공공 민간클라우드 개방에 업계 촉각…'하등급'서 판가름 전망
과학기술정보통신부가 '클라우드컴퓨팅 서비스 보안인증에 관한 고시' 개정안을 행정예고 하면서, 공공영역에 사용될 민간 클라우드에 대한 업계 관심이 높아지고 있다. 특히 올해 클라우드 보안 인증(CSAP)이 먼저 시행되는 '하등급' 시스템 시장을 두고 클라우드 사업자들의 경쟁이 치열해질 전망이다. ■ 이달 말, '하등급' 보안 인증 먼저 시행…'국가정보보안기본지침'도 개정 과학기술정보통신부는 클라우드 보안인증 등급제 도입을 위한 '클라우드컴퓨팅 서비스 보안인증에 관한 고시' 개정안을 지난달 29일부터 오는 18일까지 행정예고했다. 공공영역에도 민간 클라우드를 이용할 수 있게 하면서, 보안인증 체계를 개선해 상·중·하 등급제를 도입한 것이 가장 큰 변화다. 그동안 획일적으로 운영되던 보안인증 체계를 개선해, 하등급 보안인증 평가 기준은 완화하고 상등급 평가기준은 강화하며, 중등급 평가 기준은 현행 수준을 유지하도록 한다. 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템은 하등급, 비공개 업무 자료를 포함하는 시스템은 중등급, 민감정보를 포함하는 시스템은 상듭급으로 분류된다. 세부적인 클라우드 시스템 분류 기준은 '국가정보보안기본지침'에 담긴다. 국가정보보안기본지침은 이달 말 개정될 예정이다. 이 중 가장 민감도가 낮은 '하등급' 시스템에 대한 클라우드 보안 인증이 가장 먼저 시행된다. 하등급 보안 인증은 고시 공포 이후 바로 시행된다. 하등급보다 시스템 중요도가 높은 상·중등급 시스템은 올해 실증 작업을 거친 뒤 시행된다. 실증 작업 기간이 길어지면, 상·중등급 시스템에 대한 실제 보안 인증 효력 발생 시기는 내년 초가 될 가능성도 제기된다. ■ 올해 공공 클라우드 주요 시장 '하등급'…"상·중등급 열 중요 승부처" 올해 처음으로 시행되는 클라우드 보안 인증이 '하등급' 시스템을 대상으로 하는 만큼, 하등급 시스템에 얼마나 도입되는지 여부가 향후 열릴 상·중등급 시스템에도 영향을 미칠 수 있다는 전망이 나온다. 클라우드 업계 관계자는 "하등급 시스템은 클라우드 시스템 건수로 보면 상·중등급 시스템 규모에 비해 적은 숫자가 아니며 오히려 더 많을 수 있다"라며 "하등급을 1년간 먼저 하고, 상·중등급 시장을 여는 것이기 때문에, 하등급 시스템 시장에서 얼마나 많이 도입되고 잘 작동되는지에 따라 향후 상·중등급 시장도 판가름이 날 것으로 보인다"고 말했다. 공정거래위원회의 클라우드 서비스 분야 실태조사 연구 결과에 따르면, 최근 3년간 국내 클라우드 시장에서는 아마존(AWS)이 70% 점유율로 1위를 차지했으며, 마이크로소프트가 2위(6.7%), 3~4위는 구글과 네이버가 차지하고 있는 것으로 나타났다. 아마존, 마이크로소프트, 구글과 같은 글로벌 기업은 국내 시장에서 고객과 직거래하기보다는 주로 유통파트너사(MSP)를 통해 거래하는 것으로 나타났다. 마이크로소프트는 매출액 중 90% 이상이 MSP를 통한 거래로 발생했으며, 구글은 80% 이상, 아마존은 60% 이상이었다. KT와 네이버는 30% 수준으로 글로벌 기업에 비해 상대적으로 MSP를 통한 거래 비중이 작았다. 한편, 업계에 따르면 과기정통부는 행정예고가 끝나는 날인 오는 18일 각계 의견을 수렴하고 이를 최종 고시 개정안에 반영하기 위해 업계·관계기관 등이 참여하는 간담회를 개최할 예정인 것으로 알려졌다. 하지만 간담회 일정이 행정예고 마지막 날로 점쳐지는 것에 대해 업계에서는 사실상 의견수렴을 위한 자리라기보다는 결과 통보의 자리가 될 가능성이 높다는 의견이 나온다. 클라우드 업계 관계자는 "아직 확정은 아니지만 과기정통부가 주최하는 업계 간담회 자리를 행정예고 마지막 날 개최한다는 얘기가 나오고 있는데, 그렇게 되면 사실상 업계 의견이 반영되기는 어렵지 않을까 생각한다"라고 말했다. 과기정통부 관계자는 "업계 관계자 간담회는 계획하고 있지만, 아직 일정이 정해지진 않았다"며 "차주에 정해질 것 같다"라고 말했다.