디지털데일리는 클라우드 관련 소식을 한 눈에 볼 수 있는 ‘주간 클라우드 동향 리포트’를 매주 월요일 연재합니다.

지난주에 행자부와 미래부가 ‘공공기관 민간 클라우드 이용 가이드라인’을 발표했습니다. 초안에 포함됐던 기관등급 평가 내용이 삭제되고, 정보자원등급을 1,2,3등급으로 나눠 1등급을 제외한 모든 정보자원이 민간 클라우드 서비스를 이용할 수 있도록 범위를 확대한 것이 눈에 띕니다.

이렇게 가이드라인까지 발표됐지만, 공공기관들은 당장 민간 클라우드 서비스를 이용할 수 없습니다. 클라우드 보안 인증을 받은 업체의 서비스를 써야 하는데, 현재 인증을 받은 업체는 한 곳도 없기 때문입니다. 인증 심사를 받고 있는 업체가 한 곳이 있지만, 심사가 끝나는 시점은 빨라야 9월입니다. 9월이 돼도 이용할 수 있는 업체가 한 곳 뿐인 것도 부담입니다.

기관의 정보자원등급을 자율적으로 평가하다보면, 3등급으로 분류하는 곳이 얼마나 될지도 모르겠습니다. 공공기관 가운데 금융, 의료, 교육 등 일부 산업군에 포함된 곳은 클라우드 관련 규제가 개선됐다고는 하지만 여전히 애매한 부분이 많습니다(금융의 경우 10월 중 별도의 가이드라인을 발표한다고 합니다).

가이드라인에 제시된 내용이 무섭게 느껴지기도 합니다. 과거에는 IT운영시스템에 장애가 나거나 개인정보 등이 유출됐을 때는 행정적인 절차를 밟았지만, 민간 클라우드 서비스를 이용할 경우 형사 소송까지 갈 수 있습니다.

한 번도 경험하지 못했던 것인 만큼, 과연 이러한 리스크를 감수하면서까지 민간 클라우드 서비스를 쓸 공공기관이 있을까 싶습니다. 다만 내년부터 공공기관 경영 평가시 클라우드 이용 우수사례에 대해 가점을 부여하겠다는 내용이 발표됐기 때문에 ‘당근’ 크기가 궁금해지긴 합니다.

하지만 공공기관의 민간 클라우드 서비스 이용은 여전히 갈 길이 멀어보입니다. 클라우드 서비스를 활용하는 이유는 다양합니다. 비용을 절감하고, IT시스템을 민첩하고 효율적으로 운영하기 위한 것이 큽니다. 이 비용은 바로 국민의 세금입니다. 공공기관 정보화 담당자들의 고민이 깊어질 것 같습니다.

아래는 지난주 국내에 전해진 클라우드 컴퓨팅 관련 소식입니다.

◆공공기관 민간 클라우드 활용…“실제 이용 시점은 9월 이후”=행정자치부가 지난 5일 ‘공공기관 민간 클라우드 이용 가이드라인’을 배포했지만, 실제 이용이 가능한 시점은 9월 이후일 것으로 보인다.

공공기관이 민간 클라우드 서비스를 이용하려면, 서비스를 제공하려는 기업은 정부의 보안 인증을 통과해야 한다. 미래창조과학부에 따르면 현재 신청해 절차를 밟고 있는 업체는 한 곳(KT)이다. 이 업체는 9월 중 첫 인증을 획득할 것으로 전망된다.

미래부는 중견중소기업 및 외국계 기업 등도 보안인증 획득을 검토 중이라며 서비스 선택의 폭은 향후 더 넓어질 것이라고 했지만, 당장 선택할 수 있는 업체가 한 곳 뿐인 것은 공공기관으로선 부담으로 작용할 전망이다.

또한 보안인증과는 별개로 민간 클라우드 서비스를 이용하려는 공공기관은 국정원의 보안적합성 검토를 받아야 한다. 이달 중 국정원은 별도로 ‘국가·공공기관 클라우드컴퓨팅 보안 가이드라인’을 발표할 예정이다.

무엇보다 공공분야의 민간 클라우드 도입이 확산되기 위해선 공공기관의 전향적인 자세가 절실하다. 또한 금융과 의료 등 일부 산업군의 경우 클라우드 이용을 위한 규제가 일부 개선됐지만, 개인정보관련시스템 등에 대한 적극적인 법 해석도 필요한 상황이다.

