세계 클라우드 시장 선두 업체 아마존웹서비스(AWS)가 한국 정보기술(IT) 공공 조달 시장에서 요구되는 클라우드 보안 인증(CSAP) 제도에 대해 '개선돼야 할 무역장벽'이라고 표현해 반향을 일으키고 있다. 미국이 주도하는 '인도·태평양 경제 프레임워크(IPEF)'에 한국이 참여하려면 해소돼야 할 문제라는 게 AWS 측 견해다. 한국 정부는 외국계 기업의 접근을 근본적으로 제한하지 않는 CSAP 제도를 무역장벽으로 규정할 수 없다는 입장이지만, 정부가 IPEF 논의에 참여해 디지털 무역 규범을 논의하는 과정에 CSAP 제도가 변경될 수 있다.
한국 정부는 오는 2025년까지 모든 행정·공공기관 정보시스템을 클라우드로 전환하는 정책을 추진 중인데, 기업의 공공 클라우드 사업 참여 기회는 사실상 CSAP 취득 여부에 달렸다. 국내 기업은 사업 참여를 목적으로 CSAP를 취득하는 추세지만, 다국적 기업은 어느 곳도 CSAP를 취득하지 않아 이 사업에 참여할 수 없다. 다국적 기업은 CSAP 인증 요건 중 공공 조달용 클라우드 서비스를 운영·관리하는 네트워크 자체를 민간 기업용 인프라 네트워크와 별도로 구성해야 충족되는 '물리적 망 분리' 규정을 수용하기 어렵다는 입장이다.
AWS는 지난 13일 클라우드 보안을 주제로 국내 언론사 대상 온라인 브리핑을 진행했다. 이날 AWS 내 보안 담당 부서를 총괄하는 필 로드리게스(Phil Rodrigues) AWS 아시아·태평양 지역(이하 '아태지역') 보안 솔루션즈 아키텍트 부문장이 AWS 클라우드 인프라가 세계 각국 공공·민간 조직의 요구사항을 충족해 획득한 인증 현황을 소개하고, 다수 이용자에게 공용 자원을 제공하는 AWS 클라우드 서비스의 제공자와 이용자에게 적용되는 '책임 공유 모델(shared responsibility model)' 개념을 설명했다.
로드리게스 부문장은 이날 발표 후 CSAP 제도와 관련된 질문을 받고 "아시다시피 한·미 정상회담에서 미국이 주도하는 IPEF 가입 의제가 언급됐다"면서 "CSAP는 (한국이) IPEF 가입 시 국제 무역장벽을 해소하기 위해 해결해야 할 문제 중 하나"라고 답했다. IT 업계에선 이 발언을 매우 이례적인 것으로 받아들인다. 다국적 기업이 한국 정부가 운영하고 있는 제도를 '문제가 있다'고 공개적으로 비판하는 일이나, AWS가 CSAP 제도와 관련한 공식 입장을 구체적으로 언급한 사례가 드물기 때문이다.
미국에 본사가 있는 다국적 IT 기업은 한국 정부의 법률·정책에 관련된 입장을 공개적으로 내놓는 데에 소극적이다. 문제를 제기하더라도 '아쉬운 점이 있다'는 식의 모호한 표현을 쓴다. 규제 개선과 관련된 구체적인 의견은 외부에 공표하지 않는다. 대신 이런 입장을 미국의 민간단체인 '미국상공회의소(AMCHAM·암참)'와 연방정부의 통상정책 총괄 기관인 '무역대표부(USTR)'에 내면, 이들이 한국 정부부처와 유관기관에 대신 전한다. 이런 일련의 과정은 대외에 공개되지 않고, 외부에서 이들 간 논의의 세부 사항을 확인하기도 어렵다.
그런데 최근 AWS는 한국 공공시장 접근을 어렵게 만드는 CSAP 제도를 본사 차원에서 주시해 왔고 이를 바꾸기 위해 노력해 왔다는 점을 인정했다. 맥스 피터슨 AWS 월드와이드 공공사업부문 부사장은 지난달 미국 워싱턴DC에서 개최된 'AWS 공공부문 서밋 2022'의 사전 행사 자리에서 본지와 인터뷰 중 한국 공공시장 사업계획에 대해 묻자 "한국 특화 맞춤 체계보다 공동 표준을 이용하라고 제안하겠다"고 답했다. 피터슨 부사장은 CSAP를 직접 언급하지 않았지만 특정 국가만의 제도는 시대에 역행한다고도 지적했다. 로드리게스 부문장의 발언은 이런 관점의 연장선에 있다.
