[디지털데일리 백지영기자] 지난 9월 28일부터 클라우드 발전법이 시행되면서 그동안 클라우드 서비스를 사용하지 않던 대부분의 산업군에서 클라우드 도입이 늘어날 것이라는 기대가 높다. 그러나 실제로 현재 공공기관이나 금융, 의료기관이 민간기업의 퍼블릭 클라우드 서비스를 활용하기란 쉽지 않다.

의료 등 일부 산업의 경우, 현재 법 개정이 진행 중이지만 여전히 개선해야 할 부분이 많다. 공공기관의 경우 내년 정보자원 등급체계 마련 등을 통해 클라우드 도입을 확산하겠다는 계획이지만 이 역시 현재로선 불명확하다.

궁극적으로는 민간기업의 퍼블릭 클라우드 서비스를 활용하게 되더라도 IT 인프라나 네트워크 등이 물리적으로 분리된 형태의 ‘커뮤니티 클라우드’ 도입 방식으로 흘러가게 될 것이라는 관측이다.

그렇다면 도대체 각 산업군의 어떠한 규제가 클라우드 도입을 가로막고 있는 것일까.

미래창조과학부 발표에 따르면, 자체 전산설비 등의 구비를 요구해 실질적인 클라우드 서비스 도입을 막고 있는 법령은 제조와 금융, 공공, 대학, 의료 등 55개 이상이다. 미래부가 파악하지 못한 법령까지 파악하면 이보다 훨씬 더 많을 것으로 예상된다.

◆공공분야

클라우드 발전법이 시행되면서 가장 기대를 모았던 분야다. 지난 11월 미래부와 행정자치부 등이 발표한 클라우드 활성화 기본 계획에 따르면, 오는 2018년까지 공공부문에서 1조2000억원의 클라우드 시장이 만들어질 전망이다.

그러나 공공분야에서의 시장 창출은 예상만큼 쉽지 않을 것으로 예상된다. 정부는 현재 공공분야를 크게 중앙행정기관과 지방자치단체, 공공기관 세 개로 나누고 있는데, 미래부가 마련한 클라우드 활성화 계획에 따르면 사실상 중앙행정기관이나 지자체등은 민간 클라우드 서비스 자체의 이용이 불가능하기 때문이다.

청와대와 국방부, 국가정보원 등을 제외한 44개 중앙행정기관은 현재 대전과 광주에 위치한 행자부의 정부통합전산센터를 이용하고 있다. 정부통합전산센터 역시 최근 정부의 클라우드 컴퓨팅 전환 계획에 따라 ‘G-클라우드’라는 새로운 시스템으로 전환이 순차적으로 이뤄지고 있는 상태다.

미래부는 공공기관은 기관 및 업무 특성을 고려해 민간 클라우드를 이용할 수 있는 정보자원 등급체계를 마련한다는 방침인데, 이중 중앙행정기관과 지자체의 정보자원은 통합센터의 G-클라우드나 자체 클라우드를 검토할 것을 권고하고 있다.

특히 중앙행정기관의 경우, 정보자원의 중요도에 관계없이 G-클라우드를 사용하도록 돼 있다. 민간 클라우드 이용을 사용하도록 권고한 분야는 공공기관 중에서 중, 하급에 해당하는 정보자원이다.

행자부는 대전과 광주 이외에도 오는 2018년에는 대구에 제3정부통합전산센터를 오픈할 예정이며, 여기에는 79개의 행정 및 공공기관의 IT시스템을 운영할 예정이어서 민간 클라우드를 사용하는 기관 수는 더 줄어들 전망이다. 여기에 충남 공주에도 현재 백업센터가 건립될 예정이다.

게다가 모든 공공기관은 망분리 대상기관이어서 업무망 내부 시스템은 민간 클라우드를 사용할 수 없는 구조다. 결국 민간 클라우드 서비스를 이용할 수 있는 분야는 업무망과는 관련 없는 대민 서비스에 한정될 것이라는 관측이다.