6일 행자부와 미래부가 서울 상암동 한국지역정보개발원(KLID)에서 행정·공공기관 정보화 담당관을 대상으로 개최한 설명회에서는 ‘공공기관 민간 클라우드 이용 가이드라인’에 대한 구체적인 내용이 소개됐다.

이번 가이드라인에서 가장 눈여겨볼 부분은 당초 초안에 포합됐던 기관등급 평가 내용이 삭제됐다는 점이다. 기존에 민간 클라우드 활용을 우선 검토하는 정보자원등급은 중앙부처와 지자체를 제외한 ‘공공기관’ 가운데서 ‘하’에 해당되는 경우였다. 그런데 이번 가이드라인에선 정보자원등급을 1,2,3등급으로 나누고 1등급을 제외한 모든 정보자원이 민간 클라우드 서비스를 이용할 수 있도록 그 범위를 확대했다.

공공기관은 정보자원등급을 ▲서비스 ▲데이터 ▲연계 ▲업무대체수준(업무 대체율, 업무 대체 비용) ▲사고 시 파급효과 등 5가지 평가기준으로 나누고 상, 중, 하로 평가한다. 상은 3점, 중은 2점, 하는 1점으로 각각 점수를 매겨 평균값을 2.4점으로 두고, 2.4점 이상이면 1등급, 1.6점~2.4점이면 2등급, 1.6점 이하면 3등급에 해당한다.

3등급의 정보자원은 민간 클라우드 우선 이용이 가능하며, 이를 정책협의체에 통보하면 된다. 2등급은 정책협의체의 의견을 감안해 민간 클라우드 이용 여부를 판단하게 되며, 1등급은 민간 클라우드 이용을 할 수 없다.

이와 관련, 행자부 윤정태 사무관은 “1등급을 받으려면 보통 상 3개에 중 2개는 나와야 가능하다”며 “정부의 기본 지침은 민간 클라우드를 많이 활용하는 것이며, 이번 가이드라인에선 민간 클라우드 이용시 유의해야 할 점을 명시해 놓은 것”이라고 설명했다.

행정·공공기관 정보화 담당관이 정보자원등급을 자율적으로 판단한 이후에는 정보보호 등 일정 수준을 만족한 보안인증을 받은 서비스 사업자를 선택해 사용할 수 있다. 다만 보안관련사항은 ‘국가·공공기관 클라우드컴퓨팅 보안 가이드라인’을 준수하는 등 국정원의 보안성 검토를 받아야 한다. 이 가이드라인은 조만간 별도로 발표될 예정이다.

윤 사무관은 “비밀로 관리될 필요가 있는 정보를 저장·처리·유통할 수 있는 시스템과 관계 법령 및 성능, 기능요구사항을 충족하는지에 대한 구현성, 자체 구축·운영 대비 민간 클라우드 비용에 대한 경제성 등을 고려하는 것이 중요하다”며 “이에 대한 자체 판단이 어렵다면 정책협의체에 검토 요청(컨설팅)을 할 수 있다”고 말했다.

민간 클라우드 이용 시 공공기관과 사업자와의 관계는 계약서와 서비스수준협약서(SLA) 등에 따라 규율된다는 점도 부담으로 작용할 것으로 보인다.

그는 “기존 정보시스템에 문제가 생겼을 경우와 달리, 민간 클라우드 서비스를 이용하다 개인정보유출 등의 문제가 발생할 경우는 형법상의 소송 가능성도 있기 때문에 책임소재에 대한 검토도 필요하다”며 “또한 계약 당시 사업자에게 지나치게 과도한 의무를 부담시키는 것도 문제 발생시 소송과정에서 공정거래법 등에 위반될 가능성도 있으니 유의해야 한다”고 조언했다.

또한 기재부 예산 심의 시에는 일반 구축사업이었으나, 이를 클라우드 서비스 이용으로 변경할 경우에는 기재부와 별도 협의도 필요하다. 물론 이는 기재부 예산 심의 및 협의가 필요한 사업에 한정된다.

한편 이번 설명회에 참석한 공공기관 정보화 담당자 및 업계 관계자 등은 행자부와 미래부가 관계 부처와 보다 적극적인 협조를 해줄 것을 요구했다.

