS 선택해야 하는 이유
CSAP 개편 및 글로벌 업계의 공공 클라우드 시장 진출이 스타트업 업계에는 큰 도움이 된다는 주장도 나왔다. 국내 클라우드 업체 중 SaaS 비중이 가장 높은 가운데, 이들을 위해서는 AWS와 같은 글로벌 업체의 영역 확장이 필수라는 뜻이다.
권승범 이큐브랩 대표는 "아마 많은 스타트업들이 AWS 클라우드를 활용하고 있을 것"이라며 "스타트업은 필연적으로 국내 시장은 물론 글로벌 시장을 정조준해야 살아남을 수 있으며, 이 순간 AWS와 같은 글로벌 네트워크를 가진 사업자와의 협업은 필수적"이라고 강조했다.
글로벌 매출이 절대적이고, 국내 지자체와도 협업하는 다소 특수한 자사의 사례를 소개하기도 했다.
이 대표는 "이큐브랩은 폐기물 처리 및 스마트시트 프로젝트 전반에서 활동하고 있으며 매출의 95%가 해외에서 나온다"면서 "다만 한국에 연구개발 조직이 있고 많은 지자체와 협력하고 있는데, 여기서 지자체가 AWS를 활용하는 이큐브랩을 신용하지 않아 문제가 많이 발생한다"고 토로했다.
다른 이유가 아니다. 지자체가 글로벌 폐기물 및 스마트시티 시장에서 두각을 보이는 이큐브랩과 시민을 위해 협업을 준비하다가도 이큐브랩이 AWS라는 글로벌 클라우드를 사용하는 것이 내부 정책 상 걸림돌이 됐기 때문이다.
이 대표는 "지금은 인식이 많이 달라져 지자체에서도 적극적인 모습을 보인다"면서도 "지자체들도 스타트업들은 글로벌 시장 진출을 위해서 글로벌 클라우드가 유리하다는 점을 기억해주면 좋겠다"고 말했다.
한편 손금주 법무법인 율촌 변호사는 CSAP 개편 및 글로벌 사업자의 공공 클라우드 시장 진출을 두고 국내 클라우드 사업자를 지키는 것과 높은 수준의 글로벌 기술을 받아들이는 것을 두고 절묘한 균형감각이 필요하다고 조언했다. 신민수 한양대학교 교수는 클라우드 정책의 현재와 미래라는 세션을 통해 국내 클라우드 시장의 경쟁이 치열하다고 짚는 한편 멀티 클라우드 트렌드의 퇴조를 거론해 눈길을 끌기도 했다.
윤정원 AWS 공공부문 대표는 "국내는 물론 글로벌 시장에서도 공공 클라우드 전략을 가동하고 있다"면서 "강력한 AWS 네트워크를 통해 글로벌 시장 진출도 적극 지원할 것"이라고 말했다. 나아가 다양한 공공부문 특화 솔루션을 출시하고 있다고 밝혔다.