정부가 과학기술정보통신부 등이 관할하는 공공 부문 클라우드 보안 인증제(CSAP)를 민간 인증으로 자율화하고, 공공 부문 접근에 대한 최종 허가권을 국가정보원으로 일원화하는 방안을 추진한다. 최근 한·미 관세협상 이행과 관련해 ‘빅테크 차별 금지’가 핵심 쟁점으로 부상한 것과 무관하지 않다는 분석이 지배적이다. 중복 인증을 하나로 통합하는 것이어서 적어도 표면적으론 마이크로소프트(MS) 등 미국 클라우드 사업자들이 요구해온 ‘진입 장벽’을 낮추는 결정으로 해석될 수 있어서다.
하지만 안보를 핵심 가치로 삼는 국정원이 통제권을 쥐는 것이 유럽연합(EU), 일본 등 다른 선진국과 비교해 유례없는 조치라는 지적도 만만치 않다. 관세 재협상의 또 다른 뇌관으로 등장할 가능성을 배제하기 어렵다는 얘기다.
1일 정부 및 업계에 따르면 CSAP 인증제를 주관하는 한국인터넷진흥원(KISA) 등은 최근 클라우드업계를 대상으로 민간 인증으로 자율화하는 방안 등을 포함해 설명회를 열고 의견을 들었다. 이와 관련해 과기정통부 관계자는 “중복 규제 문제를 해소하기 위한 것”이라며 “다만 CSAP가 디지털 무역장벽으로 작용한다는 비판을 감안한 것은 맞지만 이번 개편이 (관세협상 이행과 관련한) 미국의 요구 때문에 이뤄지는 것은 아니다”고 말했다. 국정원 측은 “보안 인증을 국정원 검증 제도로 일원화하기로 했다”며 “조만간 종합대책을 발표할 것”이라고 설명했다.
한·미 관세협상이 이번 제도 개편의 핵심 배경으로 거론된다. 지난해 11월 한·미 양국이 발표한 ‘관세협상’(경제·통상 전략적 무역·투자 합의) 팩트시트엔 ‘디지털 서비스 관련 법과 정책에서 미국 기업들이 차별당하거나 불필요한 장벽에 직면하지 않도록 보장할 것을 약속한다’는 문구가 적시돼 있다. 지난달 13일께 제임스 헬러 주한 미국대사대리가 배경훈 부총리 겸 과기정통부 장관 앞으로 보낸 서한에도 공동 팩트시트의 디지털 서비스 관련 약속을 이행하라는 내용이 담긴 것으로 알려졌다.
문제는 미국 정부가 이를 수용할 것이냐다. 클라우드업계 관계자는 “세계 클라우드 시장에서 한국이 차지하는 비중은 1% 남짓”이라면서도 “국정원이 보안 요건을 까다롭게 내세우면 미국이 관세 재협상과 관련해 자국에 유리한 쪽으로 꼬투리를 잡으려 할 것”이라고 우려했다. 또 다른 업계 관계자는 “안보를 중시하는 국정원의 시각이 아니더라도 소버린 AI(인공지능)를 구현하려면 AI데이터센터의 국적을 따지지 않을 수 없다”며 “빅테크가 국방·행정·금융·병원 등 한국 공공 클라우드 부문에 진출하려면 하이퍼스케일러 등 초대형 데이터센터를 한국에 지어야 할 것”이라고 말했다. 이런 기준에 비춰보면 SK텔레콤과 울산에 데이터센터를 짓기로 하는 등 한국 투자를 공언한 아마존웹서비스(AWS)가 가장 유리하다.
AI 전문가들은 이번 기회에 클라우드를 포함한 AI 생태계를 어떤 방식으로 구축할 것인지 충분한 논의가 필요하다고 입을 모은다. 예컨대 일본은 ISMAP(정부 정보시스템 보안평가) 같은 제도로 공공조달에 들어오는 클라우드의 보안·운영 요건을 표준화했다. 최신 ISMP 등록 문서엔 구글, AWS, 오라클 등이 포함돼 있다. 정부가 통제할 수 있다는 전제하에 문호를 대폭 개방한 방식이다.
이에 비해 유럽연합(EU)은 ‘소버린 클라우드’ 구축으로 기울고 있다. 다음달까지 이뤄질 예정인 ‘클라우드 Ⅲ 동적 구매 시스템’ 입찰에 ‘주권형’(소버린) 개념을 처음으로 적용하기로 했다. 공급망 투명성, 기술적 개방성, 보안, EU 법규 준수 등 8개 구체적 기준을 마련하고, 4개 사업자를 선정할 예정이다. 요건 중엔 클라우드 사업자가 미국 법의 영향을 받지 않는다는 점을 입증하도록 해 사실상 미 빅테크의 진입을 어렵게 했다.