AWS코리아도 CSAP 관련 언론 문의에 직접 답하기 시작했다. AWS코리아 관계자는 "2016년부터 AWS는 한국 정부와 국내 고객을 대상으로 고객 데이터를 국내에 저장할 수 있도록 지원하는 현지 데이터센터와 완전한 범주의 보안 관련 도구·서비스를 포함하는 세계적 수준의 인프라를 제공해 왔다"며 "AWS는 다른 어떤 클라우드 제품보다 더 많은 보안 인증서를 지원하며 가장 민감한 정보를 안전하게 보호하기 위해 AWS를 신뢰하는 금융 서비스 제공업체, 의료 서비스 제공업체, 정부 기관 등 전 세계와 국내 고객에게 서비스를 제공한다"고 설명했다.
윤석열 대통령은 지난달 IPEF 출범 정상회의 기조연설을 통해 공급망·디지털·인프라·청정에너지 등 분야에서 한국이 주도적 역할을 할 계획이라고 밝히고 "디지털 경제 분야에 협력하면서 한국이 인공지능, 데이터, 6G 기술 혁신을 주도하겠다"고 말했다. 향후 마련될 IPEF 참여국 간 디지털 무역 규범이 변수다. USTR의 시각이 디지털 무역 규범 논의에 반영되면 CSAP 같은 IT 보안 인증 제도의 규정이나 운영 방식이 참여국 간 협상 범위에 포함되고 미국이 IT 보안 분야 인증 제도 축소·완화를 요구할 수 있다.
미국 정부기관인 USTR은 매년 발간하는 '무역장벽보고서'를 통해 다년간 한국 IT 보안 인증 제도에 자국 기업의 공공시장 진입이 막혔다고 주장해 왔다. 작년부터 아예 CSAP를 무역장벽으로 직접 거론하기 시작했다. CSAP를 비롯한 국내 IT 보안 인증 제도가 미국과의 통상 마찰 원인이 될 수 있다는 일각의 주장에 대해 한국 정부는 '그렇지 않다'고 일축해 왔다. 명시적인 상호 디지털 무역 규범이 없기 때문에 다른 나라가 한국 시장의 클라우드 서비스라는 디지털 상품과 관련된 제도를 고쳐야 한다고 요구할 명분이나 권한이 없다는 것이다.
그런데 명분이 생겼다. 안덕근 산업통상자원부 통상교섭본부장이 지난 11일 프랑스 파리에서 캐서린 타이 USTR 대표가 주관한 'IPEF 비공식 장관회의'에 참석했다. 안 본부장은 역내 국가 간 주요 협력분야로 디지털 신기술에 대한 표준 수립을 제시하고 디지털 분야의 인프라 협력, 중소기업의 디지털 통상 참여 확대, 디지털 역량 강화 사업 등을 주요 과제로 제안했다. 산업부는 이날 "디지털 통상, 무역 원활화 등 분야에 대한 통상규범 형성과 역내 협력 활성화 방안이 논의됐고 참여국들이 무역 분야 협상 범위에 대한 집중적인 논의를 해나가기로 했다"고 밝혔다.
지난 23일에는 'IPEF 민관전략회의'가 출범해 첫 전체회의가 열렸다. 산업부 통상 분야 고위 공무원들과 민간 경제단체 관계자, 인터넷·클라우드·반도체 등 업종별 협단체 관계자, 정책·산업·경제 전문가들이 참석했다. 이 자리에서 안 본부장은 "IPEF는 전통적인 무역 이슈를 넘어 공급망, 디지털 등 신(新)통상 이슈에 대응하는 경제통상협력체로서, 공급망 안정화·다변화와 함께 산업 경쟁력을 강화하고, 인·태 지역 진출 기회를 확대하는 데 의미가 있다"면서 "우리 협상전략에 기업의 이해와 관심 사항을 반영하기 위해 민간 부문과의 소통이 중요한 바, 업계 의견을 적극 개진해줄 것"을 당부했다.