설명회에 참석한 산업은행 관계자는 “최근 금융위원회에서 클라우드 활용 관련 규제를 풀면서 고객정보시스템은 제외를 시켰는데, 그렇게 되면 쓸 수 있는 시스템이 거의 없다”고 토로했다.

국립암센터 관계자도 “의료 부문도 최근 민간 클라우드 활용을 이용할 수 있게 된 것으로 아는데, 구체적인 내용을 통보받지 못했다”고 말했다.

김영훈 한국클라우드산업협회 부회장은 “2,3등급의 정보자원까지 민간 클라우드를 활용할 수 있게 되는 등 공공기관의 자율성을 보장한다는 측면에서는 긍정적”이라면서 “그런데 정보공개법 및 공공데이터법상의 비공개 정보에 대한 민간 클라우드 활용 제한 등을 비롯해 이번 가이드라인을 문자상으로만 본다면 좀 빡빡해 보인다”며 보다 개방적으로 폭넓은 해석이 가능하도록 해 달라고 주문했다.

이에 대해 윤 사무관은 “향후 민간 클라우드를 이용하는 기관이 늘어나고 클라우드 서비스가 정착되면, 활용할 수 있는 범위는 더 넓어질 것이라고 생각한다”고 말했다.

미래부 신상열 소프트웨어정책과장은 “공공의 민간 클라우드 활용이 확대되려면 공공기관들의 좀 더 전향적인 자세 및 검토가 필요하다”고 강조했다.

한편 공공기관 경영 평가시 클라우드 이용 우수사례에 대해 가점 부여 관련 내용 및 국정원의 국가·공공기관 클라우드 컴퓨팅 보안 가이드라인은 조만간 별도로 발표될 것이라고 밝혔다.

◆“1등급 제외한 공공 정보자원, 민간 클라우드 이용 가능”=민간 클라우드 서비스를 이용할 수 있는 정부 및 공공기관의 정보자원 범위가 확대됐다.

기존 정부지침에 따르면, 민간 클라우드를 우선 검토하는 대상기관은 ‘공공기관’, 정보자원 중요도 가운데 ‘하’에 속하는 부분 뿐이었다. 때문에 관련 업계에서는 정부가 민간 클라우드 이용에 소극적인 자세를 취하고 있다고 비판해 왔다.

5일 행정자치부(장관 홍윤식)는 ‘공공기관 민간 클라우드 이용 가이드라인’을 마련하고, 다음날인 6일 한국지역정보개발원(KLID)에서 행정·공공기관 클라우드 담당자를 대상으로 설명회를 개최한다고 밝혔다. 이번 가이드라인 발표로 공공기관의 민간 클라우드 확대가 활성화될 수 있을지 기대된다.

이번에 발표된 ‘공공기관 민간 클라우드 이용 가이드라인’은 민간 클라우드 업체가 상용(商用)으로 제공하는 ‘클라우드 컴퓨팅 서비스(Cloud Computing Service)’를 공공기관이 이용하기 위한 기준과 절차를 규정하고 있다.

행정자치부는 이번 지침을 마련하면서 업계의 의견을 대폭 수용, 지난 4월에 제시한 가이드라인 초안에 포함된 기관등급 평가내용을 삭제했다. 정보자원 등급이 3등급인 경우만 이용할 수 있던 것을 1등급을 제외한 모든 정보자원이 민간 클라우드 서비스를 이용할 수 있도록 그 범위를 확대한 것이 주요 내용이다. 구체적인 정보자원 등급 기준은 밝히지 않았지만, 1등급은 주로 정부 관련 기밀에 해당한다. 기밀에 해당하지 않은 정보자원은 민간 클라우드 이용이 가능하도록 하겠다는 것이 이번 가이드라인 발표의 취지다.

즉, 3등급으로 평가된 정보자원은 민간 클라우드를 이용할 수 있다. 또한 2등급으로 평가한 정보자원은 클라우드 기본계획에 의한 클라우드 정책협의체가 각 주무부처 의견 등을 고려해 검토의견을 제시하고, 공공기관의 장은 제시된 의견을 참고해 민간 클라우드의 이용여부를 결정할 수 있도록 했다.

클라우드 정책협의체는 행자부(공동간사), 미래창조과학부(공동간사), 기획재정부, 조달청, 국정원 등으로 구성됐다.

