정부는 20일 과학기술정보통신부와 국가정보원이 공공 클라우드 보안 검증 절차를 국정원 중심으로 일원화한다고 밝혔다. 기존 과기정통부의 클라우드보안인증(CSAP)과 국정원 검증을 각각 거치던 이중 구조를 개선하는 것이 핵심이다.
이번 개편으로 공공 영역은 국정원 중심 보안 체계로, 민간은 ISMS 기반 자율 인증 체계로 재편되는 이원 구조가 유지될 전망이다. 정부는 기업 부담 완화와 절차 효율화를 강조하고 있지만, 현장에서는 대응 전략이 더 복잡해졌다는 반응도 적지 않다.
시장 시선은 KT(030200)에 집중된다. KT는 마이크로소프트(MS)와 협업해 ‘시큐어 퍼블릭 클라우드’를 개발하고 2025년 11월 12일 이를 국내 시장에 공식 출시했다. 앞서 2024년 10월 김영섭 대표가 한국형 공공·금융 특화 클라우드 전략을 공개하며 선제적으로 시장 공략에 나선 바 있다.
문제는 KT 전략이 국정원 보안 기준 충족을 전제로 설계된 것으로 알려져 있다는 점이다. 그러나 제도 개편이 2027년으로 미뤄지고, CEO 교체 등 거버넌스 변화와 조직 개편 이슈가 겹치면서 초기 설계와 실제 규제 환경 간 간극이 커지고 있다.
KT가 강조해온 MS 애저 기반 한국형 시큐어 클라우드 핵심 기술인 기밀 컴퓨팅(데이터 사용 중 암호화 유지), 관리형 HSM(암호화 키 보호), 한국형 랜딩존(국내 규제 자동 준수 아키텍처), 전 생애 주기 암호화, 국내 데이터 거버넌스 등도 제도 기준 재정렬에 따라 일부 업데이트가 불가피하다는 평가다.
국가정보원은 아직 공공 클라우드 인증과 관련된 세부 항목을 발표하지 않았다. 내년 상반기나 돼야 국정원 공공 클라우드 검증제도 운영지침·검증 해설서 제정 및 클라우드 보안가이드를 개정할 예정이다,
|
업계에서는 MS 협력 관련 내부 인력 이탈과 조직 재편이 맞물리면서, 당초 검토됐던 SPC(특수목적법인·MS 클라우드 전담 별도 법인) 설립 구상도 추진 동력을 잃고 B2B 사업부 중심으로 흡수될 가능성이 제기된다.
업계 관계자는 “국정원 인증 기준까지 포함한 구조를 전제로 설계했지만 제도가 바뀌었다. 현재 기준으로 재최적화는 쉽지 않은 상황”이라고 말했다. KT 내부에서도 “초기 설계와 현 제도 구조가 달라 동일 모델 적용이 어렵다”는 기류가 있는 것으로 전해졌다.
KT의 전략은 금융권과 한전 등 공공 영역 시범 사업으로 확장되며 트라이얼 단계에 들어갔지만, 제도 개편 시점과 맞물리면서 ‘타임투마켓 미스’ 가능성이 거론된다. 기술 경쟁력보다 제도 정합성이 중요한 시장 구조에서 타이밍이 애매해졌다는 분석이다.
정부 개편안은 1년 유예기간을 거쳐 2027년 본격 시행된다. 기존 CSAP 인증은 최대 5년간 인정되고 신규 발급도 유지돼 시장은 당분간 과도기 국면에 들어간다.
이 과정에서 기업들은 공공과 민간을 분리 대응해야 하는 구조적 부담을 안게 된다. 특히 특정 규제 환경을 전제로 선제 투자한 기업일수록 제도 변화 리스크가 커질 수 있다는 지적이 나온다.
정부는 이번 개편으로 공공 클라우드 도입 속도를 높이고 보안 체계를 단순화하겠다는 입장이다. 그러나 산업계에서는 “규제는 단순해졌지만 시장 전략은 더 복잡해졌다”는 평가가 동시에 제기된다.
이번 변화는 기술 경쟁보다 제도 타이밍이 더 중요한 시장에서, 선제 투자 전략이 다시 한 번 시험대에 오른 사례로 받아들여지고 있다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
