CSAP 완화 논의에 공공 클라우드 시장 또다시 ‘안갯속’
||2026.01.05
공공 클라우드 사업을 위한 필수 요건인 클라우드 보안 인증 제도(CSAP)가 국가정보원의 보안적합성 검증과 연계·조정하는 방안이 논의되면서 클라우드 업계가 또다시 불확실성에 직면하고 있다.
과학기술정보통신부가 주관하고 한국인터넷진흥원(KISA)이 인증심사를 담당하는 CSAP는 공공기관이 클라우드 서비스를 도입할 때 참고할 수 있도록 클라우드 서비스의 물리·기술·관리적 보호조치 수준을 점검해 상·중·하 등급으로 나눠 인증을 부여한다. 기존 단일 인증제였던 CSAP는 2024년부터 정보시스템의 중요도에 따라 상·중·하로 구분하는 등급제가 전면 시행됐다.
특히 ‘하’ 등급이 신설되면서 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등 해외 클라우드 서비스 공급사(CSP)들도 인증만 받을 경우 중요도가 낮은 시스템에 한해 공공 클라우드 시장 진입이 가능해졌다. 실제 지난해 글로벌 CSP 3사는 CSAP 하 등급 인증을 획득하고 공공시장 진출에 시동을 걸었다.
그런데도 지난해 미국무역대표부(USTR)와 컴퓨터통신산업협회(CCIA) 등 관련 기관·단체들은 CSAP를 두고 “미국 클라우드 기업의 공공시장 진출을 막는 무역장벽”이라며 제도 폐지를 지속 압박했다. 사실상 우리 정부 핵심 시스템인 중·상 등급까지 개방하라는 요구였다. 이에 하반기 우리 정부도 한미정상회담 등을 계기로 제도 완화 가능성을 검토하기 시작한 것으로 알려졌다. 이후 12월 말 관계부처인 과학기술정보통신부와 국가정보원이 마침내 CSAP 완화를 위한 구체적 협의에 들어갔고, 적용 범위와 방식을 논의 중인 상황이다.
2일 취재를 종합하면 국내 클라우드 및 소프트웨어 기업들은 CSAP 완화 소식에 기대 반, 걱정 반의 반응을 보이고 있다. 먼저 일부 기업들은 이중 인증 부담을 덜 수 있어 환영하는 입장이다. 공공기관에 클라우드 서비스를 공급하려는 기업들이 CSAP 인증을 획득한 뒤에도 국가정보원으로부터 별도의 보안성 검증을 받아야 했기 때문이다. 동일한 클라우드 서비스에 두 제도가 동시에 적용되면서 기업들로서는 유사한 보안 항목에 대한 반복적 검증으로 인해 절차적·비용적 부담이 높았다.
이 같은 문제의식을 반영해 과기정통부와 국정원은 CSAP 의무를 완화하고 국정원 보안적합성 검증간 중복되는 절차를 줄이는 방향으로 공공 클라우드 진입 체계 조정 방안을 검토하고 있다. 특히 CSAP 인증 과정에서 이미 확인된 보안 항목을 국정원 보안 절차에서 다시 점검하지 않는 보완책 뿐만 아니라, 지난해 새롭게 제시된 국가망보안체계(N2SF)의 기밀(C)·민감(S)·공개(O) 분류 체계와도 CSAP 등급을 맞추는 방안 등을 논의하고 있는 것으로 알려졌다.
하지만 업계 일각에서는 CSAP 부담이 완화될 수 있다는 기대 한편으로, 제도 개편의 구체적인 범위나 적용 시점이 정확히 정해지지 않아 의사결정을 미루고 있다는 불만이 동시에 제기되고 있다. 제도 향방이 불투명한 상황이 이어지면서, 지난해부터 일부 SaaS(서비스형 소프트웨어) 기업들이 CSAP 관련 준비 작업을 일시적으로 중단한 것으로 알려졌다.
또 CSAP 획득·갱신에 수개월의 시간과 3천만원~1억여원에 달하는 비용이 드는 만큼, 이미 지난해부터 빠르게 전략적인 선택을 한 기업들의 사례도 다수 확인된다. 한 클라우드 업체 관계자는 “제도가 유지될지, 조정될지 불확실한 상황에서 기존 인증 체계를 그대로 따라가는 것이 맞는 건지 고민이 컸다”며 “다양한 내·외부 상황들을 고민해 CSAP 인증을 더이상 유지하지 않기로 결정했다”고 말했다. 구체적 이유는 기업마다 다르지만, 지난해 CSAP 인증 반납·취소 기업은 20여곳에 달하는 것으로 파악된다.
뿐만 아니라 이미 CSAP를 획득했거나 준비 중인 기업들도 지금까지 투자한 시간과 인력, 비용이 매몰될 수 있다는 우려가 큰 것으로 보인다. 이들은 정부에 제도 변화에 따른 피해가 발생하지 않도록 점진적 전환 또는 실질적 효과가 있는 지원책이 필요하다는 의견을 내고 있다.
한 클라우드 업체 관계자는 “CSAP 제도 조정을 둘러싼 논의에는 미국의 통상 압박과 중복된 공공 클라우드 보안 인증 해소를 요구해온 업계 목소리가 함께 얽혀 있다”면서도 “다만 논의가 길게 이어질 경우, 공공기관 클라우드 도입이 또다시 멈추는 안타까운 상황이 벌어질 것이 우려된다. 기업들이 예측 가능한 상황에서 사업을 할 수 있도록 합리적이고 현명한 판단을 가급적 빠르게 해주길 바란다”고 덧붙였다.
정종길 기자
jk2@chosunbiz.com