올해는 정책협의체에서 2등급 정보자원의 민간 클라우드 이용가능 여부를 검토하되, 제도가 본격 시행되는 내년부터는 해당 공공기관을 관장하는 행정기관이 민간 클라우드 이용 여부를 검토할 수 있도록 관계부처와 협의할 예정이다.

또 행자부와 미래부는 업계의 준비사항을 파악, 대응하고 이용기관의 의견을 지속적으로 수렴해 가이드라인을 개선해나갈 계획이다.

행정자치부 이인재 전자정부국장은 “가이드라인이 마련됨에 따라 공공기관에서는 경제적이고 유연하게 정보시스템을 구축·운영할 수 있게 됐으며, 민간 클라우드 산업도 보다 활성화될 수 있을 것”이라고 평가했다.

미래창조과학부 서석진 소프트웨어정책관은 “클라우드컴퓨팅법 및 서비스발전전략에 따라 공공부문의 민간 클라우드 이용을 활성화해 나갈 것”이라며 “이번 가이드라인 중 정보자원등급기준, 클라우드 이용대상 정보, 이용절차 등에 대한 사안은 공공기관 및 산업계의 의견을 지속적으로 청취해 나가겠다”고 말했다.

◆클라우드 도입 공공기관에 ‘가점’…대기업 참여 공공SW 사업 확대=내년부터 공공기관 경영 평가시 클라우드를 도입한 기관에 대해 가산점이 부여된다. 또한 대기업이 참여할 수 있는 공공 소프트웨어(SW) 사업을 확대하는 한편, SW산업의 글로벌화 및 SW 고급인력 양성도 적극 지원한다.

5일 정부는 제11차 경제관계장관회의를 개최, 이같은 내용을 담은 ‘서비스경제발전전략’을 발표했다. 이에 따르면, 우선 클라우드 도입·확산 촉진을 위해 미래창조과학부는 행정자치부와 함께 공공기관이 민간 클라우드를 안전하고 쉽게 이용할 수 있도록 클라우드 이용 가이드라인을 발표했다.

공공기관이 자체적으로 정보자원 등급을 결정하고 클라우드를 이용할 수 있도록 자율권을 부여하는 한편, 이용절차를 간소한다는 것이 주요 내용이다.

정보자원의 중요도에 따라 등급체계를 ▲1등급(G-클라우드 또는 자체 클라우드), ▲2등급(담당부처 검토 후 민간 클라우드 이용), ▲3등급(기관 자율적으로 민간 클라우드 이용) 등으로 나눠, 기존보다 민간 클라우드 활용 범위를 넓혔다는 설명이다.

특히 내년부터 공공기관 경영 평가시 클라우드 이용 우수사례에 대해 가점(정부3.0 세부평가항목에 반영)을 부여키로 했다.

또한 공공기관별로 ‘클라우드 전환계획’을 수립하고, 선도 프로젝트를 통해 혁신효과가 큰 분야에 우선 적용한다. 현재 국가학술정보, 헌법기관 자료 백업 등 8개에 클라우드 서비스를 적용 중이며, 지속적으로 과제를 발굴 할 계획이다.

민간이 클라우드를 안전하게 이용할 수 있도록 이용자 보호제도도 마련할 계획이다. 이미 발표된 클라우드 품질·성능고시 및 정보보호고시 이외에 사고발생시 조기대응을 위한 신고창구(118과 연계)를 개설하는 한편, 정보보호 가이드라인도 9월 중 마련·배포할 예정이다.

클라우드 전환을 신청한 산업단지 내 입주 중소기업에 원스톱 컨설팅, 클라우드 서비스 이용료 등도 지원한다.

공공 SW 사업 개선과 관련해선 제값주기를 저해하는 제도를 개선해 산업생태계 선순환을 촉진한다는 계획이다. 현재 설계와 구축을 분할해 발주하는 분할발주 시범사업 6개를 시행 중이며, 이를 하반가에 확대시킨다.

공공SW 사업에 대한 유지관리요율(유지관리 3등급)을 2020년까지 선진국사례, 기업인식조사, 물가․인건비 상승률 등을 종합적으로 고려해 적정수준으로 높인다는 내용도 발표했다.

