국정원, 공공클라우드 규제 신설…민간사업자 진입 '그림의 떡'

[이데일리 임유경 최연두 기자] 정부의 망분리 규제 완화 이후 국가정보원이 추진 중인 국가 전산망 보안 정책이 실제로는 민간 업체의 공공 클라우드 시장 진입을 어렵게 만드는 것으로 나타났다.

특히 과학기술정보통신부의 클라우드 보안인증(CSAP)만 획득하면 공공 클라우드 진입이 쉬워질 것으로 생각했던 네이버클라우드, KT클라우드, NHN클라우드, 카카오엔터프라이즈 등 토종 클라우드 서비스 제공업체들은 공공 시장 축소를 우려하고 있다.

3일 업계에 따르면 국정원은 오는 10일부터 사흘간 서울 삼성동 코엑스에서 개최하는 ‘사이버 서밋 코리아(CSK)2024’ 행사에서 새로운 국가 사이버 보안 체계인 ‘다중계층보안(Multi Level Security, MLS)’의 로드맵을 발표할 예정이다.

MLS는 획일적인 망분리 규제에서 벗어나 데이터의 중요도에 따라 등급을 C(기밀정보·Classified), S(민감정보·Sensitive), O(공개정보·Open)로 분류하고, 3개 등급별로 차등화된 보안정책을 운영하는 것이 골자다.

망분리는 내부 업무망을 외부와 차단해 보안을 강화하지만, 업무 효율성이 떨어진다는 지적이 꾸준히 제기돼 왔다. 지난해 말 윤석열 대통령이 AI 시대에 맞춰 망분리 규제를 개선하라고 지시하면서 올 1월 MLS 체계 도입 논의가 시작됐다.

[이데일리 김일환 기자]

MLS 체계, 공공 클라우드 진입규제로 작용

MLS 체계 도입으로 국가 전산망의 보안 등급이 새롭게 정의됨에 따라, 공공 기관이 클라우드를 사용할 수 있는 기준도 달라지게 됐다. 클라우드 사업자 입장에선 진입할 수 있는 공공 시장이 재분류되고 요건도 새롭게 정의되면서 또 다른 진입규제가 생긴 셈이 됐다. 이미 공공 클라우드 시장에 진입하기 위한 필수 인증인 CSAP(보안 등급에 따라 상중하로 나뉨)가 존재하는데, MLS까지 더해져 규제 복잡도는 한층 높아졌다.

클라우드 사업자들도 MLS 도입 취지에는 공감하는 분위기다. 업계는 이전부터 한 기관에서 다루고 있는 데이터라도 중요도가 각기 다른 만큼, 기관별로 보안 등급을 나누는 것보다 데이터의 성격에 따라 분류하는 게 합리적이라고 주장해 왔다. 중앙 부처도 기밀성이 낮은 업무나 데이터에 대해선 민간 클라우드를 쓸 수 있게 될 것이라는 기대도 깔려 있었다.

문제는 기대와 반대로 민간 클라우드로 전환 가능한 사업이 이전보다 오히려 축소될 가능성이 큰 형태로 MLS 윤곽이 나왔다는 점이다. 국정원은 지난 7월 두 차례에 걸쳐 클라우드 사업자 등 제도 변경에 영향을 받는 업체들을 대상으로 설명회를 가졌는데, 국정원의 C·S·O 등급 분류 설명이 이뤄진 후 클라우드 업계에선 이 같은 우려가 확산하는 중이다.

국정원은 C등급에 대해선 기관 내부에 구축한 ‘프라이빗 클라우드’를 사용하게 하고, S등급은 민관협력형 공공클라우드인 ‘PPP 방식’을 활용하도록 할 방침인 것으로 알려졌다. O등급만 민간 클라우드에 전면 개방될 것으로 보인다.

(사진=픽사베이)

민간 클라우드에 완전 개방되는 시장 ‘O등급’으로 제한

따라서 민간 클라우드에 완전히 개방되는 시장은 O등급으로 제한되는데, O등급에는 CSAP 하등급 수준의 시스템과 그동안 CSAP가 없어도 진입 가능했던 민간 교육 기관·병원 등이 포함될 것으로 알려졌다. 업계는 그간 CSAP 중등급에 해당하는 시스템들이 민간 클라우드로 전환되면 본격적으로 시장 규모가 커질 것이라 기대해왔는데, CSAP 상등급은 물론 중등급에 해당하는 시스템까지 S등급으로 매칭될 가능성이 높아졌다.

