클라우드는 모든 디지털 서비스의 기반입니다. 그러나 우리나라의 공공 클라우드 정책은 여전히 “민간 클라우드 = 퍼블릭 클라우드”라는 단순한 등식에 갇혀 있습니다. 이로 인해 정책 전반이 기술적 본질을 외면하고, 잘못된 길로 들어섰다는 비판이 제기되고 있습니다.

클라우드의 본질은 소유 주체가 누구냐가 아니라 ‘어떻게(How)’ 인프라를 설계하고 운영하느냐에 있습니다. 자원을 가상화하고, 자동화된 도구로 관리하며, 필요할 때 신속하고 탄력적으로 서비스를 제공하는 능력이 클라우드의 핵심입니다. 그런데 정책 결정 과정에서는 여전히 “민간 기업이 제공하는 IaaS만이 진정한 퍼블릭 클라우드”라는 인식이 지배적입니다. 이는 공공 데이터센터가 최신 기술을 활용해 효율적인 클라우드 환경을 구축하려는 시도조차 ‘낡은 온프레미스’로 폄하하는 결과를 낳았습니다. 결국 공공 서비스와 데이터를 민간 인프라로 이전하는 것만이 혁신이라는 그릇된 인식이 자리 잡게 된 것입니다.

이러한 시각은 클라우드 네이티브라는 기술적 방법론의 가치를 간과합니다. 클라우드 네이티브는 특정 인프라나 제공업체에 종속되지 않으며, 컨테이너·마이크로서비스 아키텍처(MSA)·자동화된 DevOps 파이프라인 등을 통해 어디서든 동일한 수준의 효율성과 민첩성을 구현할 수 있는 접근 방식입니다. 따라서 공공 데이터센터라 하더라도 클라우드 네이티브 기술을 적용하면 민간 클라우드 못지않은, 혹은 그 이상의 유연성과 자동화를 갖춘 ‘진정한 클라우드’를 구축할 수 있습니다.

문제는 ‘누가(Who)’ 제공하느냐가 아니라 ‘어떻게(How)’ 구현하느냐입니다. 그런데도 여전히 정책 전반은 “민간 = 퍼블릭”이라는 잘못된 프레임에 갇혀 있습니다. 이로 인해 공공 영역에서조차 현대적 클라우드로 발전할 수 있는 가능성이 가려지고 있습니다.

또 하나 짚어야 할 점은 퍼블릭·프라이빗 같은 용어에 대한 오해입니다. NIST SP 800-145는 퍼블릭 클라우드를 “일반 대중에게 개방된 클라우드 인프라”로, 프라이빗을 “단일 조직 전용”으로 정의합니다. 즉 퍼블릭과 프라이빗은 ‘배치 모델(Deployment Model)’을 가리키는 개념이지, 소유 주체(민간/공공)를 뜻하지 않습니다. 따라서 공공이 소유한 데이터센터라도 충분히 퍼블릭 수준의 자동화·탄력성을 구현해낼 수 있으며, 이것이 바로 오늘날 논의되는 현대적 프라이빗 클라우드 또는 소버린 클라우드의 의미입니다.

NIST SP 800-145는 클라우드 “배치 모델(deployment models)” 중 하나로 public, private, community, hybrid을 정의합니다.
즉 “소유 주체(owner)”가 아니라 “누가 사용하고 접근 가능한지”, “어느 조직/집단을 위한 인프라인가” 등의 관점으로 구분하는 개념입니다.

현재의 민간 클라우드 중심 정책은 단기적인 편의성 뒤에 장기적인 위험을 감추고 있습니다. 이는 단순히 기술 선택의 문제를 넘어, 국가 예산의 효율성, 데이터 주권과 안보, 그리고 국내 산업 생태계의 미래까지 위협하는 복합적인 문제입니다.