공공부문에 의한 민간시장 침해를 방지하기 위해 SW영향평가제도의 법적근거를 내년 하반기까지 마련하는 한편, 공공SW 사업의 대기업 참여제한을 완화하되 대·중소기업 간 상생협력을 강화한다.

현재 사업 금액별로 대기업의 진입을 제한하고 있지만, 유찰사업·예외사업인 경우에만 금액과 상관없이 대기업 참여를 허용하고 있다. 정부는 사물인터넷이나 클라우드, 빅데이터 등 신SW에 대한 민간투자 확대 및 전자정부시스템 수출 증대를 위해 대기업이 참여 가능한 예외사업 범위를 확대한다.

민간자본(BTL 등)을 활용한 대규모 공공SW 사업이 가능하도록 법적근거를 마련해 대기업 참여 허용을 내년 하반기부터 가능하도록 할 방침이다.

핵심기술 확보를 위한 R&D 기반을 조성해 민간기업의 지능정보기술을 활용한 첨단서비스 창출도 지원한다. 의료와 제조공정, 조선 등과 SW의 융합을 통해 새로운 산업을 육성할 계획이다.

SW 인재 양성을 위한 계획도 발표했다. 내년 하반기 초·중·고 SW교육 선도학교 및 학교급별 심화교육과정을 확대한다.

현재 900개인 초·중등 SW교육 선도학교를 2017년 1500개로 늘린다. 학교 여건을 고려해 SW교육시간을 확대 및 운영할 수 있도록 하고, 중장기적으로 SW교육 기준수업시간 확대 추진한다. 오는 12월 ‘2015 개정 교육과정 해설서’ 를 발간하고 기존 중학교 3년 간 34시간인 SW수업시간을 34시간 이상으로 확대한다.

SW 중심대학 선정도 지난해 8개에서 2019년까지 30개로 늘린다. 전공자에 대한 실무교육 및 비전공자에 대한 기초·융합교육 강화 등을 통해 SW 전문인력 3000명, 융합인력 3만명을 양성한다는 목표다.

핵심 고급인재 양성을 위해 대학원 스타랩을 기존 10개에서 2017년 17개로 늘리는 한편, SW 마에스트로과정은 연 55억원을 투입해 100명으로 개편한다.

글로벌 경쟁력을 갖춘 SW기업을 육성․지원하고, 수출가능성이 높은 유망 지역·품목의 전략적 해외진출도 지원한다. 현재 유망 SW기업의 R&D·해외진출 등을 종합지원하는 GCS(Global Creative SW) 프로젝트를 확대해 2017년에는 400억원을 지원한다. 또한 클라우드혁신센터(판교 스타트업 캠퍼스)를 원스톱 창구화해 우수 SaaS(서비스형 SW) 기업의 글로벌화 전주기를 지원한다.

또한 동남아·중동 등 전략지역에 유망품목 수출 확대를 위해 현지화 및 공동진출을 지원한다. 시장개척단을 파견해 수출사업을 발굴하고, 해외 지원기관(북경·싱가포르 IT지원센터, 실리콘밸리 KIC)을 통해 집중 지원할 예정이다.

◆금보원, 금융 클라우드 가이드라인 10월 중 발표…금융보안 전반적 지원 진행=금융보안원이 8월 중으로 금융위원회로부터 금융분야 개인정보 비식별 조치 지원 전문기관으로 지정된다. 또, 10월 중 금융권 클라우드 적용과 관련한 가이드라인 제정, 배포에 나설 계획이다.

허창언 금융보안원장은 8일 여의도에서 간담회를 개최하고 취임 후 200일간의 업무성과를 회고하고, 하반기 중점 사업 추진 방향을 밝혔다.

허 원장은 “지난 200일은 금융보안 전담기구 본연의 임무를 충실히 수행해나가면서 ‘신뢰’,‘전문성’, ‘융합’이라는 3가지 키워드를 기반으로 조직의 안정과 발전을 도모하는 시간이었다”며 “코스콤, ISAC, 금융보안연구원 직원들을 융합하고 추스르는데 집중해 왔다”고 밝혔다.

그동안 금융보안원은 금융ISAC과 침해사고대응기관으로서의 역할과 기능을 강화하는데 초점을 맞춰왔다. 허 원장은 “금융보안원은 (사이버 위협에 대한)징후, 단서를 포착하면 즉시 금융권과 공유하고 수사기관과 협력해 결과를 도출하는 그림자와 같은 역할을 한다”며 이를 위해 취임 이후 관련 사업을 추진해왔다고 설명했다.

