[기고] 클라우드 보안인증제도 나비효과, 디지털 쇄국과 개방의 갈림길

↑ 곽동철 교수

디지털경제연구소가 2022년 6월 한 달간 정보기술(IT) 전문 언론매체의 헤드라인 키워드를 분석해보니 '클라우드'란 단어가 줄곧 상위권을 차지했다.
최근에는 우리 정부가 시행하는 클라우드 정책이 차별적이고 무역을 과도하게 제한하는 무역장벽이라며 미국 정부가 통상압박을 가한다는 보도도 나오고 있다.
우리 정부가 미국 정부의 압박에 굴복하면 국내 클라우드 공급업체(CSP)는 밀려나고 외산 클라우드가 시장을 장악할 것이란 전망도 있다.
이쯤되면 '클라우드'라는 용어가 하늘 위에 떠있는 구름이 아니라 디지털 전환의 핵심자원인 클라우드 컴퓨팅(cloud computing)을 의미한다는 사실을 눈치챘을 것이다.
클라우드 기술이야 이미 널리 상용화돼 특별할 것도 없다. 최근 국내 언론에서 클라우드가 재조명받는 이유는 우리 정부의 클라우드 보안인증제도(CSAP) 때문이다.
현재 우리나라의 공공 부문에 클라우드 서비스를 제공하기 위해서는 국내외 업체 모두 예외없이 CSAP를 획득해야 한다.
객관적이고 공정한 클라우드 서비스 보안인증을 실시해 데이터 보안에 대한 우려를 해소하겠다는 취지다.
하지만 공공기관 전용 서버를 국내에 반드시 설치하고(데이터현지화 요건), 공공용 서버와 민간용 서버를 물리적으로 구분해 운영하며(물리적 망분리 요건), 우리 정부가 인정한 암호화기술만을 사용하도록 하는 조건(검증필 국가표준암호화기술 요건)은 글로벌 CSP가 따르기에 현실적으로 어려운 것들이다.
내로라하는 글로벌 CSP 중에 아직까지 CSAP를 획득한 업체가 하나도 없다는 사실이 이를 보여준다.
CSAP가 관련 업계의 성장을 저해한다고 인식한 정부는 최근 정보보호 규제개혁의 일환으로 CSAP 요건 완화를 공식화했다.
국내 CSP와 일부 언론이 이에 반발해 정부조달, 데이터주권, 국내산업보호 등의 논리로 CSAP의 엄격한 적용이 필요하다고 주장한다. 필자가 보기에는 논리가 빈약하고 우리 산업의 미래경쟁력 측면에서도 바람직하지 않다.
우선, 일부에서 정부조달이 세계무역기구(WTO) 규범이 적용되지 않는 예외적인 분야이기 때문에 해외 CSP에 대해 차별적인 조치를 취할 수 있다고 주장한다. 반은 맞고 반은 틀린 얘기다.
정부조달의 특수성으로 인해 비차별대우 등의 WTO 일반원칙은 정부조달에 적용되지 않는다. 정부가 자국산 제품의 구매를 우선적으로 고려하고 외국 기업보다 자국 기업을 우대할 수 있다는 말이다.
그러나 국가가 WTO 정부조달협정(GPA)에 가입했다면 얘기는 전혀 달라진다. 적어도 GPA 가입국 간에는 국내외 기업을 동등하게 대우하고 불필요한 무역장벽을 세우지 않으며 자국 기술규제를 국제표준과 조화시켜 공정하게 입찰평가를 진행해야 하기 때문이다.
모든 공공기관에 일률적으로 적용되는 CSAP의 까다로운 요건은 사실상 국내기업을 우대하기 위한 목적이 강하고 GPA의 여러 실체적 규범에 위반될 소지가 다분하다.
정부조달 논리를 맹목적으로 내세워 국제사회의 구성원으로서 지켜야 할 최소한의 법규범을 외면해서는 안된다. 한국과 미국은 모두 WTO GPA 가입국이면서 한미 자유무역협정(FTA)의 정부조달협정 적용을 받는 국가들이다.
'안보 예외'를 내세워 CSAP를 정당화하는 주장도 보인다. CSAP가 국제통상규범에 합치하지 않더라도 안보·국방·외교 등 민감한 데이터를 보호하기 위한 조치이기 때문에 별다른 제약없이 허용된다는 논리다.
