[전문가기고] CSAP 등급제, SaaS 전문기업 육성에 초점둬야

최근 공공 클라우드 시장에서 가장 뜨거운 이슈는 클라우드 보안인증제(CSAP)다. 정부가 CSAP 완화를 추진하면서 관련 부처와 클라우드 업계에서는 갑론을박이 벌어지고 있다. 그러나 대부분 논의가 서비스형인프라(IaaS) 중심으로 이뤄지고 있다. 효과적인 공공 클라우드 전환을 위해 서비스형소프트웨어(SaaS) 기업의 목소리에 귀를 기울일 필요한 시점이다.

중소 SaaS 기업은 이미 오래전부터 CSAP 완화를 주장해 왔다. CSAP가 공공 클라우드 시장 진입을 가로막는 장벽이기 때문이다. CSAP 획득을 위해 짧게는 몇 개월에서 평균 1년이란 기간이 소요된다. 비용 부담도 적지 않다.

SaaS 기업이 요구하는 CSAP 완화는 IaaS 기업과 분명한 차이가 있다. IaaS 기업이 '물리적 분리를 강행하는 규정'을 지적하며 논리적 분리를 요구한다면 SaaS 기업은 SaaS 본질에 맞지 않는 '데이터베이스 분리 규정' 완화를 주장한다. '테이블 분리'가 대표적이다.

SaaS의 핵심은 '멀티테넌시'(Multi-Tenancy)다. 하나의 소프트웨어 인스턴스로, 여러 사용자 그룹에 서비스를 제공할 수 있다는 뜻이다. SaaS의 이러한 특성은 자원을 공유함으로써 비용을 절감하고, 빠른 서비스 도입과 업그레이드를 가능하게 한다. 과거 구축 형태로 사용하던 방식과 가장 큰 차이는 멀티테넌시에 기반한다.

그러나 CSAP 규정은 SaaS 특성을 충분히 고려하지 않고 있다. 평가 항목에는 '다수 이용자에게 서비스를 제공할 경우 이용자별로 데이터베이스를 분리해서 저장·관리해야 한다(테이블 단위 분리도 가능)'는 내용이 있다. CSAP를 획득하기 위해 SaaS 기업은 한 곳에서 저장·관리 가능한 테이블을 이용자에 따라 모두 분리해야만 한다.

한 서비스에 100개의 테이블이 있을 때 기존 SaaS 방식에서는 고객이 증가해도 테이블 수가 동일하지만 CSAP 평가 항목에 따라 테이블 분리를 할 경우 테이블이 기하급수적으로 늘게 된다. 고객마다 테이블 100개를 따로 운영해야 하기 때문이다. 100개의 고객이 생기면 테이블은 1만개가 되는 것이다. 서비스 제공자는 신규 고객이 발생할 때마다 테이블을 새로 만들어야 한다. 이로 인해 서비스의 수정·보완이 어려워지고, 운영 비용이 큰 폭으로 증가하게 된다.

CSAP 완화는 공공 시장 진입을 희망하는 중소 SaaS 기업에 단비 같은 희소식이다. 테이블 분리 완화 등 본질적인 SaaS 구현을 어렵게 하는 엄격한 평가 기준이 완화된다면 더 많은 기업의 공공 클라우드 시장 진입이 가능해질 것이다.

기관의 실질적인 SaaS 도입도 함께 고려되어야 할 문제다. SaaS가 문서부터 전자결재, 영상회의 등 다양한 행정 업무를 지원함에도 공공 부문의 SaaS 도입은 매우 부진한 상황이다. 올해 1월 클라우드컴퓨팅법이 개정(2023.1 발효)되면서 업무를 위해 클라우드를 사용하도록 노력해야 하는 대상이 760개 공공기관에서 2262개 국가기관 등으로 확대됐다.

개정 취지에 맞는 법 실현을 위해 정부의 촉진책이 필요하다. 공공 부문에서 민간 SaaS를 통해 공공 서비스 혁신을 이룰 수 있도록 정부가 과감한 예산 투자와 제도적 지원에 나서 주기를 바란다.

클라우드 산업 발전을 위해 진정성 있는 고민을 해야 할 때다. CSAP는 공공 클라우드 시장 진입과 직결된 문제인 만큼 심도 있는 논의가 필요하다. 정부가 다양한 이해 당사자들의 요구를 충분히 수렴하고 소통해서 올바른 방향으로 제도 개편을 이루고 실효성 있는 정책을 마련하기를 기대한다. 클라우드 산업 없이는 인공지능(AI)도 디지털 플랫폼 정부도 실현될 수 없는 시대다.

 

김범진 한국IoT융합사업협동조합 클라우드분과장(타이거컴퍼니 대표)

 

 

 

📰 전자신문에서 기고문 전문 확인하기