정부의 ‘민간 클라우드 우선’ 정책이 가져오는 가장 즉각적이고 심각한 문제는 특정 소수 민간 사업자에 대한 ‘기술 종속(Vendor Lock-in)’ 심화입니다. 공공 시스템을 특정 기업의 IaaS 환경에 맞춰 개발하고 이전하게 되면, 향후 다른 기술이나 서비스로 전환하는 것이 사실상 불가능해집니다. 이는 마치 특정 브랜드의 자동차에만 맞는 부품과 연료를 사용하도록 강제하는 것과 같습니다. 시스템을 업그레이드하거나 확장할 때마다 해당 기업에 막대한 추가 비용을 지불해야 하며, 이는 시간이 지날수록 눈덩이처럼 불어나는 ‘디지털 부채’로 작용하여 미래 세대의 재정적 부담을 가중시킬 것입니다.

이러한 예산 비효율성은 정부의 다른 정책 목표와도 정면으로 충돌하며 모순을 드러냅니다. 정부는 AI 강국 도약을 위해 2026년 예산을 728조 원 규모로 대폭 증액하는 등 AI 분야에 막대한 투자를 공언하고 있습니다. 하지만 정작 AI 기술의 핵심 기반이 되는 클라우드 산업 육성 예산은 2024년 300억 원에서 2025년 150억 원으로 반 토막이 날 것으로 전망됩니다. 이는 ‘기초 공사 없이 고층 빌딩을 짓겠다’는 것과 같은 비논리적인 접근입니다. AI 모델 학습과 서비스 운영에 필수적인 컴퓨팅 자원을 안정적으로 확보하지 못한 채 AI 강국을 외치는 것은 사상누각에 불과합니다. 한 전문가는 “AI 투자액의 1%만 클라우드에 투자해도 전체 전환 예산을 능가한다”고 지적하며, AI와 클라우드를 분리해서 보는 정책적 시각의 문제점을 비판했습니다.

또한, 정부가 대규모 예산을 투입해도 민간 기업의 참여가 저조해 사업이 유찰되는 악순환이 반복되고 있습니다. 한 언론 보도에 따르면, 공공 IT 사업의 낮은 수익성과 과도한 요구사항 때문에 민간 기업들이 참여를 꺼리면서 클라우드 전환, AI 인프라 확충 등 핵심 정책들이 현장에서 겉돌고 있습니다. 이는 결국 경쟁 없는 소수의 대형 사업자에게만 유리한 독과점 구조를 고착화시키고, 경쟁을 통한 비용 효율화와 서비스 품질 향상의 기회를 원천적으로 차단하는 결과를 낳습니다. 정부는 시장을 활성화시킨다고 하지만, 실제로는 건강한 시장 경쟁을 저해하고 장기적인 비용 통제력을 상실하는 길로 가고 있는 것입니다.

민간 클라우드, 특히 글로벌 기업의 클라우드에 공공 데이터를 이전하는 것은 ‘데이터 주권(Data Sovereignty)’의 심각한 훼손으로 이어질 수 있습니다. 데이터 주권은 단순히 데이터가 저장되는 물리적 위치(Data Residency)를 의미하는 것을 넘어, 해당 데이터에 대한 법적, 운영적 통제권을 포괄하는 개념입니다. 예를 들어, 데이터가 한국 내에 저장되어 있더라도, 해당 클라우드 서비스 제공자가 미국 기업이라면 미국의 CLOUD Act와 같은 법률에 따라 미국 정부가 데이터 접근을 요구할 수 있습니다. 이는 국가의 민감 정보와 국민의 개인정보가 외국 정부의 사법 관할권 아래 놓일 수 있음을 의미하며, 국가 안보에 치명적인 위협이 될 수 있습니다.

