클라우드 리포트

공공기관이 클라우드 서비스 이용하려면…한국판 페드람프 언제쯤?

백지영
지난 3월 3일 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)’이 국회 본회의를 통과하면서 이르면 9월 말 시행될 예정이다. 세계 유일의 클라우드 관련 법인만큼, 향후 시장 활성화에 대한 기대감도 커지고 있다.
다만 현재까지 법 공포도 되지 않는 상황이어서 구체적인 지침이나 가이드라인은 나오지 않아 관련 업계의 궁금증도 커지고 있다. 이에 디지털데일리는 클라우드 발전법의 제정 배경과 주요 내용, 향후 전망 등을 조망해 볼 계획이다.

[클라우드 발전법 파헤치기 ②]

[디지털데일리 백지영기자] 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법안(이하 클라우드 발전법) 가운데 업계에서 가장 주목하는 부분은 역시 공공기관의 민간 클라우드 서비스 사용이다.

과거 국가정보원의 보안 지침으로 공공기관은 지난 2012년 네이버 N드라이브와, 애플 아이클라우드 등의 개인향 클라우드 서비스를 포함한 약 50개의 민간 클라우드 서비스 사용이 금지된 바 있다.

이는 국립대학교인 서울대의 한 학과 게시판에 올라온 공지사항(임직원과 교수, 학생 등은 중요 연구 자료에 대해 클라우드 서비스 금지)이 트위터 등 소셜네트워크서비스(SNS)상에서 퍼지면서 외부에 알려지게 됐다.

그러나 이번 클라우드 발전법 제정으로 공공기관이 민간 클라우드 서비스를 이용할 수 있는 근거가 마련되면서 그동안 잠겨있던 빗장이 풀렸다. 정부와 지방자치단체, 공기업, 학교 등 약 1만~1만5000여개의 공공기관은 앞으로 정보화 사업 예산 편성시 클라우드 도입을 우선 고려해야 한다. 이에 따라 관련 업계에서는 공공기관이 클라우드 시장 활성화의 견인차 역할을 할 것으로 기대하고 있다.

다만 민간 클라우드 서비스를 공공기관이 사용할 수 있도록 하기 위해선 선결과제가 있다. 바로 보안에 대한 가이드라인이다.

◆한국판 페드람프 언제쯤…5~6월경이면 관련 지침 발표=예를 들어 미국의 경우, 퍼블릭 클라우드 서비스업체가 자국의 공공기관에 서비스를 공급하기 위해선 연방 위험 및 인증 관리 프로그램인 ‘페드람프(FedRAMP, Federal Risk and Authorization Management Program)’ 인증을 받아야 한다.

페드람프는 클라우드 제품과 서비스에 대한 보안 평가, 허가와 지속적인 모니터링을 위한 표준화된 접근을 제공하는 프로그램이다. 미국 연방정부나 안보기관과 거래하는 모든 클라우드 서비스 사업자들에게 의무적으로 적용되고 있다. 미국 뿐만 아니라 싱가포르(MTCS), 일본(ASP.SaaS) 등도 비슷한 클라우드 보안 인증제도를 운영 중이다.

이에 따라 미래창조과학부 역시 행정자치부와 국가보안기술연구소, 한국인터넷진흥원(KISA) 등과 함께 이에 대한 방안을 마련하고 있다. 미래부 관계자는 “페드람프와 같은 인증제도를 한국 상황에 맞에 적용하는 방안에 대해 고려하고 있다”고 설명했다.

공공부문의 민간 클라우드 서비스 도입을 위해서는 우선 데이터의 기밀성이나 중요도 등을 고려, 이를 단계별로 구분해야 한다는 의견은 이전부터 있어왔다.

이미 KISA를 중심으로 한 전문가 풀(Pool)과 보안대책연구반이 가동 중인 만큼, 데이터 등급에 따른 민간 클라우드 적용 허용 기준을 연구하고 있는 것으로 전해졌다. 이르면 5~6월경 관련 지침이 발표될 것으로 전해지고 있다.

이와는 별개로 미래부는 공공기관의 민간 클라우드 서비스 도입을 앞당기기 위해 다양한 시범사업도 준비 중이다. 전국 1000여개의 산업단지 가운데 공모를 통해 일부에만 클라우드 서비스를 적용하는 방안이나 현재 실시 중인 초·중·고 소프트웨어(SW) 과정에도 이를 적용하겠다는 계획을 세우고 있다.

