01 해외 디지털 마켓플레이스 현황 - 영국, 미국, 호주

│문성준 한국지능정보사회진흥원 수석연구원

1. 들어가며

과학기술정보통신부와 한국지능정보사회진흥원에서는 공공부문의 민간 디지털서비스 도입 촉진을 위하여 2020년 10월부터 “디지털서비스 전문계약제도”를 운영해 오고 있다. 클라우드컴퓨팅법 제20조에 따라 도입된 디지털서비스 전문계약제도는 민간 클라우드 등 디지털서비스를 도입하려는 국가기관 등에서 간편한 수의･카탈로그 계약을 가능케 하는 제도이다. 제도 시행 후 약 5년이 경과한 시점에서 누적 642개의 디지털서비스가 선정･등록되었으며, 디지털서비스 계약금액이 6,455억 원을 돌파하는 등 공공부문의 디지털 혁신을 가속하는 견인차 역할을 하고 있다.

국내의 경우 디지털서비스는 크게 클라우드컴퓨팅서비스, 지원서비스, 융합서비스의 세 개 유형으로 구분하고 있으며, 선정된 디지털서비스는 “디지털서비스 이용지원시스템(https://www.digitalmarket.kr)”을 통해 등록･관리하고 있다.

• (클라우드컴퓨팅서비스) 클라우드컴퓨팅을 활용하여 상용(商用)으로 타인에게 정보통신자원을 제공하는 서비스로 IaaS(Infrastructure as a Service), SaaS(Soft as a Service), PaaS(Platform as a Service) 등이 해당

• (지원서비스) 클라우드컴퓨팅서비스를 지원하는 서비스로 컨설팅 서비스, 운영관리 서비스, 마이그레이션 서비스 등이 해당

• (융합서비스) 클라우드컴퓨팅기술 및 다른 기술·서비스가 융합된 서비스(클라우드컴퓨팅기술 + AI, 빅데이터, IoT 등)

영국(Digital Marketplace), 미국(FedRAMP Marketplace), 호주(Cloud Marketplace) 등 해외 선진국에서도 공공부문(중앙부처, 지방정부, 공공기관 등)의 효율적인 디지털서비스 유통･조달을 위해서 정부 차원에서 디지털 마켓플레이스를 구축･운영 중이다. 본 글에서는 각국의 디지털 마켓플레이스 운영 체계, 등록 절차, 서비스 제공 및 이용 규모 등 세부적인 현황에 대해 제시하고자 한다.

2. 영국 Digital Marketplace

영국 정부는 2009년 IT 인프라 비용 효율화를 위해 공공부문 대상 클라우드 도입 필요성을 제기했으며, 2011년 3월 ‘정부 클라우드 전략(Government Cloud Strategy)’을 통해 도입 전략을 구체화했다.

2012년 2월 G-Cloud 전략의 일환으로 공공부문이 민간 기업의 클라우드 서비스를 거래할 수 있도록 클라우드 전문 쇼핑몰인 ‘G-Cloud Store’를 개설했다.

2014년 11월에는 G-Cloud Store를 대체한 공공 디지털 조달 서비스 ‘Digital MarketPlace’를 개설하여 공공부문의 디지털서비스 구매를 지원해 오고 있다.

영국 디지털 마켓플레이스의 주요 추진 목표는 다음과 같다.

• 절차 간소화를 통한 디지털서비스의 빠른 구매

• 시간과 비용 절감을 통한 효율성 극대화

• 투명하고 개방된 조달 과정을 통한 다양한 공급자와 협력

그림 1 영국 Digital Marketplace 검색 결과

2.1 운영 체계

• (G-Cloud 프레임워크) 클라우드서비스 이용계약 시 기존 발주/입찰/경쟁 없이 디지털 마켓플레이스에서 G-Cloud 프레임워크를 통해 제공되는 서비스를 검색･선정하여 구매할 수 있는 계약제도

• (디지털 마켓플레이스) 제공자는 서비스를 등록하고, 이용자는 서비스를 쉽게 검색/선정할 수 있도록 해주는 전문 유통플랫폼으로, 클라우드 호스팅(IaaS, PaaS), 클라우드 SW(SaaS), 클라우드 지원(설정, 유지보수 등) 3개 영역의 44,611개 서비스 제공 중

• (G-Cloud 운영 주체) 내각부(Cabinet Office) 내 정부디지털서비스청(Government Digital Service, GDS)과 조달청(Crown Commerical Service, CCS)에서 공동 운영

• －GDS는 디지털 마켓플레이스 구축 및 운영, 클라우드 서비스 제공 체계, 조달 체계 간소화 등을 설계･제공하며, CCS는 프레임워크에 따른 서비스 조달 계약의 전반 과정 운영