우선 빅데이터 분석 기법을 활용한 차세대 통합보안관제 시스템과 금융권 대상 악성코드를 신속 탐지·대응하는 악성코드 분석시스템을 구축했다. 이를 통해 침해시도 대응 및 피싱 사이트 대응은 각각 14%, 166% 증가, 악성코드 분석은 2969% 증가했다.

금융보안원은 이번 시스템 구축을 통해 침해시도 및 악성코드 탐지·대응 성능이 크게 향상되었으며 지난 1월 8일 북한 발 사이버 위기경보 발령 이후 시스템을 활용해 24시간 철저한 대비 중이라고 밝혔다.

또한, 신·변종 금융사기 및 불법 전자금융거래에 대응하기 위해 이상금융거래정보 공유시스템을 구축해 불법자금이체(약 1700만원)를 차단하는 등 가시적인 성과를 나타내기 시작하고 있다. 허 원장은 “59개 기관이 현재 정보를 공유하고 있으며 정보공유건수는 322건에 달한다”고 밝혔다.

이러한 성과에 만족하지 않고 금융보안원은 정보공유·협력체계를 더욱 강화 하고자 금융분야 침해사고 대응기관으로서 대검찰청과 업무협약(MOU)을 체결하기도 했다.

안전한 핀테크 환경 조성을 위해 금융사 ‘보안창구’역할도 수행한다. 현재 핀테크 기업을 대상으로 지난 8월부터 60여 건의 보안상담·보안컨설팅·보안수준진단 업무를 제공했으며 금융권 공동 오픈 플랫폼 구축 지원, 개인신용정보 비식별화 방안 연구 등을 통해 핀테크 및 빅데이터 활성화 기반을 마련하고 있다.

한편 금융보안원이 하반기 가장 큰 역점을 둘 사업은 금융회사의 클라우드 서비스 이용 허용과 개인정보 비식별 조치에 따른 보안 지원이다.

고객정보 처리와 무관한 전산시스템의 경우 금융회사가 클라우드를 자율적으로 이용할 수 있도록 전자금융감독규정 개정이 예고돼있다. 금융보안원은 ‘클라우드 활용 가이드라인 제정’을 통해 구체적이고 실질적으로 도움이 되는 가이드라인을 마련해 금융회사에 명확한 방향성을 제시할 계획이다.

또, 유관기관으로 구성된 ‘클라우드서비스 이용 제도개선 TF’에서 안전한 금융환경 조성을 목표로 당국과 시장 사이에서 가교 역할을 수행한다는 방침이다.

한편 금융위원회에서 금융 분야 개인정보 비식별 조치 지원 전문기관으로 8월중 금융보안원을 지정할 예정이라고 최근 밝힌 바 있다. 이와관련 금융보안원은 금융 분야 전문기관 운영에 차질이 없도록 준비할 계획이다.

금융보안원은 비식별 조치 적정성 평가단 풀 구성·운영, 필수적 비식별 조치 이행 권고, 비식별 조치 적정성 실태 점검, 기업 간 정보집합물 결합 지원, 비식별 조치 관련 컨설팅·교육 등 금융분야 전문기관으로서 역할을 차질 없이 수행해 나갈 것이라고 밝혔다.

◆KISA, 클라우드 보안 지원사업 5개 과제 선정=한국인터넷진흥원(KISA, 원장 백기승)과 미래창조과학부(장관 최양희)는 안전한 클라우드 환경을 구축하고 우수 클라우드 보안서비스(SecaaS)를 개발하기 위한 ‘클라우드 보안 지원사업’으로 5개 과제를 선정했다고 7일 밝혔다.

이 사업은 클라우드 서비스 환경에서의 보안 요구사항을 도출하고 보안기술 적용 및 안전성 검증을 추진하는 ‘클라우드 보안기술 실증’ 분야와 클라우드 컴퓨팅 기술을 활용한 신규 서비스 개발 지원을 내용으로 하는 ‘클라우드 기반 보안서비스 개발’ 분야로 나눠진다.

지난 5월 공모 후 접수된 13개의 제안 과제를 대상으로 서류·서면 및 심층·발표 평가를 거쳐 클라우드 보안기술 실증 분야 3개(의료 2개, 금융 1개)와 클라우드 보안서비스 개발 분야 2개를 정했다.