미래부 관계자는 “지난 2012년 발표했던 범정부 클라우드 기본 계획에서는 2017년까지 공공기관의 민간 클라우드 서비스 활용도를 15%까지 높이겠다고 발표한 바 있지만, 올해 새롭게 발표될 계획에서는 이 수치가 변경될 것”이라며 “실제 법이 시행되면, 공공기관의 민간 클라우드 서비스 사용이 더욱 탄력을 받을 것이라고 생각한다”고 말했다.

◆대기업, 외국계 기업 서비스도 공공기관 공급 가능할까=업계의 또 다른 관심은 대기업과 외국계 기업의 클라우드 서비스의 공공기관 도입 여부다.

현재 시행 중인 SW산업진흥법에 따라 상호출자제한기업집단 소속 대기업, 즉 대기업 계열의 IT서비스 업체들은 일정 규모 이상의 정부 공공정보화 사업에 참여할 수 없도록 규정돼 있다. 연 매출 8000억원 이상 대기업은 80억원 이하, 8000억원 이하 대기업은 40억원 이하 규모의 공공 IT사업에 참여할 수 없다.

그러나 클라우드 서비스는 상황이 다르다. 사용한 만큼만 비용을 내면 되는 퍼블릭(Public) 클라우드 서비스는 말 그대로 서비스를 제공하는 사업이기 때문에 대기업에도 같은 기준을 적용하긴 어렵다.

또한 클라우드 서비스의 성격이 컴퓨팅 파워나 스토리지 저장 공간을 임대해주는 IaaS(Infrastructure as a Service)인지 혹은 플랫폼 개발을 클라우드 서비스 형태로 제공하는 PaaS(Platform as a Service), 소프트웨어를 서비스 형태로 제공하는 SaaS(Software as a Service) 형태인지에 따라서도 달라질 수 있다.

만약 공공기관이 퍼블릭 클라우드 서비스가 아닌 클라우드 형태의 IT인프라로 내부 시스템을 구축하는 프라이빗(Private) 클라우드를 구축한다면, 이는 기존 SW산업진흥법의 규제를 받을 수도 있다. 일부는 퍼블릭 클라우드를 사용하고 일부는 프라이빗 클라우드를 구축해 이를 혼합한 하이브리드 클라우드 형태로 운영할 경우도 고려해야 있다.

이와 관련, 미래부 임재덕 사무관은 “클라우드 컴퓨팅은 다양한 구축 혹은 이용 방법이 있기 때문에 상황별로 다를 것인 만큼, 현재로선 단정짓긴 힘들다”며 “이와 관련해 연구, 검토 중인 단계”라고 밝혔다.

또한 공공기관이 정보화 사업을 진행하기 위해서는 현재 조달청을 통해 발주하는 절차가 필요하다. 그러나 조달청의 현행 구매 프로세스는 HW 혹은 SW와 같은 완제품 위주로 돼 있기 때문에, 이용료를 지불하는 형태의 계약이 가능하도록 서비스도 조달 등록이 가능하도록 개선돼야 한다.

미래부 측은 “조달청도 이미 이 점을 인지하고 있는 만큼, 절차 개선에 대한 얘기를 하고 있다”고 설명했다.

외국계 업체 역시 참여가 불가능한 것은 아니다. 오히려 세부 지침이나 가이드라인에 외국계 참여를 제한할 경우, 역차별 논란이 있을 수도 있기 때문.

다만 향후 발표될 보안지침에 데이터 중요도에 따라, 데이터 저장 위치를 한국으로 제한하거나 보안 인증이 까다로울 경우 참여가 어려울 수도 있다. 물론 최근 아마존웹서비스(AWS)나 IBM, MS, 오라클 등 외국계 기업들도 국내에 데이터센터(IDC)를 마련하거나 마련할 계획을 갖고 있어 향후 상황을 가늠하긴 힘들다. 실제 AWS의 경우, KT와 SK브로드밴드의 IDC를 일부 임대한 바 있다.

특히 현재 적지 않은 중견중소기업들이 외국 클라우드 서비스를 재판매하는 클라우드 서비스 브로커리지(CBS) 사업을 진행하고 있어 이에 대한 조정도 필요할 것으로 보인다.

미래부 측은 “법안에 중소기업 지원책을 담고 있기 때문에, 추후 관련 정책을 마련해 발표할 것”이라며 “4월 입법 예고 이후, 시행령을 발표할 예정이며, 5월에는 업계를 대상으로 공청회도 개최할 계획”이라고 설명했다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널