2.2 등록 절차

• (신청 대상) 클라우드 서비스의 모든 공급업체 가능

• (판매 서비스) 클라우드 호스팅, 클라우드 소프트웨어, 클라우드 지원, 클라우드 마이그레이션 계획, 설정 및 마이그레이션, 보안 서비스, 품질보증 및 성능시험, 트레이닝, 지속적인 지원

• (신청 시기) G-Cloud 프레임워크 시간표에 따라 신청(애플리케이션 오픈일보다 몇 주 앞서 공개되며 이메일 등록을 통해 프레임워크 업데이트 알림 받을 수 있음)

• －기존 판매하던 경우도 G-Cloud 프레임워크 갱신이 필요하며 기존 프레임워크 계약이 만료되면 서비스는 모두 삭제됨

• －서비스 설명, 기능 및 이점과 함께 기존 버전의 G-Cloud 서비스 질문 답변(질문이 변경되지 않은 경우)을 재사용할 수 있음. 응답 내용을 확인하고 새 버전의 G-Cloud에 필요한 사항을 변경 후 구비문서 업로드 필요(신규 공급업체인 경우 디지털 마켓플레이스에서 계정을 생성하여 신청해야 함)

• (필요 서류) 가격 문서, 약관 문서, 서비스 정의 문서

2.3 서비스 제공 및 이용 규모

2012년 258개 기업, 1,700개의 서비스로 시작한 영국 디지털 마켓플레이스는 2025년 현재 기준으로 3,376개의 기업에서 44,611개의 서비스를 제공하고 있다.

지역적으로도 2009년 런던 주변 지역 12개 기업만이 공공사업에 참여했던 것이 2025년 현재는 전국 3,376개 기업이 참여하고 있다.

CCS가 제공하는 온라인 대시보드를 보면, 지금까지 전체 거래 금액은 220억 3천만 파운드, 2024/2025년에만 54억 4천만 파운드이며, 전체 거래 금액 기준으로 중소기업이 차지하는 비중은 37%이다.

3. 미국 FedRAMP Marketplace

FedRAMP(Federal Risk and Authorization Management Program)는 2011년에 연방 정부가 클라우드 서비스를 채택하고 사용하기 위한 비용 효율적인 위험 기반 접근 방식을 제공하기 위해 설립되었다.

FedRAMP는 연방 정보의 보안 및 보호에 중점을 두고 기관이 최신 클라우드 기술을 사용할 수 있도록 지원한다.

2022년 12월 FY23 국방수권법(NDAA)의 일환으로 FedRAMP 수권법이 체결되었으며, 이 법은 FedRAMP 프로그램을 미분류 연방 정보를 처리하는 클라우드 컴퓨팅 제품 및 서비스에 대한 보안 평가 및 승인에 대한 권위 있는 표준화된 접근 방식으로 규정한다.

민간 클라우드 서비스 공급자들은 최고위 인증기관(JAB; Joint Authorization Board) 또는 기관 자체 FedRAMP를 통해 서비스를 인가받을 수 있으며, FedRAMP에서 운영하는 마켓플레이스에 서비스를 등록하여 제공한다.

그림 2 미국 FedRAMP Marketplace

3.1 운영 체계

FedRAMP 운영 관련하여 다양한 정부 조직이 연관되어 있으며, 조직별 주요 역할은 다음과 같다.

  
3.2 등록 절차

FedRAMP Authorization을 획득하는 방법에는 JAB(Joint Authorization Board)를 통한 임시 승인 또는 기관을 통한 승인 두 가지가 있다.

Agency Authorization 경로에서 에이전시는 언제든지 인가를 위해 CSP(Cloud Service Provider)와 직접 협력할 수 있다.

ATO(Authority to Operate)를 추구하기 위해 기관과 직접 협력하기로 비즈니스 결정을 내린 CSP는 FedRAMP Authorization 프로세스 전반에 걸쳐 기관과 협력한다.

그림 3 FedRAMP 등록 프로세스

• 1단계 : 준비 상태 보고서(RAR) 평가와 사전 승인 두 단계로 구성

• －(준비도 평가) 준비도 평가 단계에서 CSP는 FedRAMP Ready 지정을 추구하도록 선택할 수 있다. FedRAMP Ready 지정은 Agency Authorization 프로세스에서는 선택 사항이지만 매우 권장된다. FedRAMP Ready 지정을 달성하기 위해 CSP는 공인된 제3자 평가 기관(3PAO)과 협력하여 서비스 오퍼링에 대한 Ready Assessment를 완료해야 한다. 준비성 평가 보고서(RAR)는 연방 보안 요구 사항을 충족하는 CSP의 기능을 문서화한다.