기술적인 측면에서도 문제는 심각합니다. 클라우드 환경의 보안은 ‘공유 책임 모델(Shared Responsibility Model)’을 따릅니다. IaaS 모델에서 클라우드 제공자는 데이터센터, 서버, 네트워크 등 물리적 인프라의 보안만을 책임집니다. 그 위의 운영체제, 애플리케이션, 그리고 가장 중요한 ‘데이터’에 대한 보안 책임은 전적으로 서비스를 이용하는 공공기관에 있습니다. 실제로 한 조사에 따르면 공공기관이 클라우드 공급자 선정 시 가장 중요하게 여기는 요소는 ‘강력한 데이터 보안 체계'(43%)였으며, 이는 민간 IaaS 위에 공공 시스템을 얹는 구조의 보안 책임 공백에 대한 현장의 우려를 방증합니다. 만약 보안 사고가 발생할 경우, 책임 소재가 불분명하여 신속한 대응이 어렵고, 결국 그 피해는 고스란히 국민에게 돌아갈 수밖에 없습니다.

정부가 이러한 보안 우려를 해소하기 위해 운영 중인 ‘클라우드보안인증(CSAP)’ 제도 역시 딜레마에 빠져 있습니다. CSAP는 국내 기업에게는 복잡하고 경직된 진입 장벽으로 작용하여 혁신을 저해하고, 물리적 서버 위치와 운영 인력의 국내 상주를 요구하는 등의 조항으로 인해 글로벌 기업들에게는 사실상의 무역 장벽으로 비치며 통상 마찰의 소지를 낳고 있습니다. 데이터 주권을 지키기 위한 제도가 오히려 최신 기술 도입을 가로막고 산업계의 불확실성만 키우는 모순적인 상황이 연출되고 있는 것입니다. 이는 정책의 근본적인 설계가 잘못되었음을 보여주는 명백한 증거입니다.

정부 정책이 IaaS(Infrastructure as a Service) 도입에만 초점을 맞추면서, 진정한 부가가치를 창출하는 국내 PaaS(Platform as a Service) 및 SaaS(Software as a Service) 산업 생태계가 고사 위기에 처해 있습니다. 클라우드 산업을 건물에 비유하자면, IaaS는 토지와 골조 공사에 해당하고, PaaS는 전기/수도/통신 등 기반 설비, SaaS는 그 안을 채우는 가구와 가전제품에 해당합니다. 현재 정책은 마치 ‘건물(IaaS)만 잔뜩 지어놓고, 그 안을 채울 가구(PaaS)나 가전제품(SaaS) 산업은 외면하는 격’입니다. 이러한 구조에서는 국내 소프트웨어 기업들이 혁신적인 서비스를 개발하고 성장할 토양 자체가 사라지게 됩니다.

공공 부문은 신기술을 검증하고 안정적인 수익을 창출할 수 있는 거대한 ‘테스트베드’이자 ‘시장’입니다. 그러나 현재와 같이 민간 IaaS 도입만이 유일한 길로 여겨지는 상황에서는, 국내 유망한 PaaS/SaaS 기업들이 공공 시장에 진입할 기회 자체가 박탈됩니다. 혁신적인 서비스를 개발해도 이를 선보이고 사업화할 판로가 막히는 것입니다. 결국 이들은 성장의 동력을 잃고, 공공기관들은 울며 겨자 먹기로 비싼 비용을 지불하며 소수의 글로벌 기업이 제공하는 SaaS를 사용할 수밖에 없는 악순환에 빠지게 됩니다. 이는 국내 클라우드 산업의 경쟁력을 근본적으로 약화시키고, 글로벌 솔루션에 대한 의존도를 더욱 심화시키는 결과를 초래할 뿐입니다.

가장 아이러니한 점은, 이러한 정책이 정부 스스로가 내세운 ‘클라우드 네이티브 전환’ 목표와 정면으로 배치된다는 사실입니다. 정부는 2030년까지 공공 시스템의 70%를 클라우드 네이티브로 전환하겠다는 야심 찬 목표를 발표했습니다. 클라우드 네이티브는 애플리케이션을 작고 독립적인 서비스(마이크로서비스)로 나누어 개발하고, 이를 컨테이너 기술로 패키징하여 자동화된 플랫폼(PaaS)에서 운영하는 것을 핵심으로 합니다. 즉, 클라우드 네이티브 전환의 성패는 역량 있는 PaaS와 다양한 SaaS 생태계에 달려있습니다. 그럼에도 불구하고 정작 IaaS 도입에만 매몰되어 PaaS/SaaS 생태계를 약화시키는 현재의 정책은 목표와 수단이 완전히 불일치하는 자기모순에 빠져 있습니다.