그간 CSAP 중등급에 해당하는 시스템들이 민간 클라우드로 전환되길 기다려온 토종 클라우드 업체들은 김이 빠진 모양새다. 토종 클라우드 사업자들이 CSAP를 땄을 당시엔 상·중·하 구분이 없었지만, 과기정통부는 이들의 CSAP 인증 수준을 중등급으로 인정해주기로 했다. 이에 사업자들은 이달 중 과기정통부가 CSAP 상·중 등급 고시 개정을 완료하면 중등급에 해당하는 민간 클라우드 전환 사업이 본격적으로 쏟아질 것이라 기대했는데, CSAP 상은 물론 중에 해당하는 시스템까지 S등급으로 매칭될 가능성이 높아져 사업 기회가 사라질 위기에 놓였다. S등급은 국가정보자원관리원 대구센터처럼 정부 통제에 따라 민간이 별도의 인프라를 구축·운영하는 PPP 방식을 이용해야 한다. 민간 입장에선 자체 퍼블릭 클라우드 외에 별도의 인프라 구축 투자가 필요해, 수요가 명확하지 않다면 PPP 사업 참여를 결정하기가 어렵다.

국정원이 전체 공공 클라우드 사업에서 O등급 비중이 60%로 S등급(30%)과 C등급(10%)을 합친 것보다 많다고 설명한 것으로 전해지는데, 이 같은 이유로 업계의 반응은 시큰둥하다.

실제 기관이 데이터 보안 등급을 분류하게 되면 O등급보다 S등급을 매기는 경우가 더 많아질 수밖에 없다는 점도 시장 축소를 걱정하게 하는 이유다. 국정원은 기관장의 판단에 따라 데이터 유형을 나누는 방안을 고려 중인 것으로 전해진다. 이렇게 될 경우, 보안 사고 발생 시 책임을 피하기 위해서라도 국정원 가이드상 O등급에 해당하는 데이터라도 기관에선 보수적으로 판단해 S로 상향할 가능성이 높다.

한 클라우드 업계 관계자는 “CSAP 도입 초기에 인증을 딴 국내 클라우드 업체들은 중등급 시스템까진 진입가능한 시장이라고 판단하고 있었는데, MLS가 생기면서 CSAP 중등급에 해당하는 시스템도 민간 퍼블릭 클라우드가 아닌 PPP나 프라이빗으로 갈 가능성이 커져버렸다”며 “민간이 참여할 수 있는 공공 클라우드 시장의 축소는 불가피해 보인다”고 우려했다.

CSAP와 MLS 연계 명확한 설명 없어

클라우드 업체들은 과기정통부가 운영하는 CSAP와 국정원이 새롭게 마련한 MLS가 상호 어떻게 연계되는지 불명확해, 공공 사업의 예측 가능성이 떨어진다고도 지적하고 있다. 또 다른 클라우드 업계 관계자는 “이제 CSAP만 있다고 공공 시장에 진입할 수 있는 건 아니게 됐다”며 “과기정통부가 만들고 있는 CSAP 상·중등급 기준이 국정원 MLS를 반영해 나와야 두 규제의 영향을 받는 사업자들도 혼란이 없을 텐데, 국정원도 과기정통부도 두 제도가 어떻게 연계되는 것인지 명확한 설명이 없다”고 답답함을 토로했다.

과기정통부도 국정원이 MLS를 구체화하면 CSAP 상·중등급 기준이 바뀔 가능성을 열어뒀다. 과기정통부 관계자는 “9월 중 CSAP 상·중 등급 고시 개정을 완료하고 시행할 예정”이라면서도 “국정원으로부터 아직 공식적으로 (MLS 방향을 공유하는) 자료가 온 건 없지만 상황을 보면서 CSAP 추가 개정이 필요하면 조치를 해나갈 계획”이라고 말했다.

한편, 국정원은 MLS 도입으로 시장 활성화가 기대된다는 입장이다. 국정원 관계자는 “MLS 도입시 공공 분야 AI·클라우드 기술 활용이 확대돼 시장이 활성화될 것으로 기대되며, 정책 수립 과정에서 클라우드 업계 의견도 수렴해 반영하고 있다”고 밝혔다.