• －(사전 승인) 사전 승인 단계에서 CSP는 FedRAMP Marketplace에 설명된 요구사항을 통해 기관과의 파트너십을 공식화한다. CSP는 또한 인증 프로세스를 거칠 준비를 한다. 그들은 연방 보안 요구 사항을 해결하고 승인에 필요한 보안 산출물을 준비하는 데 필요한 기술적 및 절차적 조정을 수행하며 사전 승인 마지막 단계로 킥오프 미팅을 진행한다.

• 2단계 : 전체 보안 평가 및 기관 인증 프로세스

• －(전체 보안 평가) Full Security Assessment 단계에서 3PAO는 시스템에 대한 독립적인 감사를 수행한다. 이 단계 이전에 CSP는 SSP가 완료되었는지, 대리점 고객의 검토 및 승인을 받았는지 확인해야 한다. 또한 CSP의 3PAO는 공인 기관의 입력을 받아 보안 평가 계획(SAP)을 작성해야 한다. 이 단계에서 3PAO는 CSP의 시스템을 테스트한다. 테스트가 끝나면 3PAO는 테스트 결과를 자세히 설명하고 FedRAMP 인증에 대한 권장 사항을 포함하는 SAR(Security Assessment Report)을 개발한다. 그런 다음 CSP는 SAR 결과를 기반으로 POA&M(Plan of Action and Milestones)을 개발하고 테스트 결과를 해결하기 위한 계획을 수립하는 3PAO의 의견을 포함한다.

• －(대리점 인증 프로세스) 이 단계에서 기관은 보안 승인 패키지 검토를 수행하며, 여기에는 SAR 디브리핑(debriefing, 사후 검토 과정)이 포함될 수 있다. 기관의 검토 결과에 따라 CSP 교정이 필요할 수 있다. 이 단계에서 기관은 고객 책임 제어를 구현, 문서화 및 테스트할 수 있다. 또는 기관은 ATO를 발급한 후 이러한 단계를 수행하도록 선택할 수 있다. 마지막으로 기관은 리스크 분석을 수행하고 리스크를 수용하며 ATO를 발행한다. 이 결정은 기관의 위험 허용 오차를 기반으로 한다.

• 3단계 : 승인 및 모니터링

• －지속적인 모니터링 단계에서 CSP는 모든 대리점 고객에게 주기적인 보안 결과물 (취약점 검사, 업데이트된 POA&M, 연간 보안 평가, 사고 보고서, 중요 변경 요청 등)을 제공해야 한다. 서비스를 이용하는 각 기관은 월별 및 연간 지속 모니터링 결과물을 검토한다. CSP는 FedRAMP 보안 저장소를 사용하여 매월 지속적인 모니터링 자료를 게시하여 기관 담당자와 쉽게 액세스하고 공유할 수 있다.

3.3 서비스 제공 및 이용 규모

미국 FedRAMP 마켓플레이스는 2025년 현재 기준으로 189개의 기업에서 총 462개(일부 서비스는 2개 이상의 세부 유형에 중복으로 등록되어 있으며, 중복을 포함하면 총 520개 서비스)의 인증 받은 서비스를 제공하고 있고, 239개의 기관에서 서비스를 이용하고 있다. 인증 서비스 세부 유형은 IaaS 25개(4.8%), SaaS 437개(84.0%), PaaS 58개(11.2%)로 이루어져 있다.

4. 호주 Cloud Marketplace

호주 정부는 2015년 DTO(Digital Transformation Office)를 설립해 정부 기관의 서비스를 온라인으로 단순화하고 통합하기로 했으며, 경제 및 지리적 상황으로 인터넷 연결이 제한된 사람들에게도 접근할 수 있게 모든 통신 채널에 대한 접근을 제공하고자 했다. 또한 수십 개의 정부 관련 서비스를 위한 단일 온라인 서비스인 myGov 포털을 만드는 임무를 맡았다.

DTO는 디지털서비스 전문가 패널을 통해 2016년 9월에 디지털 마켓플레이스를 오픈하면서 220개의 검증된 디지털서비스 기업을 등록했다. 호주의 디지털 마켓플레이스는 영국과 마찬가지로 기술 조달을 위한 플랫폼으로 중소기업과 스타트업을 포함한 기업이 정부에 전문적인 디지털서비스를 제공하는 것을 목표로 하였다.

