또한 공공기관용 클라우드 서비스 영역과 민간기관용 클라우드서비스 영역은 물리적으로 분리돼야 한다. 클라우드 서비스를 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 국가표준암호화 기술을 제공해야 한다.

다만 이러한 기준을 만족한 이후에도, 각각의 공공기관이 추가로 요구하는 사항은 국정원의 보안성 검토 프로세스를 통해 인증받아야 한다. 이같은 내용은 중소 및 스타트업에게 과도하다는 평가도 있어, 추후 논란이 예상된다.

◆보안 및 품질·성능 고시 4월 1일부터 시행=지난해 9월 28일부터 세계 최초로 클라우드 발전법이 시행되면서, 제23조에 따른 품질·성능 및 정보보호 기준에 따라 관련 고시가 우선적으로 제정돼야 한다. 이에 따라 미래창조과학부와 관계 부처는 클라우드 이에 대한 기준을 마련해 왔다.

특히 공공기관의 민간 클라우드 이용에 필요한 보안인증제 운영 근거가 될 정보보호 기준도 마련됐다. 미래부는 이같은 내용을 담은 고시를 제정하고 발표했다. 이는 관계부처 협의와 행정예고, 규제심사, 법제처 심사의뢰 등의 절차를 통해 오는 4월 1일 고시를 발령·시행할 예정이다.

우선 정보보호 관련 고시(안)은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치 등 총 14개 부문 118개 통제항목으로 마련됐다. 사업자 부담을 덜기 위해 미국, 일본 대비 통제항목 수를 줄였으며, 서비스 안정성 및 신뢰성을 담보하기 위한 핵심 항목을 추가·강화했다는 설명이다.

관리적 조치에는 ▲정보보호 정책 및 조직 ▲인적보안 ▲자산관리 ▲서비스 공급망 관리 ▲침해사고관리 ▲서비스 연속성 관리 ▲준거성이, 물리적 조치에는 ▲물리적 보호구역 지정 및 보호 ▲정보처리 시설 및 장비보호가, 기술적 조치에는 ▲가상화 보안 ▲접근통제 ▲네트워크보안 ▲데이터 보호·암호화 ▲시스템 개발 및 도입보안 등의 내용이 담겼다.

또한 기업들의 관심이 가장 높았던 공공기관용 민간 클라우드 추가 보호조치에는 사업자에 대한 정보보호 기준 준수여부를 확인(보안인증제)하고, 정보보호 전문기관인 한국인터넷진흥원(KISA)에서 사업자의 신청을 받아 시험, 평가한다. 이후 이 결과를 내달 정식 오픈하는 공공 클라우드 쇼핑몰(클라우드 스토어) ‘씨앗’에 공개할 예정이다.

◆14개 부문 118개 통제항목 발표, 공공기관용 보호조치 추가=그런데 이번에 공개된 공공기관용 민간 클라우드 추가 보호조치에는 기존 국가정보원의 보안지침 등이 반영된 내용이 다수 포함돼 있다.

이를테면 클라우드 서비스 구축을 위해 도입되는 서버나 PC 가상화 솔루션 및 정보보호 제품 중에 CC 인증이 필수적인 제품군은 CC인증을 받은 제품을 사용해야 한다거나, 클라우드 시스템 및 데이터의 물리적 위치, 즉 데이터센터(IDC)는 국내로 한정해야 한다는 내용 등이다. 또한 공공기관용 클라우드 서비스 영역과 민간기관용 클라우드 서비스 영역은 물리적으로 분리돼 있어야 한다.

이와 관련해 실제 지난 22일 개최된 ‘클라우드 컴퓨팅법 관련 고시 제정 추진 공청회’에서는 CC인증 등에 대한 질문이 많았다.

이날 패널로 참석했던 서광규 상명대 교수는 “CC인증 등을 받으려면 1년 정도가 걸리는데, 이는 상당한 시간이 소요되는 이슈로 클라우드 서비스 제공업체(CSP)에게는 공공기관에 진입하지 못하는 방벽이 될 수 있다”며 “CC인증 이외에도 이를 충족시킬 수 있는 다른 인증도 해당될 수 있도록 조정하는 것이 필요하다”고 지적했다.

