'망 분리 완화'로 SW산업 키우자…클라우드 보안인증 개편 요구 지속

다국적 기업 진입 가능성 커졌지만...규정 준수하려면 인력·비용 부담

"의료·정부 혁신 위해 개혁 미뤄선 안 돼"

[사진=게티이미지뱅크]

정부가 추진하는 클라우드 보안인증(CSAP) 제도 개편이 공공부문 행정 업무 혁신, 소프트웨어(SW) 산업 경쟁력 확보를 통한 해외 진출 기회 확대를 실현할 수 있는 방향으로 나아가야 한다는 주장이 산업계와 학계에서 나오고 있다. 물리적 망 분리 요건을 완화해 해외 기업에 국가·공공기관 서비스형 인프라(IaaS) 시장 문턱을 '낮춰 주느냐 마느냐'를 넘어, 글로벌 경쟁력을 갖춘 한국 서비스형 소프트웨어(SaaS) 기업 탄생과 육성 기반이 조성될지 바라봐야 한다는 지적이다.

27일 업계에 따르면 최근 국내 의료 솔루션 분야에서 기술 경쟁력을 인정받는 A사는 클라우드 기반으로 개발한 솔루션을 국공립 병원에 공급하는 것을 포기했다. 현행 CSAP 규정을 준수하기 위해 필요한 추가 인력과 비용 부담을 감수하기 어려워 국공립 병원에 우선 공급하려던 사업 계획을 전면 수정하고 사립 병원을 주 공급처로 삼았다는 것이다. B병원도 정확도가 높은 환자 데이터 기반 질병 예측 모델을 개발하기 위해 글로벌 클라우드 기업의 머신러닝 기술 도입을 검토했지만 CSAP 제도에 가로막혔다.

의료계보다 먼저 추진되고 있는 행정·공공기관 클라우드 전환은 CSAP의 영향을 더 크게 받고 있다. 행정안전부는 오는 2025년까지 모든 행정·공공기관 정보시스템을 클라우드 환경으로 통합·이관함으로써 디지털 신기술 기반 혁신을 도모하기로 했다. 최근 정부의 CSAP 제도 개편 추진으로 다국적 클라우드 기업이 공공 시장에 진입할 가능성이 관측되면서 앞으로 이들의 인프라를 활용한 공공기관용 SaaS 개발과 공급이 활성화될 수 있다는 기대도 나오고 있다.

아직 공공 업무 데이터를 이용·가공해 국가 행정을 혁신하고 대국민 서비스 수준을 개선하는 데 기여할 수 있는 SaaS 수는 조달청 디지털서비스몰 기준 28종에 불과하다. 한국SW산업협회 회원사 1만3000여곳 중 CSAP 인증을 취득한 기업은 30곳에 불과하다. 모든 SW 시장이 클라우드 기반 SaaS로 전환할 전망이지만 현재로서 이 분야 기업 대다수는 공공시장에 진출하지 않은 상황이다.

조준희 한국SW산업협회 회장은 지난달 'SW천억클럽' 조사 결과 발표 간담회 자리에서 "디지털플랫폼정부위원회의 CSAP 개편 검토는 이제까지 정부가 폐쇄망을 유지하고 공공 클라우드를 쓰던 분야 중 일부를 자연스럽게 민간 클라우드로 쓸 수 있게 하는 부분"이라며 "저도 전반적으로 개방해야 한다고 본다"고 말했다. 그는 "폐쇄적으로 운영하는 시스템으로 운영하면 해외 수출할 수 있는 제품이 나올 수 없다"며 "개방해야 보안 기술이 더 강화되고 그에 맞는 SW가 만들어진다"고 전망했다.

지난달 한국상용SW협회 포럼에서 발표된 한국지능정보사회진흥원(NIA) 분석에 따르면 우리 정부에서 쓸 수 있는 수십 가지 SaaS 제품은 메일, 건물 출입관리, 온라인 학습 등 기초적인 업무 지원 도구 수준이다. 영국 정부에 등록된 조달용 SaaS 수는 1만1828종인데 그중 2853종이 회계·재무, 6500종이 협업, 3419종이 고객관리, 2975종이 프로젝트 관리, 4004종이 전자문서, 3340종이 인재관리 솔루션이다. 미국 공공 클라우드 인증 페드램프(FedRAMP)를 획득한 제품은 283종이지만 아마존웹서비스(AWS) 거브클라우드(GovCloud)에 4400종, 마이크로소프트 애저에 9800종, 구글클라우드에 860종 등 민간 클라우드 기반 SaaS 1만5000여종을 활용할 수 있다. 국내와 글로벌 조달 시장에서 SaaS 제품 수요와 공급의 규모·다양성에 격차가 크다는 얘기다.

현행 CSAP 인증 요건을 충족하는 SaaS를 개발하기 위해 드는 비용과 노력에 비해 해당 기업이 기대할 수 있는 수익과 성장 기회는 너무 낮기 때문에 공공 시장에 맞는 SaaS를 적극적으로 개발할 기업이 현실적으로 많지 않을 수 있다. AWS 같은 다국적 클라우드 기업은 '물리적 망 분리' 등 CSAP 인증 요건 완화를 요구하면서 이를 통해 국내 공공시장에 절대적으로 부족한 SaaS 제품 공급 규모와 다양성이 확대될 수 있다고 주장한다.

한 업계 관계자는 "일반적인 중소·중견 민간 SW기업에서 데이터 분석과 개발에 필요한 도구는 일반 인터넷 환경에서 구동되는데 망 분리 환경에 적용하는 SaaS 제품은 각 소스코드에 대한 반입·반출 허가를 받아야 하기 때문에 개발 생산성이 크게 저하된다"며 "개발한 제품은 공공 시장에서 수요 예측을 하기 어렵고 이 제품의 기반 설계 구조가 달라 통용할 수 없는 국내 민간 시장과 글로벌 시장에서 추가 수익을 확보할 기회도 제한된다"고 설명했다.

정부는 SW기업과 협의체를 구성해 CSAP 인증 관련 행정 서비스 개선과 정책 대안을 고민하기 시작했다. 올해 하반기 물리적 망 분리 요건을 일부 완화하는 CSAP 개편 구상을 과학기술정보통신부 이름으로 공식화했고 이제 디지털플랫폼정부위원회 차원에서 각계 전문가들과 구체적인 검토에 들어갔다. CSAP 제도 시행 7년 간 제한적인 기능과 규모의 SaaS 제품만 공공 분야에 공급되고 있는 상황에서 SW기업의 인증 부담을 낮추고 인증 취득으로 성장 가능성을 높일 수 있는 방안을 논의 중이다.

이영범 건국대학교 행정학과 교수는 "CSAP는 클라우드 업계를 넘어 클라우드를 근간으로 할 수 있는 의료, 정부, 교육, 국방, 도시 개발, 우주 등 다양한 산업 분야 혁신을 가로막아 왔다"면서 "각 분야별로 더 나은 성과를 도출할 기회를 높이고 국내 기술 기업의 성장 잠재력을 키우기 위해 CSAP 개혁을 미뤄서는 안 된다"고 강조했다.