DTO는 2016년 10월에 DTA(Digital Transformation Agency)로 이름을 변경하였으며, 재무부가 관리하던 IT 정책 및 조달 기능까지 담당하게 되었다. 또한, 호주 정부의 디지털 전환을 위한 다양한 프로젝트를 수행하고 있는데, 그중 하나가 디지털 마켓플레이스로 정부가 클라우드 기술 및 기능에 훨씬 더 쉽게 접근할 수 있도록 2021년 4월 클라우드 마켓플레이스를 출시했다. 현재, DTA는 ICT 조달 패널뿐만 아니라 DTA의 다른 패널과 마켓플레이스를 모두 2022년 5월 BuyICT 포털로 통합하여 운영하고 있으며, 포털에서는 키워드 검색과 고급 필터 기능을 제공하는 등 지속적인 노력을 기울이고 있다.

영국의 ‘Digital Marketplace’ 및 미국의 ‘FedRAMP Marketplace’와 같이 클라우드를 중심으로 하는 마켓플레이스는 BuyICT 포털 메뉴 중 ‘Cloud Marketplace’가 가장 유사하다.

그림 4 호주 ICT 조달 관련 포털(BuyICT) 내 Cloud Marketplace

4.1 운영 체계

호주 정부는 2015년 설립된 디지털전환처(DTO)의 역할을 확장하여 정부 차원의 디지털 혁신을 이끌고 정부의 정보통신기술에 대한 전반적인 가이드라인 제공 등을 위해 2016년 10월에 디지털혁신청 (DTA)으로 이름을 변경했다.

디지털혁신청은 정부 기관에서 디지털서비스를 제공하는 데 필요한 플랫폼 및 도구를 제공하고 법적 프레임워크 등을 개발하며, 운영 체계는 다음과 같다.

그림 5 호주 정부의 주요 ICT 운영 체계

4.2 등록 절차

• (자격 확인) 기본 자격에 대해 검증

• －호주에 등록된 사업체인지 확인

• －ABN(Australian Business Number)을 보유 여부

• －GST(Goods and Services Tax)에 등록 여부

• －정부의 계약 조건을 준수 가능 여부

• (등록 신청) 마켓플레이스 등록 신청 및 신청료 납부

• －온라인 안내에 따라 사업체 정보, 연락처 정보, 제품 및 서비스 정보를 입력

• －관련 서류 업로드 후 등록 신청료를 납부

• (심사) 심사 및 승인 절차

• －정부기관에서 신청 정보를 심사

• －심사 기간은 약 4주

• －심사를 통과하면 등록 승인 이메일을 통보

• (등록 완료) 등록 승인 및 판매

• －등록 승인 이메일을 통해 로그인 정보를 제공

• －마켓플레이스에 로그인하여 제품 및 서비스를 등록하고 판매를 시작

4.3 서비스 제공 및 이용 규모

호주 클라우드 마켓플레이스는 2025년 현재 기준으로 480개 기업이 등록되어 있으며, 이 중 중소기업이 50%를 차지하고 있고 319개의 기관에서 서비스를 이용하고 있다.

계약 건수 기준으로 현재까지의 실적은 총 620건이며, 이 중 중소기업은 337건으로 54.4%를 차지하고 있다. 또한, 계약 금액의 경우에는 총 8억 호주달러의 계약이 체결되었으며, 이 중 중소기업은 2억 6천만 호주달러로 32.5%를 점유하고 있다.

5. 나가며

이상에서 살펴본 영국, 미국, 호주 디지털 마켓플레이스에 대해 서비스 제공 및 이용 규모 측면에서 주요 내용을 요약 비교하면 다음과 같다.

국내의 경우 공공부문의 민간 디지털서비스 도입 촉진을 위하여 2020년 10월부터 운영해 온 ‘디지털서비스 전문계약제도’가 누적 계약 금액 6천억원 이상을 돌파하는 등 공공부문의 디지털 혁신을 가속화하는 견인차 역할을 하고 있다.

또한, 현재 등록된 총 642개의 디지털서비스 중 479개, 74.6%가 중소기업이 제공 중이며, 전체 디지털서비스 계약건수 2,002건 중에서 중소기업이 계약한 건수는 1,416건, 70.7%로, 디지털서비스 전문계약제도가 중소기업의 성장에도 많은 기여를 하고 있다.

다만, 영국의 경우 ‘디지털 마켓플레이스’에 등록된 총 44,611의 디지털서비스 중에서 12,970개의 SaaS가 유통되고 있는 반면, 우리나라는 177개의 SaaS만이 선정･등록된 상황이라 SaaS 활성화를 위한 좀 더 다각적인 노력이 필요할 것으로 생각된다.