때문에 많은 업계 관계자들은 실제 민간 클라우드를 이용할 수 있는 분야가 많지 않을 것이며, 결국 공공기관만을 위한 전용 클라우드 서비스 이용이 주를 이룰 것으로 판단된다. 이미 KT 등이 이러한 서비스를 마련하고 일부 공공기관을 유치하고 있다.

미래부 측은 “공공기관의 범위가 상대적으로 넓다보니, 민간 클라우드 서비스를 사용할 수 있는 분야를 지속적으로 찾아내는 것이 중요하다”고 강조하고 있다. 이미 ▲초·중등 SW교육, ▲선거관리, ▲헌법기관 자료백업, ▲국가 R&D, ▲지자체 대민서비스, ▲평창올림픽 등 국가 대형 이벤트, ▲공공기관 스마트 협업, ▲CCTV 영상보관관리, ▲국가학술정보 등 9개 사업을 발굴하고 현재 민간 클라우드 도입을 추진 중이다.

또한 민간 클라우드 서비스나 솔루션을 공공기관이 선택해 이용할 수 있는 마켓플레이스 ‘클라우드스토어’를 구축해, 조달청 나라장터와 연계한 클라우드 조달체계도 마련할 계획이다.

◆금융분야

금융 부문의 경우, 지난 7월 금융회사의 정보처리 업무 위탁에 관한 규정 일부가 개정되면서 전산설비의 위탁이 가능해진 부분이 있다. 그러나 망분리 적용의무 등 제약이 존재해 사실상 클라우드 서비스 이용이 불가능한 측면이 있다.

우선 개정된 신용정보법 제17조 수집, 조사 및 처리의 위탁에 관한 법률에 따르면, 수탁자는 제2항에 따라 위탁받은 업무를 제3자에게 재위탁해서는 안된다는 조항이 있지만, 신용정보의 보호 및 안전한 처리를 저해하지 않는 범위에서 금융위원회가 인정하는 경우에는 가능하도록 명시했다.

또 개정 전자금융감독규정 제8조 인력, 조직 및 예산안에는 금융회사 또는 전자금융업자의 정보기술부문 인력은 총 임직원수의 100분의 5이상, 정보보호인력은 정보기술부문 인력의 100분의 5이상이 돼야 한다고 규정하고 있다.

이와 관련, 이창범 경희대학교 겸임교수는 “신용정보법 및 금융회사의 정보처리 업무 위탁에 관한 규정에 금지하고 있는 재위탁을 규정 개정을 통해 허용했지만, 여전히 재위탁자의 건정성 또는 신인도를 크게 저해하거나 금융 질서의 문란 또는 신용정보주체의 피해 발생이 심히 우려되는 등 재위탁 금지 사유가 불분명해 남용 가능성이 있다”고 지적했다.

그는 “또한 클라우드 서비스는 인력 및 예산 비용 절감 효과가 큼에도 불구하고 기존 IT인력 및 예산 확보 의무를 고수하고 있다”며 “획일적으로 설정된 IT인력 및 예산 미확보시 금융회사에 불이익이 따르고 있어, 사실상 인력 감축 및 비용절감효과가 클라우드 도입을 방해하고 있다”고 덧붙였다.

이밖에 국내에 본점을 둔 금융회사의 전산실 및 재해복구센터는 국내에 설치하도록 돼 있어 글로벌 클라우드 이용이 어렵고, 물리적 망분리 예외도 미적용돼 내국계 금융회사에 대한 역차별도 예상된다.

전자금융감독규정 제11조 전산실 등에 관한 사항에선 국내에 본점을 둔 금융기관의 전산실 및 재해복구센터는 국내에 설치하고, 무선통신망을 설치하지 말 것을 명시하고 있기 때문이다.

또한 전자금융감독규정 제15조 해킹 등 방지대책에 대해선 내부통신망과 연결된 내부 업무용시스템은 인터넷 등 외부통신망과 분리, 차단 및 접속 금지할 것을 규정하고 있다. 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안목적으로 직접 접속하는 단말에 대해선 인터넷 등 외부통신망으로부터 물리적으로 분리할 것이라는 내용이다.

