USTR 국가별 무역장벽보고서에 CSAP 포함
美 클라우드 기업 한국 공공 시장 진출 장벽
CSAP 3단계로 나눠 하등급 외국계 허용했지만
중등급까지 열어야 정부사업 효과적 참여 가능

[이데일리 임유경 기자] 도널드 트럼프 미국 행정부가 상호 관세 부과를 앞두고 한국의 공공 분야 클라우드보안인증(CSAP)을 무역장벽으로 지목했다.

미국무역대표부(USTR)는 31일(현지시간) 공개한 국가별 무역장벽보고서(NTE)에서 “CSAP는 한국의 공공 부문에 판매하려는 외국 클라우드 서비스 제공업체(CSP)에게 상당한 장벽이 되고 있다”고 거론했다.

USTR 무역장벽 보고서

CSAP는 공공 기관에 클라우드를 공급하고자 할 때 획득해야 하는 필수 인증이다. 2016년 한국인터넷진흥원(KISA)이 만들었고, 2022년 3월 클라우드 컴퓨팅 진흥법 개정을 통해 행정 지침에서 법적 요건으로 격상됐다. 중앙, 지방 및 지방 공공 부문에 적용된다.

보고서는 “소유 고객 전용으로 물리적으로 분리된 시설을 만들고, 클라우드 시스템의 데이터 현지화를 준수하며, 백업 시스템과 데이터를 구축하고, 클라우드 서비스 제공업체의 운영 및 관리 인력을 대한민국 영토 내에 배치해야 낮은 수준의 인증을 획득할 수 있다. 또한 CSP는 국정원에서 인증한 암호화 알고리즘(ARIA 또는 SEED)만 사용해야 한다”며 CSAP가 외국 CSP가 따르기 어려운 기준을 제시하고 있다고 지적했다. 그러면서 “미국 서비스 제공업체가 배제되고 있는 잠재적 시장은 크고 성장하고 있다”고 했다.

최근 우리 정부가 CSAP를 하등급에 대해 외국 CSP에 인증을 부여하는 등 무역장벽 완화 움직임을 보였지만, 여전히 미국 기업 진출에 상당한 장벽이 되고 있다는 입장을 견지했다. 실제 미국 마이크로소프트, 구글클라우드가 각각 작년 12월, 올해 2월 CSAP 하등급을 획득했다. 아마존웹서비스(AWS)도 하등급을 신청한 상태로 곧 획득할 것으로 전망된다.

보고서는 “한국은 클라우드 컴퓨팅 서비스 보안 인증 개정하여 모든 공공 네트워크를 CSAP에 따라 3단계 위험 등급으로 나누는 3단계 체계를 도입했지만, 이는 여전히 한국 공공 부문에 판매하려는 미국 CSP에게 상당한 장벽이 되고 있다”며 “최소한 중간 등급 이상의 CSAP 인증을 받은 CSP만이 정부의 디지털 전환 이니셔티브에 효과적으로 참여할 수 있다”고 했다.

그러면서 “미국은 2024년 5월 16일 이 문제를 제기하며 한국이 클라우드 보안 인증 요건을 국제적으로 통용되는 다른 표준과 일치시킬 것을 촉구했다. 이에 국정원은 2024년 9월, 미드 티어 CSAP 인증까지 로컬 암호화 알고리즘 요건을 면제하겠다고 발표했다”고 했다.

국정원은 기존 국내 암호화 알고리즘(ARIA, SEED)을 기반으로 한 암호모듈만 인증 대상이었으나, 국제표준인 AES(Advanced Encryption Standard) 기반의 암호모듈도 인증 대상으로 포함할 계획을 발표한 바 있다. 이는 해외 클라우드 업체들이 국내 공공시장에 진출할 수 있는 장벽을 낮추는 조치로 평가된다.

임유경 (yklim01@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.