한국과 미국의 자유무역협정(FTA) 재협상을 앞두고 클라우드 서비스가 협상 테이블에 오를 수도 있는 정황이 포착됐다. 

미국 정부는 올해 초부터 정보를 수집하며 협상 안건으로 클라우드 카드를 만지작거리는 모양새다. 한국 정부는 공식적인 대응을 자제하고 있지만 국내 기업들의 의견을 수렴하는 등 대응책 마련에 고심하고 있다.

심상치 않은 미국 움직임

26일 IT업계에 따르면 미국 정부가 FTA 재협상을 앞두고 클라우드 분야에 대한 정보 수집과 의견 수렴에 나선 것으로 알려졌다.

주한미국상공회의소 관계자는 “클라우드 이슈에 대한 관심은 미국 무역대표부가 연 1회 발간하는 무역장벽보고서(National Trade Estimate Report)에도 담겨 있는 사항일 정도로 미국 정부가 꾸준히 모니터하고 있는 업계 현안”이라고 말했다. 이어 “주한미국상공회의소에서 IT 뿐 아니라 다양한 업계의 현안을 파악해 수시로 미국 정부에 전달해왔으며 취합된 다양한 정보를 놓고 미국 통상당국이 협상의 우선 순위를 정할 것으로 본다”고 설명했다.

미국 무역대표부는 2017년 3월 30일 공개한 ‘2017 무역장벽보고서’에서 소고기, 쌀, 자동차, 영화 등과 함께 클라우드 서비스를 한국과의 주요 무역 이슈로 제시했다. 2016년 무역장벽보고서에서는 한국 내 클라우드 규제를 단순히 예의주시하고 있다는 수준이었지만 2017년 보고서에서는 구체적인 문제를 지적했다.

무역대표부가 지적한 문제는 3가지다.

우선 한국 정부의 클라우드 가이드라인이 공공 기관에 서비스하는 클라우드 컴퓨팅 네트워크를 일반 사용자가 사용하는 클라우드 컴퓨팅 서비스와 물리적으로 분리할 것을 요구하고 있다고 지적했다. 이어 한국 정부가 클라우드 서비스에서 인정하는 특정 암호화 알고리즘을 사용하도록 제한하고 있다는 점,  클라우드 서비스에서 데이터 저장 문제도 이슈로 거론했다.

무역대표부는 한국 정부의 정의에 따르면 공공기관 뿐 아니라 교육 기관, 공공 은행, 공립 병원 등 1만개가 넘는 곳들이 가이드라인의 적용을 받는다고 지적했다.

특히 무역대표부는 미국 클라우드 서비스 제공업체들이 한국 정부의 가이드라인에 대해 글로벌 기업이 조건을 충족시키기 어려우며 한국 업체들만이 표준을 충족시킬 수 있다는 의견을 나타냈다고 밝혔다.  미국 클라우드 서비스 기업들이 무역대표부에 한국 정부의 클라우드 규제로 사업에 어려움이 있다고 호소했다는 것이다. 이에 대해 무역대표부는 이 문제를 계속해서 면밀히 모니터링 하겠다고 설명했다.

이에 따라 내년초부터 본격화되는 한미 FTA 재협상에서 미국 정부가 클라우드 문제를 꺼내들지 주목된다.
 
강화되고 있는 공공 클라우드 사업

2016년 7월 행정안전부와 과학기술정보통신부(구 미래창조과학부)는 ‘공공기관 민간 클라우드 이용 가이드라인’을 발표하고 공공기관이 민간 클라우드 서비스를 사용하게 하겠다고 밝혔다. 하지만 민간 사업자가 공공기관에 서비스를 제공하려면 한국인터넷진흥원(KISA)의 클라우드 보안인증을 받아야 한다.

정부는 우선 클라우드 인프라(IaaS) 인증을 시작했다. 보안인증은 가상화 솔루션에 대해 국제공통기준(CC) 인증, 공공 기관 대상 클라우드 서비스 인프라의 물리적 분리 등을 요구하고 있다. KT, 네이버 비즈니스 플랫폼(NBP), 가비아, NHN엔터테인먼트가 IaaS 보안인증을 받았고 LG CNS가 인증을 진행 중이다.

한국 정부는 외국계 클라우드 기업들도 보안인증을 받아야 공공 기관에 클라우드 서비스를 할 수 있다고 밝혔다. 이에 아마존웹서비스(AWS), 마이크로소프트(MS) 등이 한국의 클라우드 보안인증을 받을 수 있다는 뜻을 나타내기도 했다.

그러나 실제로 외국계 기업들의 클라우드 보안인증은 진행되지 않고 있다. KISA 한 관계자는 “인증을 신청한 곳 중 외국 기업은 아직 없다”고 설명했다.