이에 대해 미래부 서성일 과장은 “이는 고시 초안을 만들고, 전문가 토론을 하면서 나왔던 내용”이라며 “고시안에는 포함되지 않았지만 여전히 관계부처와의 합의가 필요한 사항으로 향후 행정절차에선 반영할 예정”이라고 말했다.

손경호 KISA 단장은 “위의 내용들은 국가 정보보안의 기존 지침으로 공공기관은 반드시 따라야 할 내용으로 현재 28종에 대한 CC인증이 필수적”이라며 “민간기업 입장에선 강제한다고 볼 수도 있겠지만, 결국 이는 공공기관을 타깃으로 하는 것이기 때문에 기관 안에 있든 밖에 있든 요구사항은 동일해야 한다”고 설명했다.

다만 구체적인 내용에 대해선 추후 별도의 사업자 설명회를 통해 발표한다는 계획이다.

이밖에 물리적 데이터센터 국내 한정 제약이 글로벌 사업자에 불리하게 작용할 수 있다는 지적에 대해 손 단장은 “클라우드 환경의 특성상 데이터가 해외에 분산처리될 수 있겠지만, 이는 국내 뿐만 아니라 미국 등 대부분 국가의 공공기관에서 공통적으로 요구하는 사항”이라고 말했다. 불가능한 얘기지만, 공공기관의 데이터가 북한에 저장돼 있다거나 하는 상황은 없어야한다는 설명이다.

◆올 하반기부터 보안인증체계 본격화=정보보호 이외에도 품질·성능에 대한 기준 고시 내용도 발표됐다. 국내 클라우드 시장이 초기 형성 단계임을 감안해, 기본적인 측정기준을 명시했다는 것이 미래부 측의 설명이다.

서비스형 인프라(IaaS)·플랫폼(PaaS)·소프트웨어(SaaS) 부문에 공통적으로 적용 가능한 항목만 선별해 가용성과 응답성, 확자성, 신뢰성, 서비스 지속성, 서비스 지원, 고객 대응 등의 항목을 마련했다. 이미 기존에 운영 중인 클라우드 품질평가서비스(NIPA, 클라우드 산업협회)를 발전시켜 이번 고시 준수 여부 확인 및 그 결과에 대한 정보제공을 추진할 방침이다.

또한 추후에는 민간 역량을 강화시켜, 민간 중심의 품질 평가 체계를 구축할 예정이다. 이미 일본이나 미국의 경우 민간 자율의 품질·성능 평가쳬가 갖춰져 있다.

이재경 영림원소프트랩 상무는 “클라우드 서비스 지속성 항목에서 봤을 때 재무능력이 우수한 대기업이나 글로벌 기업에게 유리하지 않겠느냐”며 “우리와 같은 중소기업에겐 불리하게 작용할 수도 있다”고 의문을 제기했다.

이에 대해 조유진 정보통신산업진흥원(NIPA) 클라우드 지원단장은 “클라우드 서비스 이용자들에게 서비스 지속성에 대한 안심을 시켜주기 위한 측면에서 들어간 내용”이라며 “비단 재무상태 뿐만 아니라 기술보증 등의 항목도 들어가 있기 때문에 중소기업들에게 장애요소로 작용하지 않도록 할 것”이라고 답했다.

한편 이러한 보안인증제나 품질평가 등은 올 7월부터 정상적으로 작동할 예정이다. 현재 행정자치부가 중앙행정부처와 지자체 등 공공기관의 2700개 정보자원(시스템) 중요도를 상, 중, 하로 분류하는 작업을 진행 중인데, 조만간 이를 완료하고 관련 고시를 발표할 예정이다.

4월 1일 미래부의 정보보호기준 등의 고시가 시행되면, 사업자들은 자사의 서비스가 이 기준에 부합되는지 KISA에 의뢰해 사용이 가능할 전망이다. 현재에도 단순 행사(이벤트)의 경우는 민간 클라우드 서비스 사용이 가능하다.

미래부와 KISA 측은 “행자부와 국정원 등과 이에 대한 세부규칙과 시행계획을 병행 마련할 계획”이라며 추후 보다 자세한 내용을 별도로 발표하겠다고 밝혔다.

<백지영 기자>jyp@ddaily.co.kr