공공 클라우드 정책의 진정한 방향 전환은 ‘민간 클라우드냐, 공공 클라우드냐’의 이분법을 벗어나는 데 있습니다. 핵심은 누가 인프라를 제공하느냐가 아니라, 어떻게 효율적이고 안전하며 유연하게 클라우드를 구축하고 운영하느냐입니다. 이 질문에 대한 해답이 바로 클라우드 네이티브(Cloud-Native) 기술입니다.

클라우드 네이티브는 특정 사업자에 종속되지 않는 방법론이자 문화입니다. 컨테이너, 마이크로서비스 아키텍처(MSA), CI/CD와 DevOps 자동화 파이프라인, 보안 거버넌스 등으로 구성된 이 체계는 물리적 위치와 무관하게 동일한 품질과 민첩성을 제공합니다.

• 컨테이너는 애플리케이션과 실행 환경을 하나로 묶어 가볍고 이식성이 높습니다. 가상머신보다 빠르고 효율적이어서 개발·운영의 일관성을 보장합니다.
• MSA와 DevOps는 서비스 단위의 분해와 자동화를 통해 민첩성을 극대화합니다.
• CI/CD 파이프라인은 배포 과정을 자동화하여 빠르고 안전한 혁신을 가능하게 합니다.

이러한 전환은 공공 데이터센터 역시 현대적 프라이빗·소버린 클라우드로 도약할 수 있게 합니다. 즉, 퍼블릭=민간, 프라이빗=공공이라는 단순한 등식은 성립하지 않습니다. NIST SP 800-145에서도 퍼블릭/프라이빗은 ‘배치 모델(Deployment Model)’임을 분명히 하고 있으며, 진짜 성패는 클라우드 네이티브 성숙도에 달려 있습니다.

클라우드의 가치는 단순 IaaS 도입이 아니라 PaaS·SaaS 생태계에서 실현됩니다. 그러나 정책이 IaaS 구매 실적에 집중될 경우, 공공 부문은 새로운 기술의 테스트베드가 되기는커녕 오히려 국내 PaaS·SaaS 기업의 성장을 막게 됩니다. 결국 공공은 값비싼 외산 SaaS를 도입해야 하고, 국내 기업은 시장을 잃으며 혁신의 선순환이 끊어집니다.

정책의 기준점을 ‘민간 클라우드를 얼마나 도입했는가’에서 ‘클라우드 네이티브 운영을 얼마나 성숙하게 실현했는가’로 바꾸면, 변화는 즉각적으로 드러납니다.

• 비용 통제는 개별 시스템 단위가 아니라 플랫폼 단위에서 이뤄집니다.
• 보안은 제공사별 체크리스트가 아니라 공유 책임 모델과 데이터 주권 관점에서 설계됩니다.
• 산업 성장은 IaaS 구매량이 아니라 PaaS·SaaS 혁신 도입 속도로 측정됩니다.

즉, 정책·조달·운영의 KPI 자체가 ‘구매 실적’에서 ‘운영 성숙도’로 재편됩니다.

“민간 클라우드 = Public Cloud”라는 잘못된 등식은 정책의 왜곡을 불러옵니다. 퍼블릭/프라이빗은 배치 모델이고, 공공/민간은 소유 모델일 뿐입니다. 결국 중요한 것은 어떻게 현대적 방법론을 적용할 것인가입니다.

이 관점으로 접근할 때, 장기 비용 통제, 데이터 주권, 보안, 그리고 국내 생태계 성장이라는 난제들은 하나의 해법—클라우드 네이티브 성숙도 제고—로 수렴합니다. 그 결과 예산은 혁신으로 이어지고, 보안은 선언이 아닌 실행이 되며, 산업은 조달이 아니라 제품 중심으로 성장하는 선순환이 가능해집니다.