공공 클라우드 시장, CSAP와 MLS의 변화

1. 요약

• 이 리포트는 클라우드 보안 인증 제도(CSAP)와 다층보안체계(MLS)의 도입이 클라우드 업계에 미치는 영향을 분석합니다. 새로운 CSAP 등급제의 도입과 MLS의 영향은 공공 클라우드 및 민간 클라우드 서비스 제공업체(CSP)의 시장 접근성을 변화시키고 있습니다. 정부의 다층보안체계 적용이 클라우드 산업에 어떤 정책적 변화를 가져왔는지, 공공기관의 민간 클라우드 채택 현황과 정책 혼선 문제를 다루고 있습니다. 리포트는 클라우드 시장 활성화를 위한 전략적 방향성을 제시하며, CSAP 개편이 한국 클라우드 산업 전반에 어떤 기회와 도전을 제공하는지 고찰합니다. 따라서 공공 클라우드 시장의 발전이 이루어지기 위해 정부와 기관들 간의 협업이 필수적임을 강조하고 있습니다.

2. 클라우드 보안 인증(CSAP) 제도의 개편 배경

• 2-1. CSAP 제도의 역사 및 목적

• 클라우드 보안 인증(CSAP) 제도는 2016년부터 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제23조 2항에 따라 국가가 지정한 인증기관인 한국인터넷진흥원(KISA)이 이용자 정보보호 기준 준수 여부를 평가하고 인증하는 제도로 시작되었습니다. 클라우드 서비스 제공자가 정부, 공기업, 교육기관 등 공공 서비스 시장에 진입하기 위해서는 반드시 CSAP 인증을 취득해야 하며, 이를 위해 다양한 기준을 충족해야 합니다. 초기에는 서비스형 인프라(IaaS)용 CSAP 인증이 제정되었으며, 2018년에는 서비스형 소프트웨어(SaaS) 인증이 추가되었습니다. SaaS 인증은 표준 모델과 간편 모델로 나뉘며, 2020년에는 서비스형 데스크톱(DaaS) 인증 제도가 시행되었습니다.

• 2-2. CSAP 등급제 도입의 필요성

• CSAP 등급제는 클라우드 시장의 활성화를 위해 도입되었습니다. 과학기술정보통신부는 2022년 8월, 현안 점검 회의를 통해 기존의 획일적으로 운영되던 CSAP 기준에 상·중·하 등급제를 도입하기로 결정하였습니다. 이에 따라 하등급의 경우 개인정보를 포함하지 않는 공개된 공공 데이터를 운영하는 시스템으로 분류되며, 기존의 물리적 망분리 요건이 완화되어 논리적 분리가 허용됩니다. 이는 그간 물리적 망분리에 의해 한국 공공 클라우드 시장에 진입하지 못했던 글로벌 CSP들이 진입할 수 있는 기회를 제공하게 됩니다. 국내 CSP들은 CSAP 등급제 도입이 자신들의 강점을 더욱 부각시킬 수 있는 기회라고 보고 있습니다.

3. 다층보안체계(MLS) 도입과 그 영향

• 3-1. MLS의 개념 및 도입 배경

• 다층보안체계(MLS)는 국가 및 공공기관의 데이터 중요도에 따라 기밀(C), 민감(S), 공개(O)로 분류하여 적합한 보안 정책을 적용하는 것을 목표로 합니다. 국가정보원은 MLS를 통해 클라우드 서비스 산업에서 필요한 보안 요건을 정비하고 공공 클라우드 사업의 기반을 다지려 하고 있습니다. 한편, 현재 민간 클라우드 서비스 제공자(CSP)의 공공 클라우드 이용률이 낮은 점은 문제점으로 지적되고 있습니다.

• 3-2. MLS와 CSAP의 관계 및 상호 영향

• MLS의 도입은 과학기술정보통신부의 클라우드 보안 인증(CSAP)에 중대한 영향을 미치고 있습니다. CSAP는 민간 클라우드 서비스의 보안성을 평가하기 위한 인증제로, 상·중·하 3개 등급으로 나누어집니다. 현재 CSAP 인증서는 총 152건이 발급되어 있으며, 이달에만 20건이 인증받았습니다. 그러나, MLS의 도입에 따른 CSAP의 실효성에 대한 의문이 제기되고 있으며, 두 제도가 상호 보완적일 수 있지만 현행 CSAP가 유명무실해질 수 있다는 우려도 존재합니다. 특히, 클라우드 서비스 공급자가 MLS 도입에 따라 인증의 필요성을 재고하게 되는 상황이며, 이는 CSAP 신청과 유지 실익에 대한 의구심을 증대시키고 있습니다.

