'빗장' 풀어준 정부… 공공 클라우드 시장도 'AWS·MS·구글' 외산천하 되나

(서울=뉴스1) 오현주 기자 = 외국계 클라우드 서비스 제공기업(CSP)도 공공 클라우드(가상 서버) 시장 진출이 가능해지면서 국내 토종 기업이 긴장하고 있다. 정부가 클라우드 보안인증(CSAP)를 등급제로 개편하고, 가장 낮은 단계(하)에 '논리적(소프트웨어) 망분리'를 도입한다고 29일 발표했기 때문.

그간 단일 체계였던 'CSAP'는 '물리적(하드웨어) 망분리'만 허용했다. 따라서 공공망과 민간망이 분리되지 않은 미국 아마존웹서비스(AWS)나 마이크로소프트(MS)는 민간 시장을 점령했으나, 공공 시장은 진입하지 못했다.

개편안에 외국계 CSP는 환영하고, 국내 토종 클라우드 기업은 글로벌 기업에 공공 시장마저 내줄 수 있다고 우려한다. 현재 국내 전체 클라우드 시장을 AWS·MS·구글 등 외국계 기업이 사실상 점령하고 있기 때문.

◇'CSAP 등급' 최하위 단계에 '논리적 망분리 허용'…외국계 '공공 진출' 청신호

과학기술정보통신부는 이날 CSAP 등급제(3단계)를 추진하기 위한 '클라우드법 고시 개정안'을 행정 예고했다. 개정안은 국가·공공기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 나누고, 등급별로 다른 클라우드 보안인증 기준을 적용한다는 게 골자다.

'하' 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템에 적용될 계획이다. 또 '중' 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, '상' 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템에 부여된다.

업계에서 쟁점이 되는 건 '하' 등급의 '논리적 망 분리' 허용이다. '논리적 망분리'는 공공기관용 클라우드 서버와 민간 클라우드 서버가 물리적으로 분리되지 않아도 된다는 뜻이다. 쉽게 말해, 가상공간에서 망 분리를 해도 된다는 것이다.

그간 해외 기업은 본사의 일관된 정책 때문에 물리적 망분리를 하지 못해 CSAP 인증 완화를 줄곧 요구해왔다. 주한 미국 상공회의소(암참)도 지난해 4월 CSAP 개편을 요구했고, 지난 1월엔 미국 무역 대표부(USTR) 역시 '2022년 각국 무역 장벽 보고서'에서 한국의 CSAP 제도를 미국 기업에 대한 '핵심 장벽'(Key Barrier)이라고 지적한 바 있다.

◇해외 CSP, 국내 점유율 70% 이상…토종 업체 "공공시장마저 잠식" 우려

국내 토종 CSP는 공공 클라우드 시장이 해외 CSP 공룡에 잠식될 수도 있다며 반발하고 있다. 그간 공공 시장은 국내 업체에게 정부가 '물리적 망분리' 라는 우산으로 지켜준 영역이다.

현재 국내 전체 클라우드 시장 70% 이상은 외국계 클라우드 기업이 차지했다. 네이버·KT·NHN 역시 공공시장에 진출하는 등 점점 입지를 키우고 있지만, 글로벌 CSP에 비해서는 아직 존재감이 약하다는 평가를 받는다. 그간 국내 업체에게 공공 시장은 입지를 늘리기 위해 '해야만 했던 것'으로 작용한 것도 이러한 맥락에서다.

공정거래위원회에 따르면, 지난해 국내 상용(퍼블릭) 클라우드 시장 점유율은 △AWS(62.1) △MS(12%) △네이버(7%) 순이다. 네이버클라우드는 2020년부터 구글 클라우드를 제친 것으로 집계됐지만, 구글마저 공공 클라우드에 들어오게 되면 다시 입지가 바뀔 수도 있을 것으로 보인다.

국내 CSP 기업 관계자는 "공공 클라우드 시장에서 민간 클라우드 업체를 많이 써주는 것도 아닌 가운데 해외 기업에 빗장을 열어줘 당황스럽다"며 "국내 업체는 물리적 망분리 투자 등을 위해 비용·인력 측면을 위해 많은 노력을 기울였는데, (이렇게 되면) 국내 업체 측면에서는 입지가 더 좁아질 수밖에 없을 것"이라고 말했다.

윤영찬 더불어민주당 의원도 이날 자신의 소셜 네트워크 서비스(SNS)에서 "중상등급에 대한 시장 개방이 깜깜이인 와중에 하등급을 완화하게 되면, 이미 95%가 외국기업에 잠식당한 민간 시장처럼 공공시장마저도 내주게 될 것"이라고 말했다.

이번 CSAP 등급제 개편을 두고 외국계 CSP는 공공시장 진출에 기대감을 드러낸다. 외국계 CSP 관계자는 "국내 사업 확대 측면에서 당연히 반가운 소식이고, (이번 개편으로 우리도) 공공 클라우드 시장에 도전할 것"이라며 "유럽 등 글로벌 시장에서 '소버린(데이터 주권을 중시) 클라우드'를 선보이고 있는 등 데이터 주권 측면에서 문제가 없다"고 말했다.

장화진 구글 클라우드 코리아 사장 역시 지난달 간담회에서 "CSAP 제도가 바뀌면 공공사업을 당연히 펼칠 것"이라며 "(변화는 상황에 맞게끔) 인증 프로세스를 갖추도록 준비하고 있다"고 말했다.

◇"개발 비용 줄어서"…'중소기업 대부분' SaaS 업계는 CSAP 완화에 환영도

일부 서비스형 소프트웨어(SaaS) 업계는 CSAP 제도 개편을 반기는 입장이다. 당초 정부는 SaaS의 공공 시장 진출을 돕고자 인증 제도 완화를 추진했다.

SaaS는 CSP의 인프라에서 작동하는 SW를 말한다. SaaS 역시 공공시장 진출을 위해 CSAP 인증을 받아야 하는 상황인데, 국내 SaaS 기업 70%는 중소기업이라 관련 작업에 드는 비용이 큰 부담이 된 것으로 알려졌다.

소규모 SaaS 기업 관계자는 "그간 (물리적 망분리 제도 여파로) 공공용 SW 개발, 민간용 서비스용 SW을 따로 개발해야 해 추가 비용이 들어야 했다"며 "그간 뾰족한 지붕과 둥근 지붕을 만드는 개념이었는데, 이제는 비슷한 지붕 몇개만 개발하는 방향으로 갈 것 같다"고 말했다.

일각에서는 외국계 CSP가 향후 더 높은 수준의 등급을 요구할 수 있다는 우려도 있다. 업계 관계자는 "논리적 망분리가 허용된다는 것은 커다란 댐에 작은 '구멍'이 생긴 격"이라며 "이 구멍에서 작은 물줄기는 계속 커져, 더 윗 등급까지도 논리적 망 분리를 허용해달라고 주장할 수도 있다"고 말했다.

woobi123@news1.kr