[공공 클라우드 격변 ㊤] 보안인증 통합에도 '혼선'…시장 위축 우려 커진다
공공 클라우드 보안 체계가 대대적인 개편을 앞두면서 시장 전반에 긴장감이 높아지고 있다. 이중 인증 구조를 해소하고 진입 문턱을 낮추겠다는 정부 취지와 달리, 세부 기준 불확실성과 규제 간 충돌 가능성이 맞물리며 공공 클라우드 전환 속도에 변수로 작용할 수 있다는 분석이 나온다. 과학기술정보통신부와 국가정보원은 20일 공공 클라우드 시장 진입 시 적용되던 이중 보안 인증 절차를 국정원 단일 검증 체계로 일원화하는 내용의 정책 개편안을 발표했다. 업계에선 이번 제도 개편이 공공 클라우드 시장 진입 장벽을 낮추는 긍정적 신호인 동시에, 정책 불확실성으로 인해 오히려 시장 위축을 초래할 수 있다는 우려가 동시에 제기되고 있다. 특히 공공기관의 클라우드 전환 시점과 사업 발주 일정에도 영향을 미칠 수 있다는 관측이 나온다. 이중 규제 걷어내고 단일 검증으로…"공공 진입 문턱 낮춘다" 이번 개편의 핵심은 과기정통부 클라우드보안인증(CSAP)과 국정원 보안 검증으로 나뉘어 있던 이중 구조를 하나로 통합하는 데 있다. 그동안 공공 클라우드 시장에 진입하려는 기업은 CSAP 인증을 취득한 이후에도 별도의 국정원 보안 절차를 거쳐야 했다. 정부는 이러한 구조가 기업에 불필요한 비용과 시간을 초래하는 중복 규제로 작용해왔다고 보고 이를 단일 체계로 통합하기로 했다. 향후에는 국정원 기준을 중심으로 한 번의 검증만으로 공공 시장 진입이 가능해질 전망이다. 검증 항목 역시 클라우드 특성에 맞춰 재설계된다. 기존에는 관리적·물리적·기술적 요소를 포함한 광범위한 보안 항목이 요구됐으나, 앞으로는 공공 서비스 제공에 필요한 핵심 보안 요건 중심으로 축소될 예정이다. 민간 영역에선 CSAP가 정보보호 관리체계(ISMS)로 통합 운영된다. 공공과 민간 보안 체계를 분리해 각각 목적에 맞는 인증 체계를 구축하겠다는 전략이다. 기존 인증 기업 보호를 위한 조치도 포함됐다. 현재 CSAP 인증을 보유한 기업은 유효기간 동안 기존 인증 효력을 그대로 인정받으며 제도 전환 과정에서 발생할 수 있는 혼란을 최소화한다는 방침이다. 정부는 상반기 중 관련 보안 가이드라인 개정을 예고하고 1년 유예기간을 거쳐 2027년 하반기부터 본격 시행할 계획이다. 이 기간 동안 국정원은 세부 검증 기준과 운영 지침, 해설서를 마련하고 산업계 의견 수렴을 병행한다. 또 산학연 전문가로 구성된 '민간 검증심의위원회'를 통해 검증 결과의 공정성과 객관성을 확보하고 기존 CSAP 평가기관도 활용해 제도 연속성을 유지한다는 방침이다. 류제명 과기정통부 2차관은 "국정원과 협력해 부처 간 칸막이를 과감히 허물었으며 이를 통해 우리 기업들이 보안 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다"며 "특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다"고 말했다. 김창섭 국정원 3차장은 "이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는 데 주안점을 뒀다"며 "기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것"이라고 밝혔다. "규제 줄였지만 더 복잡"…부처 엇박자에 현장 혼선 지속 업계에선 이번 개편이 규제 완화보다 시장 불확실성을 키우는 요인으로 작용할 수 있다는 우려가 제기된다. 