로드리게스 부문장은 한국 정부를 위한 CSAP 제도 변경 방안에 대해서도 첨언했다. 그는 "한국이 국가 안보와 관련된 분야에 클라우드를 사용하면서 '데이터 지역성(data locality)'을 달성하기 위해 한국의 기준을 준수하더라도, 그에 해당되지 않는 분야는 적용 대상에서 제외하는 것이 국제 표준에 맞는다고 본다"며 "하이퍼스케일 데이터센터 운영과 확장을 위해 국제 표준과 부합하는 것이 중요하다"고 말했다. 이는 국가 안보와 관련성이 낮은 공공 조달용 클라우드에 한해 CSAP 인증 요건을 축소하거나 취득 의무를 덜어주는 제도 변경 방안을 시사한다.
앞서 AWS는 일본 정부가 요구하는 공공 조달용 퍼블릭 클라우드 서비스 보안 인증인 '정보시스템 보안관리 및 평가 프로그램(ISMAP)'을 취득했고 한국에선 정보시스템 운영 절차가 보안 요구사항을 준수하는지 확인하는 '정보보호관리체계(ISMS)' 인증을 취득하기도 했다. AWS는 지난 5년간 CSAP를 운영하는 한국인터넷진흥원(KISA)과 기준 완화를 논의해 왔다고 밝혔다. 정황상 CSAP 인증 요건이 완화되면 AWS가 인증을 취득해 한국에서 공공 조달용 클라우드 시장에 진입할 것으로 보인다.
과기정통부·행안부 산하 기관인 한국지능정보사회진흥원(NIA)이 작년 말 구체적인 CSAP 인증 개선 방안을 연구한 보고서를 발간했다. 해당 보고서는 "각 공공부문마다 필요로 하는 보안 수준이 다름에도 최대 두 가지 등급으로 차등을 둬 서비스 적절성 측면에 개선이 필요하다"면서 "CSAP의 문턱을 낮추고 각 기관에 적절한 서비스가 제공될 수 있도록 클라우드 서비스의 중요도와 민감도에 따라 다양한 인증 등급을 마련"하라고 주문했다. 이 주문은 AWS의 제안과 맞물린다. 하지만 이런 CSAP 제도 변경은 법령 개정 절차를 거쳐야 한다.
한국 정부는 오는 2025년까지 모든 행정·공공기관 정보시스템을 클라우드로 전환하는 정책을 추진 중인데, 기업의 공공 클라우드 사업 참여 기회는 사실상 CSAP 취득 여부에 달렸다. 국내 기업은 사업 참여를 목적으로 CSAP를 취득하는 추세지만, 다국적 기업은 어느 곳도 CSAP를 취득하지 않아 이 사업에 참여할 수 없다. 다국적 기업은 CSAP 인증 요건 중 공공 조달용 클라우드 서비스를 운영·관리하는 네트워크 자체를 민간 기업용 인프라 네트워크와 별도로 구성해야 충족되는 '물리적 망 분리' 규정을 수용하기 어렵다는 입장이다.
AWS는 지난 13일 클라우드 보안을 주제로 국내 언론사 대상 온라인 브리핑을 진행했다. 이날 AWS 내 보안 담당 부서를 총괄하는 필 로드리게스(Phil Rodrigues) AWS 아시아·태평양 지역(이하 '아태지역') 보안 솔루션즈 아키텍트 부문장이 AWS 클라우드 인프라가 세계 각국 공공·민간 조직의 요구사항을 충족해 획득한 인증 현황을 소개하고, 다수 이용자에게 공용 자원을 제공하는 AWS 클라우드 서비스의 제공자와 이용자에게 적용되는 '책임 공유 모델(shared responsibility model)' 개념을 설명했다.
로드리게스 부문장은 이날 발표 후 CSAP 제도와 관련된 질문을 받고 "아시다시피 한·미 정상회담에서 미국이 주도하는 IPEF 가입 의제가 언급됐다"면서 "CSAP는 (한국이) IPEF 가입 시 국제 무역장벽을 해소하기 위해 해결해야 할 문제 중 하나"라고 답했다. IT 업계에선 이 발언을 매우 이례적인 것으로 받아들인다. 다국적 기업이 한국 정부가 운영하고 있는 제도를 '문제가 있다'고 공개적으로 비판하는 일이나, AWS가 CSAP 제도와 관련한 공식 입장을 구체적으로 언급한 사례가 드물기 때문이다.
