아마존웹서비스(AWS)·마이크로소프트(MS)·구글클라우드 등 해외 클라우드 사업자들이 국가정보원의 보안적합성(국내 CC)검증과 암호모듈검증의 벽을 넘지 못하고 클라우드보안인증(CSAP) 포기를 검토하고 있다. 이들 세 업체는 기존에 클라우드 무역장벽 역할을 하던 '물리적(하드웨어) 망 분리'는 완화됐지만 국정원의 인증 요구가 새 무역장벽이라며 반발할 조짐을 내비쳤다. 내년 한국·미국 간 무역분쟁의 새로운 주제로 떠오를 가능성이 점쳐진다.

13일 아주경제 취재를 종합하면 최근 AWS코리아·한국MS·구글클라우드코리아 등 글로벌 클라우드 기업 한국 법인이 약 반년 전에 신청한 CSAP 하(下)등급 인증절차가 모두 멈췄다. 인증절차가 재개될 가능성은 희박하다.

세 업체가 CSAP 하등급이 요구하는 '논리적(소프트웨어) 망 분리' 요건을 충족했음에도 심사가 멈춘 이유는 국정원이 CSAP 인증을 위해 국내 CC검증을 받은 서버 장비를 이용하고, 한국에서 개발한 암호화 알고리즘인 '아리아(ARIA)'와 '시드(SEED)'를 기반으로 네트워크를 암호화할 것을 요구했기 때문이다.

AWS·MS·구글클라우드는 현재 국내 CC 인증에 준하거나 이를 넘어서는 보안을 갖춘 해외 CC 인증 서버 장비를 이용하고 있고, 국제 표준 암호화 알고리즘인 'AES(Advanced Encryption Standard)'로 네트워크를 보호하는 만큼 국정원의 요구가 사실상 무역장벽이나 다름없다고 불만을 토로했다. 한국 정부가 공공 클라우드 시장을 외국 기업에 개방할 뜻이 없음을 우회적으로 드러낸 것 아니냐는 주장이다.

한 해외 클라우드 업체 관계자는 "(정부 정책에 따라) 현지 표준인 국내 CC 인증이나 아리아·시드 암호화를 요구할 수는 있다"고 말했다. 그러면서 "하지만 국정원의 지침은 반드시 해당 표준을 따르라고 강제하고, 그에 준하는 글로벌 표준 기술을 전혀 인정하지 않는 점에서 문제가 있다"고 지적했다.

이러한 해외 클라우드 업체들의 주장에 국정원은 "황당하다"는 입장을 내비쳤다. 클라우드 보안·안정성을 확보하기 위한 정책일 뿐 무역장벽과는 아무런 관계가 없다고 선을 그었다. 

이들 세 업체는 국정원과 함께 CSAP 주무기관인 과학기술정보통신부에 대한 불만도 내비쳤다. 지난 1월 클라우드 보안인증에 관한 고시를 일부 개정해 CSAP 하등급 정책을 도입한 후 국정원·한국인터넷진흥원(KISA)이 진행하는 실제 심사 과정은 '나 몰라라' 방치하고 있다는 주장이다.

이에 세 업체 가운데 일부는 CSAP 하등급 신청 철회를 준비 중이다. 공공 시장 규모가 얼마나 될지 확실치 않은 상황에서 보안 원천 기술을 공개하라는 것과 다름 없는 국정원의 무리한 요구를 수용할 수는 없다는 것이다. 업계에선 세 업체가 신청을 철회하면 세 업체와 함께 공공기관에 자사가 개발한 '서비스형 소프트웨어(SaaS)'를 공급하려던 국내 중견 소프트웨어 기업도 피해를 볼 것이라고 지적했다. 해외 업체 관계자는 "전 세계에서 유례를 찾기 힘든 강력한 규제다"라며 "사실상 한국 공공 클라우드 시장에서 사업을 하지 말라는 것"이라고 말했다. 
  ◆한·미 클라우드 분쟁 새 주제 CC 인증·암호화 모듈…향후 전개 방향은?