아직 세부 기준이 마련되지 않은 상황에서 제도 방향이 선제적으로 제시되면서 공공기관과 사업자 모두 사업 추진을 늦출 가능성이 높다는 분석이다. 보안인증 제도 변경 이후 재검토 부담을 피하기 위해 클라우드 전환·도입 시점을 늦추는 사례가 늘어날 수 있다는 관측이 나온다. 특히 공공기관은 시스템 교체 주기에 맞춰 차세대 및 클라우드 전환 여부를 결정하는데, 일반적으로 장비 내구연한이 5년 이상인 점을 고려하면 현재 전환을 미루는 경우 향후 수년간 공공 클라우드 시장이 정체될 가능성도 제기된다. 클라우드 업계 관계자는 "장기적인 관점에서 제도 통합 자체는 긍정적이지만 현재처럼 세부 기준이 없는 상태에선 공공기관이 의사결정을 미루는 경향이 강해질 수 있다"며 "결과적으로 단기 시장은 오히려 위축될 가능성이 크다"고 말했다. 여기에 공공 정보시스템을 관장하는 행정안전부와의 지속적인 정책 엇박자도 주요 변수로 지목된다. 행안부는 최근 전국 1만 6000여 개 공공 정보시스템을 대상으로 '국민 영향도'를 중심으로 등급을 전면 재분류하는 방안을 발표했다. 이는 지난해 국가정보자원관리원 화재로 일부 행정 시스템이 중단되면서 복구 우선순위 체계의 한계가 드러난 데 따른 후속 조치다. 새로운 등급 체계는 국가 핵심(A1)부터 일반(A4)까지 4단계로 구분되며 등급에 따라 재해복구 목표 시간도 차등 적용된다. 핵심 시스템은 실시간 수준의 복구 체계를 요구하는 등 안정성과 연속성을 강화하는 방향으로 설계됐다. 시스템 통합(SI) 및 클라우드 사업자들은 변화되는 등급제에 맞춰 공공 사업을 준비해야 하는 상황이다. 이같은 행안부 정보시스템 등급제, 이번 과기정통부·국정원 통합 인증, 다음 달 시행되는 국가망보안체계(N2SF)가 서로 다른 기준으로 설계돼 사업자 입장에선 정책 정합성을 확보하기 어렵다는 지적이 나온다. 또 공공기관들도 어떤 기준을 우선 적용해야 하는지 판단하기 어려운 상황이 반복되고 있는 실정이다. 이는 정부가 추진 중인 공공 클라우드 전환 정책과도 충돌할 가능성이 제기된다. 국가인공지능전략위원회는 지난 2차 전체회의에서 2030년까지 1만 5000여 개 공공 정보시스템을 대상으로 민간 클라우드 활용을 확대하고 데이터 등급에 따라 하이브리드 인프라로 전환하는 방안을 의결한 바 있다. 과기정통부 역시 과학기술관계장관회의를 통해 공공 정보시스템의 클라우드 네이티브 전환을 공식화하고 신규 사업 추진 시 민간 클라우드 적용 여부를 의무적으로 검토하도록 하는 등 전면 전환 로드맵을 제시한 상태다. 이 과정에서 공공 정보시스템을 총괄하는 행안부를 비롯한 관계 부처에도 민간 클라우드 전환 확대를 위한 협조가 요구되고 있지만, 보안 인증 체계가 개편되는 상황에서 구체적인 적용 기준이 정리되지 않으면서 정책 간 유기적 결합이 어려운 상황이다. 실제 전략위와 과기정통부 로드맵은 기존 CSAP 인증 체계를 기반으로 설계된 반면, 현재 인증 구조는 국정원 중심으로 재편되는 과정이기에 실제 적용 기준에 대한 혼선이 불가피할 전망이다. 특히 N2SF 기반의 데이터 등급 체계까지 결합되면 클라우드 관련 보안인증 통합이 오히려 현장에 추가적인 부담을 키울 수 있다는 우려가 나온다. 업계 관계자는 "공공 클라우드 정책이 인증 체계 개편과 AI 인프라 전략, 부처별 규제까지 맞물린 복합 이슈로 확대되고 있다"며 "정책 간 정합성을 확보하지 못하면 정부 로드맵과 실제 시장 흐름이 엇갈릴 수 있다"고 밝혔다. 이어 "산업계 의견을 충분히 반영하고 구체적인 기준을 조속히 마련하길 바란다"고 덧붙였다.