이영애/최지희 기자 0ae@hankyung.com
하지만 안보를 핵심 가치로 삼는 국정원이 통제권을 쥐는 것이 유럽연합(EU), 일본 등 다른 선진국과 비교해 유례없는 조치라는 지적도 만만치 않다. 관세 재협상의 또 다른 뇌관으로 등장할 가능성을 배제하기 어렵다는 얘기다.
1일 정부 및 업계에 따르면 CSAP 인증제를 주관하는 한국인터넷진흥원(KISA) 등은 최근 클라우드업계를 대상으로 민간 인증으로 자율화하는 방안 등을 포함해 설명회를 열고 의견을 들었다. 이와 관련해 과기정통부 관계자는 “중복 규제 문제를 해소하기 위한 것”이라며 “다만 CSAP가 디지털 무역장벽으로 작용한다는 비판을 감안한 것은 맞지만 이번 개편이 (관세협상 이행과 관련한) 미국의 요구 때문에 이뤄지는 것은 아니다”고 말했다. 국정원 측은 “보안 인증을 국정원 검증 제도로 일원화하기로 했다”며 “조만간 종합대책을 발표할 것”이라고 설명했다.
한·미 관세협상이 이번 제도 개편의 핵심 배경으로 거론된다. 지난해 11월 한·미 양국이 발표한 ‘관세협상’(경제·통상 전략적 무역·투자 합의) 팩트시트엔 ‘디지털 서비스 관련 법과 정책에서 미국 기업들이 차별당하거나 불필요한 장벽에 직면하지 않도록 보장할 것을 약속한다’는 문구가 적시돼 있다. 지난달 13일께 제임스 헬러 주한 미국대사대리가 배경훈 부총리 겸 과기정통부 장관 앞으로 보낸 서한에도 공동 팩트시트의 디지털 서비스 관련 약속을 이행하라는 내용이 담긴 것으로 알려졌다.
문제는 미국 정부가 이를 수용할 것이냐다. 클라우드업계 관계자는 “세계 클라우드 시장에서 한국이 차지하는 비중은 1% 남짓”이라면서도 “국정원이 보안 요건을 까다롭게 내세우면 미국이 관세 재협상과 관련해 자국에 유리한 쪽으로 꼬투리를 잡으려 할 것”이라고 우려했다. 또 다른 업계 관계자는 “안보를 중시하는 국정원의 시각이 아니더라도 소버린 AI(인공지능)를 구현하려면 AI데이터센터의 국적을 따지지 않을 수 없다”며 “빅테크가 국방·행정·금융·병원 등 한국 공공 클라우드 부문에 진출하려면 하이퍼스케일러 등 초대형 데이터센터를 한국에 지어야 할 것”이라고 말했다. 이런 기준에 비춰보면 SK텔레콤과 울산에 데이터센터를 짓기로 하는 등 한국 투자를 공언한 아마존웹서비스(AWS)가 가장 유리하다.
AI 전문가들은 이번 기회에 클라우드를 포함한 AI 생태계를 어떤 방식으로 구축할 것인지 충분한 논의가 필요하다고 입을 모은다. 예컨대 일본은 ISMAP(정부 정보시스템 보안평가) 같은 제도로 공공조달에 들어오는 클라우드의 보안·운영 요건을 표준화했다. 최신 ISMP 등록 문서엔 구글, AWS, 오라클 등이 포함돼 있다. 정부가 통제할 수 있다는 전제하에 문호를 대폭 개방한 방식이다.
이에 비해 유럽연합(EU)은 ‘소버린 클라우드’ 구축으로 기울고 있다. 다음달까지 이뤄질 예정인 ‘클라우드 Ⅲ 동적 구매 시스템’ 입찰에 ‘주권형’(소버린) 개념을 처음으로 적용하기로 했다. 공급망 투명성, 기술적 개방성, 보안, EU 법규 준수 등 8개 구체적 기준을 마련하고, 4개 사업자를 선정할 예정이다. 요건 중엔 클라우드 사업자가 미국 법의 영향을 받지 않는다는 점을 입증하도록 해 사실상 미 빅테크의 진입을 어렵게 했다.
이영애/최지희 기자 0ae@hankyung.com
관련뉴스
