--- title: "공공 보안 규제가 클라우드 보안을 막는다는 국내 업계의 경고" published: 2026-06-23T08:14:04.412Z canonical: https://jeff.news/article/4264 --- # 공공 보안 규제가 클라우드 보안을 막는다는 국내 업계의 경고 국내 보안업계가 공공 부문의 경직된 규제 때문에 SASE와 SECaaS 같은 클라우드 기반 보안 서비스 도입이 막히고 있다고 비판했다. 금융권과 민간 시장은 SaaS·클라우드 보안을 받아들이는 반면, 공공 시장은 여전히 구축형 장비 중심이라 국내 보안 기업의 경쟁력까지 약화된다는 지적이다. ## 공공 보안은 클라우드 전환을 말하지만, 현장은 아직 장비 구매 모델에 묶여 있음 - 국내 보안업계가 공공 부문의 경직된 규제 때문에 클라우드 보안 도입이 막히고 있다고 비판함 - 글로벌 보안 트렌드는 클라우드 기반 SASE와 SECaaS로 가는 중임 - 그런데 공공 시장은 여전히 물리 장비를 구축하는 방식에 더 익숙하고, 그 결과 국내 보안 산업이 갈라파고스화될 수 있다는 우려가 나옴 - 양봉열 로그프레소 대표가 SNS에서 공개적으로 문제를 제기함 - 공공기관에 제로 트러스트 전환을 제안하는 과정에서 “클라우드 기반 SASE는 클라우드 보안 제품이라 도입할 수 없다”는 답을 들었다고 밝힘 - 현장에서는 국가정보원이 허락하지 않는다는 식으로 이해하고 있다는 얘기임 - 대신 구축형 제품인 ZTNA 장비만 도입 가능하다는 식으로 흘러간다고 지적함 - 업계가 답답해하는 지점은 민간과 공공의 속도 차이임 - 민간 영역은 프리즈마 SASE, 지스케일러, 카토 같은 외산 제품이 이미 강하게 자리 잡고 있음 - 금융권도 규제가 까다롭다고 알려져 있지만 SaaS 도입이 조금씩 열리고 있음 - 반면 국내 보안 기업의 큰 시장인 공공 부문은 클라우드 보안 도입이 느려서, 국내 벤더가 성장할 공간이 좁아진다는 문제의식임 > [!WARNING] > 공공기관이 클라우드 전환을 추진하면서 보안 제품은 계속 구축형 장비 중심으로만 사면, 아키텍처가 앞뒤로 엇갈림. 서비스는 클라우드로 가는데 보안 운영은 온프레미스 구매·유지보수 모델에 갇히는 셈임. ## 숫자로 봐도 공공 클라우드 전환은 아직 절반도 안 됨 - 정부는 전체 행정기관 정보시스템을 2030년까지 전면 클라우드로 전환하겠다는 목표를 갖고 있음 - 2021년 당시 행정안전부 목표는 2025년까지 100%였지만, 달성 시점이 늦춰짐 - 최근 행정안전부 수치 기준 공공 정보시스템의 클라우드 전환율은 약 42% 수준임 - 서비스 자체도 전환이 느린데, 클라우드 보안 제품 도입은 더 조심스러울 수밖에 없는 구조임 - 다른 나라 흐름과 비교하면 격차가 더 도드라짐 - 미국과 일본은 정부 규제부터 클라우드를 전제로 설계하는 방향으로 움직임 - 일본은 클라우드 바이 디폴트를 정부 원칙으로 삼기도 함 - 글로벌 보안 제품은 이제 클라우드로 제공되지 않으면 시장에서 버티기 어려운 쪽으로 바뀌고 있음 - 국내 민간 시장은 이미 글로벌 제품이 선점한 상태라는 게 업계의 위기감임 - 클라우드에 맞춰 만들어진 글로벌 보안 제품들이 클라우드가 활성화된 민간 시장을 장악함 - 국내 기업이 공공에서 레퍼런스를 쌓고 제품을 고도화해야 글로벌로 나갈 수 있는데, 공공이 클라우드 보안을 막으면 성장 루프가 끊김 ## 제도는 바뀌는 중인데, 현장은 불확실성을 더 크게 느낌 - 국가정보원은 N2SF를 통해 망분리 규제 완화를 추진 중임 - N2SF는 데이터 중요도에 따라 기밀, 민감, 공개 등급별 보안 통제를 차등 적용하는 방향임 - 이론적으로는 민감 등급 데이터도 적절한 보안 통제를 적용하면 SaaS로 나갈 수 있다고 보는 구조임 - 하지만 현장에서는 시스템 로그나 보안 로그를 민감 등급으로 보고 SaaS 도입은 어렵다고 이해하는 분위기가 있다고 함 - 양 대표는 기술 