[스타트업이 새 정부에 진짜 원하는 것 ①] 클라우드 장벽에서 꺼내주세요

[바이라인네트워크x코딧 공동 기획] 스타트업은 어떤 정책을 필요로 할까요? 21대 대선을 앞두고, 스타트업이 새 정부에 진짜 원하는 정책을 총 5회에 걸쳐 연재합니다. 이제 막 성장하는 스타트업들이 어떤 정책을 바라고 있는지 취재했습니다. 새로 탄생하는 정부가 앞으로 이 이슈에 관심을 갖고, 더 나은 정책을 만들어주길 바라는 마음을 담았습니다. 이 기사는 정책 연구 스타트업 코딧과 바이라인네트워크가 함께 합니다.

# 처음부터 글로벌 진출을 생각하며 창업했다. 여러 편의를 고려, AWS를 선택했으나 생각지 못한 벽에 부딪혔다. 국내 공공 조달 시장에 들어가기 위해선 국산 클라우드 서비스를 써야 하는 상황인 것. 인프라를 이중화하고, 소스코드도 양쪽에서 관리해야 하니 인력도 비용도 많이 든다. 불편하고, 애로사항이 많다. 왜 공공 시장에는 국산 클라우드만 써야 할까?

국내 SaaS(Software as a Service) 스타트업은 클라우드 딜레마에 빠져 있다. ‘어느 나라의 클라우드를 써야 하느냐’라는 문제 때문에 고민이 깊다. 세계적으로 유명한 글로벌 클라우드를 기반으로 제품을 만들자니 정부나 공공부문에 납품하는 것이 불가능해진다. 그렇다고 정부 공공 시장을 위해 국내 클라우드를 사용하자니 해외시장 진출이 어렵다.

이런 딜레마의 원인은 ‘클라우드 보안 인증제도(CSAP)’에서 비롯한다. 해당 인증이 없는 클라우드 서비스는 공공 조달시장에 참여할 수 없다. 정부는 클라우드 보안성 확보를 목표로 2016년부터 CASP를 획득한 클라우드만 사용할 수 있도록 하고 있다. 정부 및 공공 부문에 조달하기 위한 인증서 같은 것이다.

이 제도는 민감 정보를 처리하는 공공 시스템에 ‘물리적 망분리’ 만을 허용한다. 내부망과 외부망을 완전히 별개의 네트워크로 구축하라는 것이다. 이 조건은 글로벌 서비스의 발목을 잡았다. 세계적으로 가장 많이 쓰이는 아마존웹서비스(AWS)나 구글클라우드, 마이크로소프트 애저 등은 망을 물리적으로 따로 쓰지 않고, 대체로 가상화 솔루션을 통해 내부망과 외부망을 구분하는 ‘논리적 망분리’를 한다.

만약 어떤 SaaS가 클라우드 인프라를 AWS에 두고 있다면 이 서비스는 공공 조달에 참여할 수 없다. AWS가 CASP 인증을 받지 않았기 때문에 그 위에서 돌아가는 SaaS도 공공 조달에 넣을 수 없는 것이다.

CSAP란?

– CSAP(Cloud Security Assurance Program)는 클라우드서비스 제공자가 제공하는 서비스에 대해 “클라우드컴퓨팅 법률“ 제23조의 2에 따라 정보보호 수준의 향상 및 보장을 위해 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대해 보안인증을 수행하는 ‘국내인증’ 제도.

– 한국은 CSAP 인증을 받은 클라우드 서비스만이 국가기관, 공공기관, 일부 민간분야(특히 공공기관과 연계된 사업 등)에 도입될 수 있음.

정부가 CSAP를 의무화한 이유는 ‘보안’ 때문이다. 우리 정부는 데이터의 민감도·중요도에 따라 2023년부터 CSAP의 등급을 상중하의 3단계 등급제로 개편했다. 이 중 ‘하’ 등급에만 ‘논리적 망분리’를 허용했다. 국내에서는 AWS나 마이크로소프트 애저, 구글클라우드 등이 하 등급을 취득했다. 글로벌 클라우드 서비스 공급자(CSP)의 진입이 일부 가능해진 것.

그러나 하 등급은 개인정보를 포함하지 않는 공개 데이터 처리 시스템만을 대상으로 한다. 민감한 정보를 처리하는 공공 시스템은 중등급 이상부터 진입이 가능한데, 여기서는 물리적 망분리만이 접근 가능해 외산 클라우드를 쓰긴 어렵다.

제도 현황

– 제도 도입 초기에는 단일 등급으로 운영되으나, 2023년부터 ‘상·중·하’ 3단계 등급제로 개편. 등급 별 진입 가능한 시장이 구분.