4. 공공 클라우드 시장 현황

• 4-1. 공공기관의 클라우드 서비스 이용 현황

• 최근 공공기관의 민간 클라우드 이용률이 약 11.6%에 불과하다는 점은 공공 클라우드 시장의 정체를 나타내고 있습니다. 과기정통부는 민간 클라우드를 활성화할 의지를 보이고 있지만, 실제 이용률은 기대에 미치지 못하고 있습니다. 이에 비해 클라우드 보안 인증(CSAP) 관련 규제들이 공공 시장 진입에 추가적인 장벽을 형성하고 있어, 중소 SaaS 기업의 진입이 어려운 현실이 지속되고 있습니다. 더불어, 정부의 공공부문 클라우드 정책이 서로 엇박자를 이루고 있어 클라우드 업계의 혼란을 가중시키고 있습니다.

• 4-2. 클라우드 시장에서의 국내 CSP의 입지

• 현재 국내 클라우드 사업자는 빅테크 기업(AWS, 마이크로소프트, 구글 클라우드 등)에 비해 자본 및 인력의 측면에서 경쟁력이 취약한 실정입니다. 이로 인해 국내 CSP들은 공공 부문에서 사업 기회를 확보하기 위해 CSAP 인증을 취득하고, 관련 사업 역량을 강화하려고 애쓰고 있습니다. 하지만 행정안전부의 PPP 사업 추진이나 국가정보원의 다층보안체계(MLS) 도입 발표는 이들의 시장 진입을 더 어렵게 만들고 있으며, 결과적으로 공공 클라우드 시장 개방의 기대감이 약화되고 있습니다.

5. 부처 간의 정책 혼선

• 5-1. 과기정통부, 행안부, 국정원 간의 협력 부족

• 현재 한국의 클라우드 업계는 과학기술정보통신부(과기정통부), 행정안전부(행안부), 국가정보원(국정원) 등 주무 부처 간의 협력이 부족하여 심각한 혼선 상태에 처해 있습니다. 각 부처가 공공 클라우드의 활성화를 지향하고 있음에도 불구하고, 실제로는 각기 다른 정책 방향성을 설정하여 공공기관의 클라우드 서비스 도입이 저조한 실정입니다. 과기정통부는 '민간 클라우드 퍼스트' 정책을 지속적으로 내걸고 있지만, 민간 클라우드 이용률은 평균 11.6%에 그치고 있습니다. 행안부는 대구 센터 내 클라우드 서비스 사업을 추진 중인 반면, 충분한 운영 안정성을 확보하지 못하고 있다는 비판이 제기되고 있습니다.

• 5-2. 정책 혼선이 클라우드 산업에 미친 영향

• 정책 혼선은 클라우드 산업에 중요한 부정적 영향을 미치고 있습니다. 공공부문 클라우드 사업 추진이 정체되고 있으며, 클라우드 서비스 공급업체(CSP)의 인증 신청은 급감하고 있습니다. 특히 CSAP(클라우드 보안 인증) 제도와 새로운 MLS(다층보안체계) 체계가 상충하며, 클라우드 서비스 이용기관들의 혼란이 가중되고 있습니다. 많은 기업들은 CSAP 인증의 취득과 유지에 상당한 자원을 투자했으나, MLS가 도입되면 기존의 인증 체계가 무용지물이 될 것이라는 우려가 확산되고 있습니다. 연관 부처 간의 정책 간섭으로 인해 공공 클라우드 시장이 더욱 위축되고 있다는 목소리가 구체화되고 있습니다.

6. 업계의 반응 및 미래 전망

• 6-1. 클라우드 업계의 우려와 기대

• 최근 클라우드 보안 인증(CSAP) 제도의 개편이 이루어지면서 클라우드 업계에서는 여러 가지 우려와 기대가 나타나고 있습니다. 예를 들어, 윤동식 KT클라우드 대표는 토종 CSP(클라우드 서비스 제공사)의 강점으로 '보안'을 강조했습니다. 그에 따르면, CSAP를 취득하기 위해서는 공공 클라우드 시장에 진출해야 하며, 글로벌 기업들이 이 인증을 얻는 것은 사실상 불가능하다고 언급하였습니다. 이는 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 등의 글로벌 기업들이 클라우드 서비스 제공을 위해 국내에 물리적 인프라와 데이터를 두기 어렵기 때문입니다. 이러한 상황 속에서 토종 CSP들은 CSAP를 취득하고 공공 클라우드 프로젝트를 수행할 수 있는 기회를 갖게 되었습니다. 그러나 정부의 CSAP 하등급 도입에 따라, 공공 클라우드 사업에서도 AWS, MS, 구글 등의 대기업과 경쟁해야 하는 상황에 처하게 되었습니다. 이 점에서 국내 CSP들은 고객에게 차별화된 보안을 제공해야 하며, CSAP 개편에 따른 변화에 적응해야 할 필요성이 대두되고 있습니다.