전자금융감독규정시행세칙 제2조의2 망분리의 적용예외 내용이 있긴 하지만, 업무상 필수적으로 특정 외부기관과 연결해야 하는 경우 규정 제15조제1항제5호에서 정보처리업무를 국외 소재 전산센터에 위탁해 처리하는 경우하고 명시돼 있다. 다만 해당 국외 소재 전산센터에 대해선 물리적 방식 외의 방법으로 망을 분리해야 하며, 이 경우에도 국내 소재 전산센터 및 정보처리시스템 등은 물리적으로 망을 분리해야 한다고 밝히고 있다.

이 교수는 “전산실에는 무선통신망 설치가 금지돼 있어, 전산실을 클라우드로 이전하는데 장애요인으로 작용할 것으로 보인다”며 “클라우드에서는 무선통신이 불가피한 측면이 존재하기 때문”이라고 말했다.

그는 “망분리 의무 역시 불분명한데, 내부 업무용 시스템을 업무상 필수적으로 특정 외부기관과 연결해야 하는 경우 또는 정보처리 업무를 국외 소재 전산센터에 위탁해 처리하는 경우는 물리적 망 분리 의무가 면제되는 셈”이라며 “또한 중요 단말기, 국내 소재 전산센터 등에 대해선 예외가 인정되지 않고, 업무상 필수적으로 외부기관과 연결해야 하는 경우로 돼 있어 예외사유도 불분명하다”고 설명했다.

이어 그는 “신용정보 등 해외이전 또는 재위탁 금지/제한 규제는 개선됐으나 금융 분야는 여전히 숨은 규제가 많다”며 “이들 규제는 클라우드를 예상하지 못한 상태에서 도입된 것으로, 클라우드 환경에 맞게 규제 및 개정이 필요하다”고 덧붙였다. 규제의 명확화 및 국내외 기업 간 차별개선도 향후 개선 과제다.

◆의료분야

현행 의료법 및 의료법 시행규칙 가운데 ▲제23조 의료인이나 의료기관 개설자는 보건복지부령으로 정하는 바에 따라 전자의무기록을 안전하게 관리 보존하는데 필요한 시설과 장비를 갖춰야한다는 내용과 ▲의료법 시행규칙 제16조 전자의무기록을 안전하게 관리 보존하기 위해 갖춰야할 장비는 네트워크에 연결되지 아니한 백업저장시스템이어야 한다는 내용이 있다.

이후 보건부는 지난해 12월 의료기관 진료기록 규제개선과제를 발표하고, 오는 12월 28일까지 의료법 시행규칙 개정안을 입법예고한 상태다.

이에 따르면, 시행규칙 개정안 제16조에는 전자의무기록 외부보관에 대한 현실화 및 선택권을 부여한다고 돼 있다. 즉, 현행제도를 유지하되, 필요시 외부보관도 가능하도록 규제를 완화하고 시설이나 장비기준을 보관장소(내부/외부)에 따라 분리해 규정하고 있다.

내부보관의 경우 현행규정에 네트워크 및 시스템 보안장비를 추가하고, 외부보관의 경우 내부보관보다 요건을 강화하고 세부기준을 별도로 고시했다.

외부보관 시에는 ‘전자의무기록의 의료기관 외부보관시 필요시설, 장비기준(가칭)’에 따라 총 7개 항목 65개 요건을 만족하도록 기준안이 마련됐다. 이는 전자문서법상의 ‘공인전자문서센터의 시설 및 장비 등에 관한 규정’을 참조해 만든 것이다. 또한 전자의무기록 의료기관 외부관리, 보존계획서를 시·군·구청장에게 제출해 이들이 확인 및 주기적 점검하도록 했다.

‘전자의무기록의 의료기관 외부보관시 필요시설, 장비기준안’에는 ▲물리적으로 둘 이상의 회선분리, ▲서로 다른 둘 이상의 통신망사업자로부터의 회선사용, ▲둘 이상의 경로를 제공하는 내부망 구성, ▲라우터 이중화, ▲하나의 회선 또는 경로에 장애시에도 서비스 지속 제공, ▲타 업무 데이터와 혼재되지 않도록 별도 분리된 의료데이터전용의 독립 네트워크 구성 및 독립 시스템(장비) 구성이 규정돼 있다.