이 역시 반은 맞고 반은 틀린 얘기다. 국제통상규범은 국가안보를 위해 무역제한조치를 취할 수 있는 국가의 권한을 인정한다.
다만 필수적인 안보이익이 위협받는 상황인지 그리고 관련 조치가 최소한의 타당성 요건을 충족했는지를 WTO가 사안에 따라 객관적으로 판단한다. 안보 예외 논리를 일방적으로 주장할 수 없다는 뜻이다.
일반적이고 공개된 공공정보를 다루고 통상적인 행정업무를 수행하는 정부기관에도 CSAP가 적용되는 마당에 안보 예외를 앞세우는 건 설득력이 떨어진다.
더욱이 아직까지 통상법적으로 의미가 모호한 '사이버안보'를 강조하여 차별적인 조치를 정당화할 경우, 국제통상체제의 판도라 상자를 여는 셈이어서 바람직하지 않다.
자국 영토 내의 데이터에 대한 국가의 통제권, 즉 데이터주권을 수호하기 위해서라도 CSAP를 엄격히 운영해 글로벌 CSP의 공공시장진출을 막아야 한다는 주장도 심심찮게 들린다. 21세기의 석유에 비유될 만큼 데이터가 중요한 자원이니 데이터의 국외 유출을 방지하고 국가가 데이터에 대한 전면적인 통제권을 가져야 한다는 논리다.
하지만 데이터주권을 적극적으로 주장하는 국가들은 중국, 러시아, 베트남 등 권위주의적이고 사회주의 국가들이 대부분이다.
민주적 정당성이 약한 정권의 유지를 위해 데이터의 국내유입과 해외유출을 철저히 통제하는 이들 국가의 논리에 우리가 동조해야 할 필요는 없다.
또한 디지털 무역 활성화 측면에서 국경 간 데이터 이동은 혁신을 촉진하는 필수적인 요소로, 막대한 경제적 가치를 창출한다.
규제를 통해 데이터를 자국 내에만 가두는 대신 오히려 데이터개방을 외치고 우리 기업이 해외의 데이터를 적극 활용할 수 있는 길을 열어줘야 한다.
전통적으로 단일 국가 내에서만 국한되는 개념인 주권과 다르게, 데이터는 특성상 본질적으로 국경을 초월하여 존재한다.
따라서 데이터에 국경을 적용하는 '데이터 주권'이라는 개념 자체가 모순으로 치부된다는 의견 역시 제기되고 있다. 국내에서는 데이터주권을 명분으로 해외 기업의 진출을 막으면서 우리 기업이 진출하려는 개도국에게 데이터개방을 요구하기에는 낯뜨겁지 않은가?
CSAP 요건이 완화되면 글로벌 CSP가 공공클라우드시장에 별다른 노력없이 손쉽게 진입하고 국내 CSP가 설 자리를 잃는다는 논리도 그리 설득력 있어 보이지 않는다.
글로벌 CSP는 매년 첨단 보안기술개발과 시설확장에 막대한 금액을 투자해 전 세계에 디지털경제의 핵심 인프라를 제공하고 있다.
따라서 글로벌 CSP가 미국 정부를 등에 입고 한국 시장에 무혈 입성한다는 주장은 글로벌 CSP의 기술력과 글로벌 클라우드 생태계를 애써 무시하거나 근거없는 자신감에서 비롯됐을 가능성이 크다.
동일한 논리대로라면 국내 기업도 CSAP와 유사한 제도가 존재하지 않는 국가에 무혈입성하지 못할 이유가 없다.
거창하게 표현하자면 우리 디지털 산업은 바야흐로 역사의 갈림길에 서 있다. 구한말 선조들이 쇄국과 개방 사이에서 고민한 것처럼 지금은 우리가 디지털 쇄국정책과 디지털 개방정책 사이에서 고민해야 할 때이다.
과거 쇄국정책이 초래한 결과를 고려하면 답은 이미 정해져 있다. CSAP 논쟁의 나비효과가 얼마나 큰 태풍으로 되돌아올지 지켜보자.
[곽동철 경북대 경제통상학부 교수]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]