[단독]중기부 산하기관, AWS 클라우드 도입하나…보안인증제 무력화 '논란'

IT/과학

이데일리,

2024년 2월 12일, 오후 07:37

[이데일리 김현아 기자] 중소벤처기업부 산하 소상공인시장진흥공단이 ‘디지털통합물류시스템’ 프로젝트에 아마존웹서비스(AWS)의 클라우드서비스사업자(CSP) 선정을 검토 중인 것으로 알려졌다. AWS가 보안 인증을 받지 못한 외국계 기업인 만큼 이번 결정이 사실상 클라우드보안인증제(CSAP)를 무력화하는 것 아니냐는 논란이 일고 있다.

지난주 이데일리 취재가 시작되자 공단 측은 “AWS로 확정된 바 없다. CSP 선정은 절차를 준수해 진행하겠다”고 밝혔지만, 이번 논란으로 클라우드서비스에 KT클라우드나 네이버클라우드 등 국내 기업이 최종 선정될 수 있을지 관심이다.

(그래픽=김일환 기자)


◇보안인증 안받은 AWS로 가능한 RFP논란

12일 업계에 따르면 중소벤처기업부 산하 소상공인시장진흥공단은 앞서 89억원 규모 ‘디지털 통합물류시스템’ 프로젝트의 주요 사업자로 클라우드 운영관리서비스(MSP) 기업인 메가존을 선정했다. 그런데 AWS도 가능하게 공단의 제안요청서(RFP)가 돼 있어 성사되면 AWS가 국내 공공시장에 처음으로 공식 진입하는 사례가 될 것으로 보인다.

이같은 사실이 알려지면서 국내 클라우드서비스 회사들은 크게 반발하고 있다. AWS가 클라우드보안인증(CSAP)을 획득하지 못했기 때문이다. 지난해 과학기술정보통신부는 데이터 주권과 공공시장 개방 논란에도 불구하고 AWS, 마이크로소프트(MS), 구글 클라우드 등이 공공시장에 진입할 수 있도록 논리적(소프트웨어적) 망분리를 요건으로 하는 ‘하’등급 인증(CSAP)을 도입했지만 아직 이를 획득한 글로벌 기업은 없다.



그런데도 AWS가 공공시장이 진입할 가능성이 있는 것은 공단 측이 통상적인 경우와 다른 제안요청서(RFP)를 만들었기 때문이다.

이데일리가 입수한 해당 사업의 RFP에 따르면 △제안사는 임의로 클라우드 서비스 업체를 변경할 수 없으며, 부득이하게 변경이 필요한 경우 반드시 발주기관 담당자의 승인을 득하고 이전 및 보관 비용은 제안사가 부담하게 돼 있고 △시스템의 민간 이양 계획에 따라(국유재산법 제55조 동법 시행령 제56조에 따른 양여 등) 클라우드 서비스 업체는 CSAP 적용을 기본으로 하되 ISMS, ISO/IEC17, ISO/IEC27018 등 정보보호 및 보안인증으로 대체할 수 있다고 돼 있다.

이는 해당 프로젝트 자문위원회(디지털통합물류시스템 자문위원회)의 2023년 7월 17일 결과에 따른 내용이라는 설명이다. 한마디로 자문위 논의 결과 보안인증(CSAP)를 받지 않은 클라우드 서비스 업체도 선정될 수 있음을 명시하고 있는 셈이다.

그러나 국내 클라우드 업계는 자문기관의 해석이 정부의 법(클라우드법 시행령)을 우선해 적용될 수 있는지 의구심을 표하는 한편 CSAP를 대체하는 다른 인증으로 공공기관 입찰이 가능해지면 외국 회사의 공공기관 우회 진입의 길이 열릴 수 있다며 반발하고 있다.

국내 클라우드 기업의 한 관계자는 “소상공인시장진흥공단이 RFP에 CSAP 를 대체하는 보안 인증으로 입찰이 가능함을 명시해 AWS 같은 외산 CSP도 입찰의 길을 열어준 것”이라고 비판하면서 “다른 공공 프로젝트에 좋지 않은 선례가 될 것 같다”고 우려를 나타냈다.

◇소상공인시장진흥공단·국정원 모두 원론적 답변만

소상공인시장진흥공단 측은 도마 위에 오른 CSAP 대체와 관련해 왜 이와 같은 제안요청서(RFP)를 작성했는지, 자문위의 법적 효력은 어떤지 등에 대한 질문에 답하지 않았다. 그저 “현재 클라우드 서비스를 확정해 제안한 게 아니다. 특정 CSP를 선정한 바 없고, CSP 선정은 절차를 준수해 진행할 예정”이라는 원론적인 답변 만을 내놨다.

이미 ‘디지털 통합물류시스템’ 프로젝트의 주요 사업자로 메가존이 선정됐고, CSP는 공청회를 거쳐 선정할 것으로 전해졌다.

국가정보원도 원론적인 답변을 내놓는 데 그쳤다. 국정원은 “해당 정보화사업에 대한 보안성 검토를 통해 국가 클라우드 보안 기준을 충족한 서비스를 도입하도록 했다. 업체 선정은 해당 기관에 문의하기 바란다”고만 답했다.

결국 소상공인시장진흥공단의 선택에 따라 국내 공공 클라우드 시장에 CSAP를 획득하지 못한 외국계 클라우드 업체들의 진출 가능 여부도 결정될 것으로 보인다.

한편 CSAP 등급제가 완화된 상황에서 발주 공공기관에 대한 교육과 홍보가 필요하다는 의견도 나온다. 외국계 클라우드 기업의 한 관계자는 “클라우드법 고시에 따르면 중앙관서의 장이 국정원에 보안성 검토를 의뢰하면 CSAP를 도입하지 않은 제품을 사용할 수 있지만, 공공기관들은 국정원에서의 테스트를 받기를 꺼린다”며 “CSAP 하 등급 도입 발표후 1년이 지났지만 아직 CSAP 등급을 받은 외국계 기업은 없다. 발주기관에 대한 교육이 시급하다”고 언급했다.

이시간 주요 뉴스