• 6-2. CSAP 개편에 대한 업계의 의견

• 업계 관계자들은 CSAP의 개편에 대해 두 가지 상반된 의견을 제시하고 있습니다. 첫째, CSAP 개편을 반대하는 측에서는 공공 클라우드 시장 개방으로 인해 장기적으로 국가의 데이터 주권이 위협을 받을 수 있으며, 개인 정보 유출 및 국가 자산 침해의 위험도 있다는 우려를 표명하고 있습니다. 반면, 개편을 찬성하는 측에서는 현재의 CSAP 제도가 글로벌 기준에 미흡하여 국내 클라우드 기업들의 경쟁력이 저하되고, 국가 간 무역 협정에서 불리한 상황이 초래될 수 있다고 주장합니다. 또한, CSAP 개편이 중소 SaaS(소프트웨어 서비스) 기업들이 공공 시장에 진입할 수 있는 기회를 제공하고, 글로벌 시장에서도 일할 수 있는 사례를 늘릴 것이라는 기대도 나타나고 있습니다. 이와 관련하여, 한국규제학회는 CSAP가 지나치게 엄격하여 국내 클라우드 기업들이 고립될 수 있다고 지적하며, 규제 완화를 촉구하고 있습니다. 최종적으로, CSAP의 개편은 클라우드 시장의 국제 경쟁력을 높이는 데 기여할 수 있을 것으로 전망됩니다.

결론

• 이번 리포트에서는 CSAP의 등급제 도입과 MLS의 시행으로 클라우드 시장이 새롭게 변화할 가능성을 중심으로 다루었습니다. CSAP의 개편은 공공 클라우드 접근을 다양한 CSP에게 열어줄 수 있는 긍정적 요인인 동시에, 정책 혼선으로 인해 클라우드 서비스 제공업체들의 불안 요소로 작용할 수 있습니다. MLS는 기존의 CSAP와 상호보완적일 수 있지만, 정책간의 불일치를 해결하지 못하면 시장은 정체를 면치 못할 것입니다. 향후 공공 클라우드 시장의 개방을 위해 정부의 정책 일관성과 부처 간 실효성 있는 협력이 필요합니다. 이를 통해 CLAP와 MLS 개편이 민간과 공공 클라우드 사용 증진에 기여할 수 있도록 해야 합니다. 클라우드 산업의 발전과 실질적인 적용 가능성을 높이기 위해서는 명확한 가이드라인과 각 부처의 협력이 필수적입니다.

용어집

• CSAP [전문용어]: 클라우드 보안 인증 프로그램으로, 국가가 지정한 인증기관이 클라우드 서비스 제공자의 보안성 준수 여부를 평가하는 제도이다. CSAP 인증을 획득해야 공공기관에 클라우드 서비스를 제공할 수 있다.

• MLS [전문용어]: 다층보안체계로, 데이터의 중요도에 따라 기밀, 민감, 공개 등급으로 분류하고 적합한 보안 정책을 적용하는 체계이다. CSAP와는 다른 기준을 가지고 있으며, 공공기관의 클라우드 서비스 도입에 영향을 미친다.

• 공공 클라우드 [이슈]: 정부 및 공공기관이 사용하는 클라우드 서비스로, 민간 클라우드 서비스 제공업체(CSP)의 서비스가 필요하다. 현재 공공 클라우드 시장에서 민간 CSP의 이용률은 저조하다.

출처 문서

• 정부 체계개편에 보안인증 혼선… 손놓은 클라우드업계https://n.news.naver.com/mnews/article/029/0002918702
• CSAP 등급제 앞두고…윤동식 KT클라우드 대표가 꼽은 토종 CSP 강점 '보안'https://v.daum.net/v/Bzacexpaub
• 금융IT 이슈 따라잡기(읽기)<뉴스룸https://www.koscom.co.kr/portal/bbs/B0000065/view.do?nttId=29533&searchCnd=&searchWrd=&gubun=&delcode=0&searchBgnDe=&searchEndDe=&useAt=&replyAt=&menuNo=200621&sdate=&edate=&deptId=&isk=&ise=&viewType=&type=&year=&pageIndex=
• 공공 클라우드 산업 ‘정체’…주무 부처별 정책 혼선 탓http://www.itdaily.kr/news/articleView.html?idxno=229251