'국제 표준' 강조하며 한국 CSAP 콕 짚어 제도 변화 촉구
그런데 최근 AWS는 한국 공공시장 접근을 어렵게 만드는 CSAP 제도를 본사 차원에서 주시해 왔고 이를 바꾸기 위해 노력해 왔다는 점을 인정했다. 맥스 피터슨 AWS 월드와이드 공공사업부문 부사장은 지난달 미국 워싱턴DC에서 개최된 'AWS 공공부문 서밋 2022'의 사전 행사 자리에서 본지와 인터뷰 중 한국 공공시장 사업계획에 대해 묻자 "한국 특화 맞춤 체계보다 공동 표준을 이용하라고 제안하겠다"고 답했다. 피터슨 부사장은 CSAP를 직접 언급하지 않았지만 특정 국가만의 제도는 시대에 역행한다고도 지적했다. 로드리게스 부문장의 발언은 이런 관점의 연장선에 있다.
AWS코리아도 CSAP 관련 언론 문의에 직접 답하기 시작했다. AWS코리아 관계자는 "2016년부터 AWS는 한국 정부와 국내 고객을 대상으로 고객 데이터를 국내에 저장할 수 있도록 지원하는 현지 데이터센터와 완전한 범주의 보안 관련 도구·서비스를 포함하는 세계적 수준의 인프라를 제공해 왔다"며 "AWS는 다른 어떤 클라우드 제품보다 더 많은 보안 인증서를 지원하며 가장 민감한 정보를 안전하게 보호하기 위해 AWS를 신뢰하는 금융 서비스 제공업체, 의료 서비스 제공업체, 정부 기관 등 전 세계와 국내 고객에게 서비스를 제공한다"고 설명했다.
'무역장벽' 규정은 美 정부 시각 반영…IPEF 연계 가능성
미국 정부기관인 USTR은 매년 발간하는 '무역장벽보고서'를 통해 다년간 한국 IT 보안 인증 제도에 자국 기업의 공공시장 진입이 막혔다고 주장해 왔다. 작년부터 아예 CSAP를 무역장벽으로 직접 거론하기 시작했다. CSAP를 비롯한 국내 IT 보안 인증 제도가 미국과의 통상 마찰 원인이 될 수 있다는 일각의 주장에 대해 한국 정부는 '그렇지 않다'고 일축해 왔다. 명시적인 상호 디지털 무역 규범이 없기 때문에 다른 나라가 한국 시장의 클라우드 서비스라는 디지털 상품과 관련된 제도를 고쳐야 한다고 요구할 명분이나 권한이 없다는 것이다.
그런데 명분이 생겼다. 안덕근 산업통상자원부 통상교섭본부장이 지난 11일 프랑스 파리에서 캐서린 타이 USTR 대표가 주관한 'IPEF 비공식 장관회의'에 참석했다. 안 본부장은 역내 국가 간 주요 협력분야로 디지털 신기술에 대한 표준 수립을 제시하고 디지털 분야의 인프라 협력, 중소기업의 디지털 통상 참여 확대, 디지털 역량 강화 사업 등을 주요 과제로 제안했다. 산업부는 이날 "디지털 통상, 무역 원활화 등 분야에 대한 통상규범 형성과 역내 협력 활성화 방안이 논의됐고 참여국들이 무역 분야 협상 범위에 대한 집중적인 논의를 해나가기로 했다"고 밝혔다.
지난 23일에는 'IPEF 민관전략회의'가 출범해 첫 전체회의가 열렸다. 산업부 통상 분야 고위 공무원들과 민간 경제단체 관계자, 인터넷·클라우드·반도체 등 업종별 협단체 관계자, 정책·산업·경제 전문가들이 참석했다. 이 자리에서 안 본부장은 "IPEF는 전통적인 무역 이슈를 넘어 공급망, 디지털 등 신(新)통상 이슈에 대응하는 경제통상협력체로서, 공급망 안정화·다변화와 함께 산업 경쟁력을 강화하고, 인·태 지역 진출 기회를 확대하는 데 의미가 있다"면서 "우리 협상전략에 기업의 이해와 관심 사항을 반영하기 위해 민간 부문과의 소통이 중요한 바, 업계 의견을 적극 개진해줄 것"을 당부했다.