이창범 교수는 “위의 내용은 의원급 의료기관의 클라우드 서비스 이용에 대한 배려가 부족한 것”이라며 “전자의무기록의 의료기관 외부보관시 규정은 의원급 의료기관에게는 꼭 필요하지 않은 과도한 시설과 장비를 요구하는 것”이라고 지적했다.

그는 “결국 이같은 내용은 민간의 퍼블릭 클라우드 서비스 이용에는 상당한 제약이 따를 것으로 예상된다”며 “그들만을 위한 별도의 ‘커뮤니티 서비스’ 형태로 의료기관만을 위한 독립된 네트워크와 시스템 구성, 운영이 불가능하지는 않으나 클라우드의 장점인 비용절감보다는 비용상승 요인으로 작용할 가능성도 있다”고 설명했다.

또한 의료법 시행규칙 개정안에는 개정전자의무기록의 국외이전 또는 국외보관 가능성도 불분명하다. 클라우드 서비스 데이터센터를 국내에만 둬야하는지, 국외에 두는 것도 가능한 것인지 여부가 정확하게 명시돼 있지 않다.

그러나 등록제와 인증제, 외부보관 관리 계획서 제출 및 확인, 점검제도, 외부보관 시설, 장비 기준 등의 선례로 봤을 때, 전자의무기록의 국외 이전 또는 국외 보관을 금지 또는 제한하는 것으로 해석될 가능성이 높다는 것이 이 교수의 설명이다.

그는 “의료분야의 클라우드 활성화를 위해선 의료 데이터 전용 네트워크 및 시스템 구비 등의 의무를 의료인 또는 의료기관의 선택에 맡기거나 병원급 의료기관으로 한정하는 방안을 고려하는 것이 필요하다“고 조언했다.

또한 시행규칙 개정 이후 법집행 과정에서 혼란이 생기지 않도록 국외보관에 대한 기준을 제시하거나 유권해석 등을 통해 이를 명확히 할 필요가 있다는 의견을 제시했다.

◆기타

이밖에 교육 분야는 평생교육법 제33조 원격대학형태의 평생교육시설에 대해 IT설비 확보를 의무로 하고 있다. 평생교육법 시행령 제54조에는 원격대학 형태의 평생교육시설은 각종 서버, 통신장비 및 매체제작장비 등 원격 교육에 필요한 설비를 확보해야 한다고 명시돼 있다.

또한 사이버대학 설립·운영규정 제5조에는 사이버대학에는 각종 서버, 통신장비 및 콘텐츠 개발 설비 등 원격 교육에 필요한 설비가 있어야 한다고 규정하고 있다.

또한 서버 설비는 원격 교육 이외에 다른 업무에 공유되거나 타 기관과 공동으로 사용할 수 없으며, IDC 전문업체의 코로케이션(상면과 네트워크만 임대하는 방식) 서비스를 이용해 설비 전체 또는 설비 일부의 외주관리는 가능하다. 그러나 이 경우에도 물리적으로 별도의 서버로 구성돼야 한다는 내용이 명시돼 있다. 네트워크 설비도 동일하다.

고용분야 역시 근로자직원능력개발법 제28조 지정직원훈련시설 법령에 따라 임차한 서버 등을 다른 기관이 공동으로 사용해선 안 된다고 명시돼 있다.

이밖에 전자상거래 등에서의 소비자보호에 관한 법률 제12조 제4항에 따라 관련 기업은 호스트 서버의 소재지를 홈페이지에 명시해야 하는 조항이 있다. 이는 구체적인 주소, 즉 물리적으로 어느 건물 몇 층에 있는지까지 표기해야 하지만, 클라우드 서비스의 특성상, 이를 노출시키는 것은 불가능하다.

이창범 교수는 “결국 현재로서는 각 산업군의 기업이나 기관은 클라우드 이용이 가능한지, 개별법 확인이 필요하다”고 강조했다.

<백지영 기자>jyp@ddaily.co.kr