요즘 클라우드 서비스나 보안 관련 주식 관심 있게 보시나요? 저는 IT 스타트업에 다니다 보니 자연스럽게 신기술 정책에 눈이 가더라고요. 그런데 최근에 정말 안타까운 뉴스를 봤어요. 마치 공연 시간을 몰라서 티켓 값을 다 내고 왔는데, 공연이 취소된 기분의 사건이거든요.
얘기 좀 해볼게요. 정부 기관이나 공공기관에 클라우드 서비스를 제공하려면 ‘CSAP’라는 보안 인증을 받아야 해요. 일종의 엄격한 안전성 확인서 같은 거죠. 이 인증을 유지하려면 매년 거의 넷플릭스 1년 구독료의 수백, 수천 배에 달하는 막대한 비용과 시간이 든다고 해요. 진짜 장사가 아니라, 시장에 들어가기 위한 필수 ‘입장권’ 같은 느낌이에요.
그런데 문제는 이 입장권의 규칙이 갑자기 바뀌었다는 거예요. 국가정보원과 과기정통부가 새로운 보안 체계를 도입한다면서, 기존 인증 제도와 어떻게 연결될지 방향을 제대로 알려주지 않은 거죠. 부처 간 이야기가 늦어지다 보니, 기업들은 ‘일단 인증은 유지해야겠지?’라는 생각에 계속 비용을 쏟아부을 수밖에 없었어요. 완전 ‘밑 빠진 독에 물 붓기’ 같은 상황이었네요.
그리고 드디어 최근에 결론이 났대요. 내년부터는 이 CSAP 인증 없이도 다른 방식으로 공공 시장에 진입할 수 있게 된다고요. 그런데 이 소식을 뒤늦게 안 19개 기업들은 이미 올해 초에 인증 유지 비용을 다 치르고, 자진해서 인증을 반납하거나 갱신을 포기한 상태였어요. 안랩, KT클라우드 같은 유명 기업들도 포함됐다고 하니 규모가 작지 않죠.
솔직히 이 기업들 입장에서는 정말 억울할 것 같아요. 한 기업 대표님 말씀을 인용하자면, “미리 알았다면 그 무의미한 비용을 쓰지 않았을 것”이라고 하셨대요. 정책을 만드는 정부 부처들 사이의 소통 부재, 이른바 ‘엇박자’ 때문에 민간 기업들이 피해를 본 전형적인 사례인 것 같아요.
이제 중요한 건 뒷처리 아니겠어요? 업계에서는 정부가 피해를 본 기업들을 위해 ‘패스트트랙’을 만들어주거나, 기존에 들인 노력을 인정해주는 식의 배려가 필요하다고 목소리를 높이고 있어요. 투자할 때도 불확실성이 가장 무섭잖아요. 기업들도 마찬가지로, 앞으로 어떤 규칙으로 게임이 진행될지 예측할 수 있어야 미리 준비를 할 수 있거든요.
이번 일을 보면서 느낀 건, 정책이란 게 정말 파급력이 크다는 거예요. 특히 빠르게 변하는 IT 시장에서는 하루가 다르게 기술이 발전하는데, 규제와 제도가 이를 따라잡지 못하면 좋은 의도도 오히려 발목을 잡을 수 있다는 생각이 들어요. 우리가 코인이나 주식 볼 때도 뉴스와 정책에 민감하게 반응하듯이, 기업들도 정책의 흐름을 읽는 게 생존과 직결되는 중요한 능력이 된 것 같네요. 다음에 또 어떤 정책이 바뀔지, 우리도 좀 더 관심을 가져볼 필요가 있지 않을까요?
—
원문: [전자신문](https://www.etnews.com/20251217000049)