빅테크로 분류되는 아마존·마이크로소프트·구글이 개정한 CSAP 하등급 제도에 강한 불만을 내비침에 따라 내년에도 미국 무역대표부(USTR)와 주한미국상공회의소(AMCHAM·암참)를 통한 대정부 압박이 거세질 전망이다.

지난 3월 USTR은 '2023년 국가별 무역장벽보고서'를 발행하며 CSAP와 함께 국내 CC 인증을 무역장벽으로 명시했다. 물리적 망 분리를 강제하던 CSAP에 이어 국내 CC 인증도 문제 삼은 것이다. 당시 미국 정부는 "국제 CC 인증이 한국에서 인정받지 못하는 것이 문제"라며 "한국이 국제보안평가상호인정협정(CCRA) 회원국으로서 의무를 준수해야 한다"고 지적했다.

이어 USTR은 "국정원이 AES 대신 아리아·시드를 기반으로 한 암호화 모듈만 인증하고 있다"며 "한국 전용 제품 개발이 필요하기 때문에 미국 회사가 시장에 접근하는 데 제한이 된다"고 덧붙였다.

암참은 지난해 7월 정부에 CSAP 제도 개선과 관련한 건의안을 보냈다. 건의안에는 CSAP를 등급제로 개편하면서 하·중 등급은 논리적 망 분리를 허용하고 국방부·외교부 등 민감한 부처를 제외한 모든 공공 기관에서 해외 클라우드 서비스를 이용할 수 있도록 개방해 달라는 내용이 담겼다.

내년에도 빅테크가 주장하는 중 등급의 논리적 망 분리 허용, 국제 CC 인증과 AES 인정 등의 요구사항이 미국 정부와 암참을 통해 한국 정부에 전달될 것으로 보인다.

반면 국내 클라우드 기업은 해외 업체들의 이러한 주장에 반발하고 있다. 한국 정부가 요구하는 보안 규정을 모두 충족하며 국내 사업을 진행하는 업체들이 있는 상황에서 정부가 규제를 완화하는 것은 해외 업체들에 대한 특혜라는 것이다.

한 국내 클라우드 업체 관계자는 "냉정하게 평가해 공공 클라우드 시장은 민간에 비하면 규모가 한참 작다"며 "정부가 (보안 등과 관련해) 무리한 요구를 했다면 국내 기업들이 먼저 반발했을 것"이라고 말했다.

국내 기업 육성을 위해 공공 시장을 지켜야 한다는 목소리도 높다. 지난해 말 공정거래위원회가 발표한 국내 클라우드 시장 점유율을 보면 2021년 기준 AWS 62.1%, MS 12.0%, 네이버 7.0%로 해외 업체가 압도적으로 유리하다. 올해 들어 생성 인공지능(AI) 열풍으로 AI 모델과 GPU(AI 반도체 포함) 서버를 갖추고 있는 MS 애저클라우드와 구글클라우드에 대한 기업들의 선호가 급증한 점을 고려하면 해외 업체와 국내 업체 간 간격이 더 벌어졌을 가능성이 크다. 공공·금융·교육 등이 국내 클라우드를 적극 활용해 국내 업체들이 기초 체력을 기를 수 있게 지원하지 않으면 결국 국내 클라우드 시장도 미디어·OTT(인터넷 스트리밍)처럼 빅테크 천하가 될 것이라는 주장이 나오는 이유다. 클라우드가 국가 미래 경쟁력에 직결된 생성 AI의 근간이 되는 핵심 인프라인 점을 고려하면 중요성은 더욱 커진다.

한편, 과기정통부·국정원이 추진 중인 CSAP 중·상 등급제 시행은 내년으로 미뤄질 전망이다. 현재 두 기관은 국내 클라우드 업체와 함께 민간 서비스를 중·상 등급 공공 시스템에 적용할 수 있을지 실증 작업을 진행 중이다. 이러한 실증 내용을 바탕으로 올해 중 중·상 등급 시행을 위한 구체적인 고시안을 만들고 이르면 내년 상반기 중에 CSAP 중·상 등급제를 추가 시행할 계획이다.