이런 상황에서 한국 정부의 보안인증은 클라우드 소프트웨어(SaaS)로 확대되고 있다. 12월 7일 KISA는 ‘SaaS 보안인증 기준 및 평가방법 설명회’를 개최하고 내년에 도입될 SaaS 보안인증 방안을 발표했다.

SaaS 인증은 그 자체 보안 뿐 아니라 인프라 보안도 함께 보는 방식으로 진행된다. SaaS가 구동되는 IaaS가 KISA의 보안인증을 받지 않았다며 인증을 받아야 한다. 인증 받지 않은 IaaS에서 구동되는 SaaS는 공공 기관에 공급할 수 없다.

SaaS 인증이 시작되면 외국계 기업들이 직격탄을 맞을 것으로 예상된다. AWS, MS, IBM 등의 IaaS를 이용하는 고객들은 공공 SaaS 사업을 할 수 없기 때문이다. 또한 오라클, MS 등이 SaaS를 공공 기관에 공급하는 것도 역시 어렵게 된다.  소프트웨어(SW) 기업들이 SaaS 형태로 전환하고 있다는 점을 고려하면 이번 사안은 클라우드 서비스 공급 차원을 넘어 SW 사업 문제로 확대될 수 있다.  

이와 관련해 클라우드 업계에서는 외국계 기업들이 한미 FTA 재협상을 예의주시하고 있다는 관측이 나오고 있다. 한 클라우드 업체 관계자는 “외국 클라우드 서비스 기업들이 인증을 받겠다고 했지만 실제로 진행이 안 되고 있다”며 “외국계 기업들이 우선 한미 FTA 재협상 논의 과정을 지켜보려 한다는 이야기가 나오고 있다”고 말했다.

한국 정부는 공식 대응을 자제하고 있지만 내부적으로 미국 정부의 움직임에 촉각을 곤두세우고 있다. 과학기술정보통신부 한 관계자는 "아직 미국 측에서 클라우드 관련해서 요청 온 건 없고, FTA 협상이 개시돼 그때 얘기 나오면 각 관련부처와 같이 대응하겠다. 지금은 클라우드 협회 기업 등 이해관계자들의 의견을 수렴하는 단계이다. 국내 사업자는 추가 개방 곤란하고 신중해야 한다는 입장"이라고 말했다. 또 다른 공공기관 관계자는 “한미 FTA 재협상 과정에서 클라우드 이슈가 제시될 가능성이 있다고 보고 예의주시하고 있다”고 설명했다.

클라우드 업계에 따르면 실제로 최근 과기정통부와 산하기관들은 한미 FTA 재협상 과정에서 제기될 수 있는 클라우드 이슈와 관련해 설문조사와 간담회 등을 진행 중인 것으로 알려졌다.

대응 방안 마련에 고심

한국 정부와 클라우드 업계는 미국 정부가 한미 FTA 재협상에서 클라우드 카드를 꺼냈을 때 대응 방안에 고심하고 있다. 미국 정부가 요구할 수 있는 인프라의 물리적 분리, 특정 암호화 알고리즘, 클라우드 서비스 데이터 저장 등은 모두 민감한 문제로 어느 것을 선뜻 포기하기도 어려운 상황이다.

업계 일각에서는 한국과 미국이 상호 간 알고리즘, 인증 등을 인정하는 방안도 거론되고 있다. 하지만 이 방안이 한국의 보안 환경을 반영하지 못하며 미국 기업들에게 상대적으로 유리하게 작용될 수 있다는 주장도 있다.
또한 공공 부문 클라우드 서비스는 과기정통부, 행정안전부, 국가정보원, 외교통상부, 기획재정부 등 관련된 기관들이 많다. 산업 진흥과 보안 등 각 기관마다 미묘한 입장 차이를 나타내고 있다.

실제로 각 기관들은 공공 부문의 퍼블릭 클라우드와 프라이빗 클라우드 사용 문제에 대해서도 의견이 엇갈리고 있다. 일부 기관들은 산업 진흥을 위해 퍼블릭 클라우드 사용을 늘려야 한다고 보는 반면 또 다른 기관들은 보안을 위해 프라이빗 클라우드를 활용해야 한다고 주장한다. 이에 따라 한미 FTA 재협상에 대비해 유관 기관들이 입장을 명확히 정리하고 논리를 만드는 것도 필요하다는 지적이다.

이같이 분위기 속에서 클라우드 업계에서는 우려의 목소리가 나오고 있다. 공식적으로는 침묵하고 있지만 내부적으로는 걱정이 많은 상황이다. 클라우드 업계 한 관계자는 “한미 FTA 재협상으로 인해 인증이 약화되거나 최악의 경우 중단되는 것이 아니냐는 우려가 나오고 있다”며 “농산물이나 자동차 등 다른 분야에서 유리한 조건을 받고 상대적으로 클라우드 부문을 양보하는 카드로 사용하는 것이 아닐지 걱정 된다”고 말했다.

[테크M = 강진규·이명재 기자(viper@techm.kr)]