규제만이 아니라 예산 구조도 문제라고 봄 - SECaaS는 구독 방식인데, 공공 예산은 자산 구매 후 유지·보수하는 방식에 익숙함 - 장비를 사서 들여놓고 유지보수 계약을 붙이는 모델에서 월·연 구독 서비스로 바꾸는 게 쉽지 않다는 얘기임 - 그래서 제도, 조달, 예산이 같이 바뀌지 않으면 클라우드 보안 전환이 현장에서 막힘 - 업계가 요구하는 해법은 꽤 구체적임 - 제품 유형별로 명확한 보안 통제와 요건 가이드가 필요함 - SaaS 전환 시 인센티브와 예산 부여가 필요함 - 공공기관 담당자가 N2SF 준수를 위해 무엇을 해야 하는지 명확히 알 수 있어야 함 ```mermaid sequenceDiagram participant 보안기업 participant 공공기관 participant 규제기관 participant 예산체계 보안기업->>공공기관: 클라우드 기반 SASE 제안 공공기관->>규제기관: 도입 가능 여부 확인 규제기관-->>공공기관: 보안 통제 해석 필요 공공기관->>예산체계: 구독형 SECaaS 예산 검토 예산체계-->>공공기관: 구매·유지보수 모델과 충돌 공공기관-->>보안기업: 구축형 ZTNA 선호 ``` - 로그프레소 측은 공공이 민간 클라우드를 더 적극 활용해야 한다고 주장함 - 구동언 공동창업자 겸 전무는 글로벌 기준에 맞는 클라우드 네이티브 아키텍처로 올라와야 한다고 말함 - 정부 컴플라이언스도 글로벌 수준에 맞춰야 한국 보안 솔루션이 해외에서도 통할 수 있다는 논리임 - 결국 공공 규제가 국내 보안 제품의 기술 방향까지 좌우하는 셈이라, 이 이슈는 생각보다 개발자 생태계에 영향이 큼 --- ## 기술 맥락 - 이 기사에서 핵심 선택지는 구축형 보안 장비를 계속 살 것인지, SASE나 SECaaS처럼 클라우드형 보안으로 넘어갈 것인지예요. 공공기관은 안정성과 통제를 이유로 구축형을 선호하지만, 실제 서비스가 클라우드로 옮겨가면 보안만 장비 중심으로 남는 게 점점 어색해져요. - SASE가 중요한 이유는 접속 위치가 고정되지 않았기 때문이에요. 사용자는 사무실, 재택, 출장지에서 접속하고 애플리케이션은 클라우드와 온프레미스에 흩어져 있으니, 네트워크 경계에 장비를 세우는 방식만으로는 정책 일관성을 유지하기 어렵거든요. - N2SF는 이런 문제를 풀기 위한 제도 변화로 볼 수 있어요. 데이터 등급에 따라 통제를 다르게 적용하자는 방향은 합리적이지만, 현장에서 “어떤 로그를 어떤 통제로 SaaS에 보낼 수 있는지”가 불명확하면 담당자는 그냥 도입을 피하게 돼요. - 예산 체계도 기술 선택을 강하게 제한해요. SECaaS는 구독형인데 공공 조달이 자산 구매와 유지보수 중심이면, 기술적으로 가능해도 구매 절차에서 막힐 수 있어요. - 국내 보안 기업 입장에서는 공공 레퍼런스가 중요해요. 공공이 클라우드 네이티브 보안을 받아들이지 않으면 국내 제품은 글로벌 시장에서 이미 표준이 된 운영 모델을 충분히 검증할 기회를 잃게 돼요. ## 핵심 포인트 - 공공기관 현장에서는 클라우드 기반 SASE는 도입할 수 없고 구축형 ZTNA 장비만 가능하다는 인식이 존재 - 민간 시장은 프리즈마 SASE, 지스케일러, 카토 같은 외산 클라우드 보안 제품이 장악 중 - 정부는 2030년까지 전체 행정기관 정보시스템 클라우드 전환을 목표로 하지만 현재 전환율은 약 42% - N2SF는 데이터 중요도별 차등 보안 통제를 추진하지만 현장에서는 불확실성 때문에 SaaS 도입을 꺼리는 분위기 - 업계는 제품 유형별 보안 통제·요건 가이드, SaaS 전환 인센티브, 구독형 예산 체계가 필요하다고 주장 ## 인사이트 이건 단순히 국산 보안 기업 지원 문제가 아니라, 공공기관이 앞으로 어떤 아키텍처 위에서 보안을 설계할지의 문제임. 클라우드 전환을 하겠다고 하면서 보안은 물리 장비 구매 모델에 묶어두면, 결과적으로 보안도 느려지고 국내 제품도 글로벌 기준에서 멀어짐.