클라우드 기반 의료정보 개인정보보호 서비스를 위한 개인정보 뱅크 실증 시스템 구축 과제는 의료기관 내 개인정보의 수집, 저장, 암호화, 파기 등 개인정보 생명주기 및 보안 관리를 위탁하는 클라우드 기반 시스템을 구축하는 것이다. 개발 완료 때 개인정보의 기술적 보호조치에 어려움을 호소하는 중소병원, 약국 등 소규모 의료기관의 개인정보보호 수준 강화에 기여할 것으로 기대된다.

개인 의료정보 공유 클라우드 포털 구축 과제는 여러 병원에 흩어진 개인의 진료기록 등을 본인의 동의하에 안전하게 통합저장하고 필요 때 조회 및 가족과 타병원에 제공하는 포털을 제공한다.

은행권 자금관리서비스(CMS) 금융보안 클라우드 서비스 실증 과제는 은행이 기업고객에게 물리적 서버를 제공하고 개별 기업 전산실 등에서 운영해오던 CMS를 클라우드 환경으로 전환하는 서비스 모델이다. 전자금융감독규정 등 관련 규정 준수여부를 점검하고 전문 보안 관제를 제공해 고객 정보 보안 강화 및 서비스 가용성을 향상시킬 것으로 예상된다.

차세대 클라우드 통합보안관제 서비스 개발 과제는 가상화, 다중임차, 다중사용 등 클라우드 특성에 따른 보안위협에 대응하기 위해 하이퍼바이저, 가상서버 등에서 보안 로그를 수집·분석·모니터링하는 기능을 지원하는 서비스 모델이다.

클라우드 기반 이메일 보안 서비스 개발의 경우 악성메일을 통한 보안위협에 대응할 수 있는 안티스팸, 아카이빙, 이메일 데이터 유출방지 서비스를 개발하는 과제다. 이메일 보안을 위해 고가의 장비, 솔루션 도입이 어려운 중소기업, 중소 공공기관 등의 경제적 부담을 덜어줄 것으로 보인다.

과제 수행기관은 올해 연말까지 클라우드 보안기술 실증을 위한 시스템 구축, 클라우드 보안서비스 개발·적용을 추진하고 한국인터넷진흥원은 서비스 구축을 위한 컨설팅과 보안점검, 위협진단 등의 기술을 지원할 예정이다.

이완석 한국인터넷진흥원 인프라보호단장은 “이번 사업을 통해 높은 수준의 보안을 요구하는 의료, 금융 등 분야의 클라우드 이용이 확산되고, 다양한 클라우드 보안서비스 개발로 클라우드 기반 보안서비스 산업 경쟁력을 강화할 것”이라고 말했다.

◆SGA솔루션즈, 의료정보 공유 클라우드 포털 구축…MS와 맞손=SGA솔루션즈(www.sgaso.kr 대표 최영철)은 개인 의료정보 공유 클라우드 포털을 구축하고 마이크로소프트(MS)와 클라우드 보안기술 협업체계를 마련한다고 7일 밝혔다.

SGA솔루션즈는 한국인터넷진흥원(KISA, 원장 백기승)와 미래창조과학부(장관 최양희)에서 추진한 ‘클라우드 보안 지원 사업’에 선정됐다. 이번 사업에서 진행하는 개인 의료정보 공유 클라우드 포털은 여러 병원에 흩어져 있는 개인의 건강기록을 본인 동의 아래 저장하고 필요 때 조회 또는 타 병원 등에 제공하는 역할을 한다.

이를 위한 보안 적용 방안으로 국내 서버보안 제품인 레드캐슬(RedCastle)을 클라우드 형태로 제공하고, MS 애져(Azure)의 인증플랫폼 활용 등을 통해 MS와 클라우드 보안 기술 협업체계를 마련한다.

이번 사업은 SGA솔루션즈 주관으로 국내 클라우드 사업자인 더존 비즈온, 코아인포메이션이 참여기업으로 수행한다. 이번 사업이 유효한 서비스가 될 수 있도록 MS의 개인건강기록(PHR) 서비스인 헬스볼트(HealthVault) 노하우를 기반으로 MS 애져 클라우드 플랫폼 및 보안서비스를 활용하게 된다.

