Heeline 블로그: AI와 생활 지식의 모든 것

AWS와 구글 클라우드 MS 클라우드가 한국 서비스를 노린다고? 이미 쓰고 있지 않나 싶을 수도 있습니다.

맞습니다. 개인은 자신이 원하는 회사의 클라우드 서비스를 이미 사용하고 있는데 무슨 소리인가 싶지만, 공공기관 서비스는 약간 다릅니다.

 

아마존웹서비스(AWS)와 구글클라우드가 한국의 공공 클라우드 시장 진출을 위한 필수 인증인 클라우드보안인증제(CSAP) 획득을 눈앞에 두고 있습니다. 마이크로소프트(MS)가 이미 인증을 획득한 가운데, 외국계 클라우드 서비스 제공자(CSP) 3사가 모두 공공 시장 진출을 본격화할 것으로 예상됩니다.

CSAP란 무엇인가?

CSAP는 **클라우드보안인증제(Cloud Security Assurance Program)**의 약자로, 한국 정부의 행정‧공공기관에 클라우드 서비스를 제공하려는 사업자가 반드시 획득해야 하는 공공 분야 클라우드 보안 인증 제도입니다. 이 인증은 한국인터넷진흥원(KISA)이 심사를 맡고, 과학기술정보통신부(과기정통부)와 국가정보원(국정원)이 관련 정책을 주도합니다.

CSAP의 주요 목적은 다음과 같습니다:

1. 공공 데이터 보호: 공공기관에서 사용하는 민감한 정보와 국가 기밀 데이터를 안전하게 관리.
2. 국가 보안 강화: 외국 서버로 데이터가 유출될 가능성을 줄이고, 데이터 주권을 보장.
3. 서비스 안정성 확보: 인증을 통해 공공 시스템에 안정적이고 신뢰할 수 있는 클라우드 서비스를 제공.
4. 자국 사업자 보호

CSAP와 글로벌 CSP의 도전

과거 CSAP는 공공망과 인터넷망을 물리적으로 분리하도록 하는 강력한 규정을 포함하고 있었습니다. 이로 인해 AWS와 구글클라우드 같은 글로벌 CSP들은 물리적 망분리를 구현하기 어려워 한국의 공공 클라우드 시장에 진출하지 못했습니다. 그러나 2022년 도입된 CSAP 등급제를 통해 하등급 인증에서는 망분리 규정이 완화되었습니다.

CSAP 등급제

• 상등급: 안보‧외교 등 중요 국가 시스템에 적용.
• 중등급: 비공개 업무 자료를 포함하는 시스템에 적용.
• 하등급: 개인정보가 없는 공개 데이터 중심의 시스템에 적용.

현재 AWS와 구글클라우드는 하등급 인증을 신청하여 심사를 마무리 단계에 두고 있으며, MS는 이미 2023년 말 인증을 획득했습니다. 이로써 글로벌 CSP들이 공공 시장 진출을 본격적으로 준비하고 있습니다.

국내 시장에 미칠 영향

AWS는 이미 한국 민간 클라우드 시장에서 약 **60.2%**의 점유율로 1위를 차지하고 있으며, 구글클라우드와 MS도 각각 약 **19.9%**와 **24.0%**의 점유율을 확보하고 있습니다. 그러나 공공 시장에서는 네이버클라우드, KT클라우드, NHN클라우드와 같은 국내 CSP들이 강세를 보이고 있습니다.

국내 사업자들은 외산 CSP의 공공 시장 진출을 우려하고 있지만, 하등급 인증이 적용되는 공공 시스템의 수가 제한적이기 때문에 단기적인 영향은 크지 않을 것으로 보입니다. 다만, 정부가 망분리 완화와 같은 규제를 점진적으로 개선하려는 기조를 보이고 있어, 장기적으로는 경쟁이 더욱 격화될 가능성이 있습니다.

앞으로의 변화

과기정통부는 2023년 발표한 제4차 클라우드 기본계획에서 "CSAP 등급제를 점진적으로 개선"하겠다고 밝히며, 망분리 완화와 국가 보안정책 변화를 종합적으로 고려하여 추가 개정을 검토 중입니다.

국가정보원이 추진 중인 새로운 사이버보안체계인 **다중계층보안(MLS)**와 CSAP 상‧중등급 인증 요건이 연계되면서 관련 규제와 지침이 늦어질 수 있다는 관측도 나옵니다. 정부의 이러한 변화는 공공 클라우드 시장에 외산 CSP들의 참여를 더욱 촉진하고, 국내외 CSP 간의 기술 경쟁을 강화할 것으로 보입니다.