공공 보안 규제가 클라우드 보안을 막는다는 국내 업계의 경고

공공 보안은 클라우드 전환을 말하지만, 현장은 아직 장비 구매 모델에 묶여 있음

• 국내 보안업계가 공공 부문의 경직된 규제 때문에 클라우드 보안 도입이 막히고 있다고 비판함

  • 글로벌 보안 트렌드는 클라우드 기반 SASE와 SECaaS로 가는 중임
  • 그런데 공공 시장은 여전히 물리 장비를 구축하는 방식에 더 익숙하고, 그 결과 국내 보안 산업이 갈라파고스화될 수 있다는 우려가 나옴

• 양봉열 로그프레소 대표가 SNS에서 공개적으로 문제를 제기함

  • 공공기관에 제로 트러스트 전환을 제안하는 과정에서 “클라우드 기반 SASE는 클라우드 보안 제품이라 도입할 수 없다”는 답을 들었다고 밝힘
  • 현장에서는 국가정보원이 허락하지 않는다는 식으로 이해하고 있다는 얘기임
  • 대신 구축형 제품인 ZTNA 장비만 도입 가능하다는 식으로 흘러간다고 지적함

• 업계가 답답해하는 지점은 민간과 공공의 속도 차이임

  • 민간 영역은 프리즈마 SASE, 지스케일러, 카토 같은 외산 제품이 이미 강하게 자리 잡고 있음
  • 금융권도 규제가 까다롭다고 알려져 있지만 SaaS 도입이 조금씩 열리고 있음
  • 반면 국내 보안 기업의 큰 시장인 공공 부문은 클라우드 보안 도입이 느려서, 국내 벤더가 성장할 공간이 좁아진다는 문제의식임

숫자로 봐도 공공 클라우드 전환은 아직 절반도 안 됨

• 정부는 전체 행정기관 정보시스템을 2030년까지 전면 클라우드로 전환하겠다는 목표를 갖고 있음

  • 2021년 당시 행정안전부 목표는 2025년까지 100%였지만, 달성 시점이 늦춰짐
  • 최근 행정안전부 수치 기준 공공 정보시스템의 클라우드 전환율은 약 42% 수준임
  • 서비스 자체도 전환이 느린데, 클라우드 보안 제품 도입은 더 조심스러울 수밖에 없는 구조임

• 다른 나라 흐름과 비교하면 격차가 더 도드라짐

  • 미국과 일본은 정부 규제부터 클라우드를 전제로 설계하는 방향으로 움직임
  • 일본은 클라우드 바이 디폴트를 정부 원칙으로 삼기도 함
  • 글로벌 보안 제품은 이제 클라우드로 제공되지 않으면 시장에서 버티기 어려운 쪽으로 바뀌고 있음

• 국내 민간 시장은 이미 글로벌 제품이 선점한 상태라는 게 업계의 위기감임

  • 클라우드에 맞춰 만들어진 글로벌 보안 제품들이 클라우드가 활성화된 민간 시장을 장악함
  • 국내 기업이 공공에서 레퍼런스를 쌓고 제품을 고도화해야 글로벌로 나갈 수 있는데, 공공이 클라우드 보안을 막으면 성장 루프가 끊김

제도는 바뀌는 중인데, 현장은 불확실성을 더 크게 느낌

• 국가정보원은 N2SF를 통해 망분리 규제 완화를 추진 중임

  • N2SF는 데이터 중요도에 따라 기밀, 민감, 공개 등급별 보안 통제를 차등 적용하는 방향임
  • 이론적으로는 민감 등급 데이터도 적절한 보안 통제를 적용하면 SaaS로 나갈 수 있다고 보는 구조임
  • 하지만 현장에서는 시스템 로그나 보안 로그를 민감 등급으로 보고 SaaS 도입은 어렵다고 이해하는 분위기가 있다고 함

• 양 대표는 기술 규제만이 아니라 예산 구조도 문제라고 봄

  • SECaaS는 구독 방식인데, 공공 예산은 자산 구매 후 유지·보수하는 방식에 익숙함
  • 장비를 사서 들여놓고 유지보수 계약을 붙이는 모델에서 월·연 구독 서비스로 바꾸는 게 쉽지 않다는 얘기임
  • 그래서 제도, 조달, 예산이 같이 바뀌지 않으면 클라우드 보안 전환이 현장에서 막힘

• 업계가 요구하는 해법은 꽤 구체적임

  • 제품 유형별로 명확한 보안 통제와 요건 가이드가 필요함
  • SaaS 전환 시 인센티브와 예산 부여가 필요함
  • 공공기관 담당자가 N2SF 준수를 위해 무엇을 해야 하는지 명확히 알 수 있어야 함

sequenceDiagram
    participant 보안기업
    participant 공공기관
    participant 규제기관
    participant 예산체계
    보안기업->>공공기관: 클라우드 기반 SASE 제안
    공공기관->>규제기관: 도입 가능 여부 확인
    규제기관-->>공공기관: 보안 통제 해석 필요
    공공기관->>예산체계: 구독형 SECaaS 예산 검토
    예산체계-->>공공기관: 구매·유지보수 모델과 충돌
    공공기관-->>보안기업: 구축형 ZTNA 선호

• 로그프레소 측은 공공이 민간 클라우드를 더 적극 활용해야 한다고 주장함
  • 구동언 공동창업자 겸 전무는 글로벌 기준에 맞는 클라우드 네이티브 아키텍처로 올라와야 한다고 말함
  • 정부 컴플라이언스도 글로벌 수준에 맞춰야 한국 보안 솔루션이 해외에서도 통할 수 있다는 논리임
  • 결국 공공 규제가 국내 보안 제품의 기술 방향까지 좌우하는 셈이라, 이 이슈는 생각보다 개발자 생태계에 영향이 큼

기술 맥락

• 이 기사에서 핵심 선택지는 구축형 보안 장비를 계속 살 것인지, SASE나 SECaaS처럼 클라우드형 보안으로 넘어갈 것인지예요. 공공기관은 안정성과 통제를 이유로 구축형을 선호하지만, 실제 서비스가 클라우드로 옮겨가면 보안만 장비 중심으로 남는 게 점점 어색해져요.

• SASE가 중요한 이유는 접속 위치가 고정되지 않았기 때문이에요. 사용자는 사무실, 재택, 출장지에서 접속하고 애플리케이션은 클라우드와 온프레미스에 흩어져 있으니, 네트워크 경계에 장비를 세우는 방식만으로는 정책 일관성을 유지하기 어렵거든요.

• N2SF는 이런 문제를 풀기 위한 제도 변화로 볼 수 있어요. 데이터 등급에 따라 통제를 다르게 적용하자는 방향은 합리적이지만, 현장에서 “어떤 로그를 어떤 통제로 SaaS에 보낼 수 있는지”가 불명확하면 담당자는 그냥 도입을 피하게 돼요.

• 예산 체계도 기술 선택을 강하게 제한해요. SECaaS는 구독형인데 공공 조달이 자산 구매와 유지보수 중심이면, 기술적으로 가능해도 구매 절차에서 막힐 수 있어요.

• 국내 보안 기업 입장에서는 공공 레퍼런스가 중요해요. 공공이 클라우드 네이티브 보안을 받아들이지 않으면 국내 제품은 글로벌 시장에서 이미 표준이 된 운영 모델을 충분히 검증할 기회를 잃게 돼요.