■ 상 등급: 국가 안보·외교 등 중대이익에 해당하는 행정 내부 시스템에 적용. 외부 네트워크 차단, 보안 감사 로그 통합관리 등 고강도 평가 요건을 요구.

■ 중 등급: 기존 CSAP 인증과 동일한 수준으로, 민감정보를 처리하는 공공 시스템에 적용. 기존 단일 등급 인증 보유 사업자는 중 등급으로 인정.

■ 하 등급: 개인정보를 포함하지 않는 공개 데이터 처리 시스템을 대상으로 함. 물리적 망 분리 대신 논리적 망 분리를 허용해 글로벌 CSP(Cloud Service Provider)의 진입이 가능해짐.

문제는 이같은 정책이 국내 SaaS(클라우드 기반 소프트웨어, Software as a Service) 스타트업에 규제로 작용한다는 점이다. SaaS 스타트업이 정부 및 공공부문에 제품을 공급하기 위해서는 CSAP 인증을 중듭급 이상 받은 클라우드에 기반을 둬야 한다.

하지만 AWS, GCP, MS 애저와 같은 글로벌 클라우드는 이 인증을 받지 않았다. 결국 정부 및 공공부문에 SaaS를 납품하기 위해서는 아직 국내 클라우드에 기반을 둬야 한다는 결론이 나온다. 그러나 국내 클라우드는 글로벌 시장에서 영향력이 크지 않고, 세계 곳곳에 리전을 두지 않았다. 이 때문에 국내 클라우드 기반으로 해외시장에 진출하는 것은 매우 어렵다.

정부가 국내 스타트업의 글로벌 진출을 장려하면서, 정책적으로는 ‘클라우드 이원화’라는 진입장벽을 둬서 기업의 경쟁력만 악화시킨다는 비판이 나오는 이유다. 대체로 SaaS 기업은 레퍼런스 확보나 생존을 위해 국내 시장에서 자리를 잡고, 글로벌 진출을 하는 경우가 많은데, 클라우드 이원화로 처음부터 허들이 존재한다고 하소연한다.

정지은 코딧 대표는 “스타트업은 국내 공공 분야에 대응하기 위해 상중 등급 기준을 충족하는 국내 클라우드 인프라를 사용해야 하며, 동시에 해외 시장 진출이나 글로벌 표준 인프라 활용을 위해 글로벌 클라우드도 병행해야 한다”면서 “이처럼 국내용과 해외용 클라우드 인프라를 이원적으로 구축운영해야 하는 구조는 인력, 비용, 기술적 측면에서 스타트업에게 상당한 부담으로 작용하며 효율적 운영이 어렵다”고 강조했다.

이는 CSAP가 중소 SaaS 기업에게 특히 큰 부담이 되며, 공공 시장 진입을 포기하거나 지연시키는 요인으로 작용한다는 것을 뜻한다. SaaS 스타트업의 시각에서 보면 이 제도 덕분에 혜택을 보는 것은 KT나 네이버와 같은 대기업이다. 정부 정책이 스타트업에 장애물이 되고, 대기업에 혜택이 되는 셈이다. 한 스타트업 대표는 “정부가 힘없는 스타트업이 아니라 힘센 대기업을 지원한다”고 비판하기도 했다.

과연 CSAP를 받은 국내 클라우드가 보안 면에서 더 안전하다고 확언할 수 있느냐는 의구심을 표하는 목소리도 있다. 해외 클라우드 서비스의 경우 수많은 글로벌 인증을 받고 있는데, CSAP가 없다고 해서 안전하지 않다고 볼 수 없다는 것이다. 국산 협업툴 ‘플로우’를 운영하는 이학준 마다라스체크 대표는 “AWS에 국산 클라우드보다 보안 솔루션이 더 적게 들어가지는 않았을 것”이라고 꼬집었다.

미국무역대표부(USTR) 역시 2025년 무역장벽보고서(NTE)에서, CSAP가 외국 클라우드 기업의 한국 공공시장 진입에 실질적 장벽으로 작용하고 있다고 지적하고, 중등급까지 외국 클라우드 기업이 참여할 수 있도록 제도 개선을 요구하기도 했다.

이학준 마다라스체크 대표는 “CSAP가 국산 클라우드를 보호하기 위한 정책은 될 수 있겠지만, SaaS나 서비스 단을 관리하는 기업에게는 오히려 성장을 막는 진입장벽이 될 수 있어 다수의 중소기업이 혜택을 보는 정책은 아니다”라면서 “우리 같은 솔루션 업체들이 수십, 수백개는 될텐데 그런 업체들이 공공에도 더 많이 쉽게 공급하고 판매하고 매출도 올리는 기회를 주는 것이, 크게 봤을 때는 국가적인 산업 발전에 더 도움이 된다고도 볼 수 있다”고 강조했다.

글. 바이라인네트워크

<남혜현 기자> smilla@byline.network