"국가 안보 해당 안 되면 적용 제외해야" CSAP 변경 제안
앞서 AWS는 일본 정부가 요구하는 공공 조달용 퍼블릭 클라우드 서비스 보안 인증인 '정보시스템 보안관리 및 평가 프로그램(ISMAP)'을 취득했고 한국에선 정보시스템 운영 절차가 보안 요구사항을 준수하는지 확인하는 '정보보호관리체계(ISMS)' 인증을 취득하기도 했다. AWS는 지난 5년간 CSAP를 운영하는 한국인터넷진흥원(KISA)과 기준 완화를 논의해 왔다고 밝혔다. 정황상 CSAP 인증 요건이 완화되면 AWS가 인증을 취득해 한국에서 공공 조달용 클라우드 시장에 진입할 것으로 보인다.
과기정통부·행안부 산하 기관인 한국지능정보사회진흥원(NIA)이 작년 말 구체적인 CSAP 인증 개선 방안을 연구한 보고서를 발간했다. 해당 보고서는 "각 공공부문마다 필요로 하는 보안 수준이 다름에도 최대 두 가지 등급으로 차등을 둬 서비스 적절성 측면에 개선이 필요하다"면서 "CSAP의 문턱을 낮추고 각 기관에 적절한 서비스가 제공될 수 있도록 클라우드 서비스의 중요도와 민감도에 따라 다양한 인증 등급을 마련"하라고 주문했다. 이 주문은 AWS의 제안과 맞물린다. 하지만 이런 CSAP 제도 변경은 법령 개정 절차를 거쳐야 한다.
"사업자는 인프라, 고객은 통제권·데이터"…책임 공유 설파
로드리게스 부문장은 "책임 공유 모델 안에서 AWS는 전반적인 데이터센터 관리, 원격 관리, 내부 직원 견제와 감시, 운영하는 보안 모델 등을 포함해 물리적인 인프라에 대해 책임진다"고 설명했다. 또 그는 "고객사는 AWS의 데이터베이스(DB)를 선택할 때 누가 이 DB에 접근할지 고려하고 사용자 계정과 패스워드를 설정하는 등 선택하고 사용하는 서비스를 책임진다"면서 "보안성이 덜 요구되는 워크로드를 클라우드에 올릴 수도 있고 (높은 보안성이 필요한) '미션 크리티컬' 워크로드를 올릴 수도 있는데 이런 유연성을 바탕으로 다양한 워크로드를 운영할 수 있다"고 설명했다.
AWS 클라우드 서비스는 물리적으로 독립된 여러 데이터센터 인프라를 묶은 '리전(region)'이라는 단위로 제공된다. 전 세계에 26개 리전이 있다. AWS는 클라우드 제공자로서 이 모든 리전에 동등하게 수준 높은 보안성을 갖춰 전 세계 클라우드 인프라의 보안을 책임진다. 국제 보안 표준인 ISO 9001 등을 기반으로 검증된 보안 프로세스를 수행하고, 각국의 규제를 따르기 위해 별도 보안 인증 체계도 준수하고 있다. 지난 2017년 AWS의 모든 클라우드 자원 환경에 대해 KISA의 ISMS 인증을 취득했고 2021년 새로 도입된 ISMS-P 인증도 받았다.
"솔루션·파트너·규제준수로 클라우드 보안 강화 지원"
다만 AWS는 고객사에 전문가 지원과 클라우드 운영 환경의 보안 수준을 측정·평가하고 보안을 강화하는 도구를 제공해 서비스 개발과 설계 전반의 보안 수준을 높이도록 돕고 있다. 고객사는 계정접근관리(IAM), 탐지통제(detective control), 인프라 보호, 데이터 보호, 침해대응(incident response), 규제준수(compliance) 등 6개 분야별 AWS 자체 솔루션과 삼성SDS, LG CNS, SK쉴더스 등 'AWS 시큐리티 컴피턴시 파트너' 자격을 보유한 파트너의 솔루션을 활용할 수 있다.
로드리게스 부문장은 "규제 준수는 AWS가 더 원활하게 고객을 지원하게 해주는 만큼 한국 고객사에도 큰 도움이 된다"면서 "AWS는 수준 높은 데이터 프라이버시와 보안 표준을 충족하고 데이터 레지던시(data residency), 암호화 서비스를 제공하는 데 한국 내 개인정보보호뿐 아니라 이런 기준을 다른 국가에서도 준수할 수 있도록 지원해 개발사들이 강력한 앱과 워크로드를 만들 수 있도록 했다"고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지