새먹거리 기대 속, 민간 장악한 외국산과 경쟁 우려
다층보안체계 로드맵 공개에 촉각 세우는 IT 업계
"新시장 열렸다"…일각에선 "AI 제대로 쓸까" 우려
공공에서도 생성형AI·클라우드를 쓸 수 있도록 하는 새로운 망분리 체계가 윤곽을 드러내며 국내 IT업계에 지각 변동이 예고됐다. 새로운 시장이 열렸다는 기대와 동시에 외산 클라우드 기업이 공공 시장에 진입할 수 있게 되면서 업계가 촉각을 곤두세우고 있다.
11일 국가정보원은 국가 전산망의 업무 정보를 중요도에 따라 구분하고 차등적으로 보안 통제를 적용하는 다층보안체계(MLS) 전환 로드맵을 발표했다. 정보는 업무 중요도에 따라 C(기밀), S(민감), O(공개)로 분류한다. 안보, 국방 등 기밀 정보는 기존처럼 망을 분리해 보관하고, 가명 정보 등 민감하지 않은 정보는 AI 활용을 위해 클라우드에 보관한다. 등급에 따라 새로운 클라우드·솔루션이 필요해 IT업계에는 새로운 먹거리가 될 전망이다.
보안 업계 관계자 A 씨는 "망 분리를 했을 땐 망 분리가 가장 강력한 조치라 다른 보안 제품을 도입하지 않아도 됐지만, 이 개선안을 계기로 새로운 보안 조치가 필요해져 그 부분에서 새로운 시장이 열렸다"고 말했다. 다른 보안 업계 관계자 B 씨는 "공공에서 요구하는 보안의 방향성이 ZTNA(제로트러스트 네트워크 액세스) 혹은 클라우드향으로 변화할 가능성이 높다"며 "망 분리가 해제되면 접근 허용 범위에 대한 추가 보안 수요가 늘 수도 있다"고 했다.
클라우드 업계는 신중한 모습이다. 기존 클라우드보안등급제(CSAP) 대신 새로운 CSO 기준이 적용되면서 외산 클라우드 기업의 공공 진출 문이 열렸기 때문이다. 국정원은 또 그간 외국 기업의 진출을 장애물로 꼽혔던 공공기관 암호모듈의 안전성 검증에 국제표준암호 'AES'도 허용하기로 했다. 중요도가 낮은 O(공개)뿐 아니라 S(민감) 분야까지 외국계 기업이 진출할 전망이다.
이미 민간 시장은 아마존웹서비스(AWS)·마이크로소프트(MS) 애저 등 외국산 기업이 장악했는데, 이제 공공 시장에서도 맞붙게 됐다. 과학기술정보통신부에 따르면 국내 IT 플랫폼 기업 중 클라우드 이용 사업자의 AWS 이용 비중은 60.2%, MS 애저는 24.0%에 달한다.
클라우드 업계 관계자 C 씨는 "아직 구체적인 가이드라인이 내려오진 않았고 방향성만 확인하는 로드맵 공개이므로 좀 더 기다려보자는 게 중론"이라면서도 외국 기업의 시장 진출을 우려하는 의견에 대해선 "일리가 있다고 생각한다"고 말했다.
또 다른 업계 관계자 D 씨는 "MLS 도입에 관한 내용에는 아직 구체화된 가이드가 없으므로 아직은 호재와 악재라는 표현을 사용하기 어렵다"면서 "지금은 업계에서도 정부의 진행 방향 추세를 예의주시하며 지켜보고 있다"고 말했다.
D 씨는 "아무리 외산 클라우드가 국산보다 좋다고 하더라도 공공기관에서 원하는 기능과 대응을 해줘야 필요성을 인정받고 도입이 확산할 것"이라면서 "자동차를 원했는데 비행기를 준다고 해도 이륙과 착륙을 할 수 있는 환경이 안 되면 쓸모없는 것처럼 외산 클라우드 솔루션이 아무리 좋아도 우리나라 공공기관 환경에 맞지 않는다면 필요 없을 것"이라고 말했다.
정부는 향후 업계와 논의해 C, S, O 기준과 상응하는 보호 조치 등을 구체화해 확정하겠다는 방침이다. 다만 원칙적으로는 개인정보처리자(공공 부처와 기관)가 내부 계획에 따라 스스로 정보 보호 수준을 결정해야 한다. 이를 두고 사고에 민감한 공공 분야에서 클라우드와 생성형 AI를 과연 얼마나 적극적으로 활용할 지에 대한 의문도 나온다. 민간에서도 보안을 우려해 생성형 AI 도입률이 20%대에 머물러있다.
클라우드 업계 관계자 E 씨는 "공공 사업 쪽은 망 분리가 됐다고는 하나 아무래도 보안에 민감하고 당분간은 보수적인 입장이 클 듯해, 강화된 보안 서비스들을 필두로 하는 업체들 위주로 시장 개척에 뛰어들지 않을까 싶다"고 말했다. 또 다른 업계 관계자 역시 “사고가 생기면 결국 담당자 책임이므로 누가 쉽게 O에 해당하는 정보를 둘까 싶다"면서 "중요한 정보는 C, S에 두려 할 것 같다"고 말했다.
클라우드 업계 관계자 F 씨는 "제대로 된 AI 구현은 망분리·망연계 환경에서 이루어질 수 없다"고 꼬집었다. F 씨는 "MLS가 궁극적으로 가야하는 방향은 미국 국방부의 'JWCC 프로젝트 모델'이라면서 "JWCC에서 정의된 보안 요구 사항에 맞춰 각 사업자들이 방안을 제시해 연동을 하고 있는데, 이러한 표준 아키텍처 기반으로 MLS 로드맵이 잡혔으면 한다"고 말했다.