또, 클라우드 서비스 환경의 주요 보안 이슈 중 하나인 ‘인접한 가상 머신 간 접근 통제’ 문제를 클라우드환경에 최적화한 서버보안솔루션을 적용해 보완키로 했다. SGA솔루션즈는 의료기관과 이용자(환자), 의료 서비스형 소프트웨어(SaaS) 제공업체를 통합해 이용자 및 병원 간 의료정보를 공유하고 이를 안전하게 서비스하는 시스템 구축을 목표로 하고 있다.

SGA솔루션즈는 이번 과제 수행과 더불어 지난 해 60억원 규모 클라우드 컴퓨팅 보안 대형 국책과제를 통해 올해 말 상용화를 추진, 확대되는 클라우드 보안 수요에 적극 대응 한다는 계획이다.

최영철 SGA솔루션즈 대표는 “정보보호 및 정보조치 등 보안의 수준이 높아 서비스 적용이 어려운 의료 정보 관련 공유 포털 구축을 통해 의료 산업 분야 클라우드 보안 서비스 시장에 본격 진출할 것“이라며 “특히 글로벌 사업자인 MS와의 국내 클라우드 보안 시스템의 협업체계를 마련 해 국내 성공 모델을 기반으로 클라우드 보안 사업의 해외 진출의 계기를 만들 것”이라고 말했다.

◆이상산 핸디소프트 대표, “IoT·SaaS로 새 시대 연다”= “새롭게 진행하는 서비스들은 대부분 클라우드 컴퓨팅을 기반으로 진행하고 있습니다. 기존 그룹웨어 솔루션을 비롯해 사물인터넷(IoT), 품질인증솔루션 등은 모두 클라우드상에서 돌아갑니다.”

코넥스 상장 1년 만에 코스닥에 상장하게 된 국내 대표 소프트웨어(SW) 기업 핸디소프트 이상산 대표의 설명이다.

핸디소프트는 지난 7일 코스닥 이전상장을 위한 상장예비심사 청구소를 접수했다. 늦어도 10월 중에는 상장이 완료될 예정이다.

주력 사업인 그룹웨어 솔루션의 호조와 함께 새롭게 시작한 IoT 사업의 잇따른 성과가 주효했다. 실제 핸디소프트는 지난 2014년부터 ‘귀뚜라미보일러’ 와 공동 개발한 IoT 보일러를 시작으로 지난해에는 ‘좋은 사람들’과 웨어러블 스포츠웨어 ‘기어비트 S’도 발표했다. 최근에는 국내 2위 자전거 생산업체인 ‘알톤 스포츠’와 IoT 자전거를 출시했다.

이와 관련, 이 대표는 “클라우드 컴퓨팅이라는 패러다임으로 전환하면서 과거에는 불가능했던 것들이 새로운 기회로 작용하고 있다”며 “국내에서의 성공을 발판으로 해외에도 이를 확산시킬 수 있다”고 강조했다.

예를 들어 현재 진행하고 있는 알톤 스포츠의 IoT 자전거는 KT의 클라우드를 기반으로 운영되고 있다. 블루투스 센서가 내장된 IoT 자전거는 고장 수리나 생산·재고관리, 도난방지 등에 활용된다. 자전거를 구매한 대리점에 상관없이 전국 어디서나 동일한 수리를 받을 수 있으며, 효율적인 재고 관리도 가능하다. 자전거 주인과 일정 거리 이상 떨어질 경우 경보가 울려 도난 방지도 가능하다.

이 대표는 “이와 같은 IoT 활용 사례는 해외 진출시 타 클라우드 서비스를 기반으로 파라미터 설정만 바꾸면 전세계 어디서든 이용이 가능하다”며 “현재 이름을 밝힐 수는 없지만 한 자동차 업체와 관련 내용을 논의 중”이라고 말했다.

주력 사업인 그룹웨어 역시 ‘서비스형 소프트웨어(SaaS)’로의 전환을 서두르고 있다. 이미 고객 요구에 따라 하이브리드 클라우드 형태로 관련 서비스를 제공하고 있다. 조만간 중국과 인도네시아 등에 데모 사이트를 마련할 계획으로, 클라우드를 기반으로 해외 시장 공략을 본격화할 계획이다.

이 대표는 “내부에 꼭 있어야 할 데이터 또는 커스터마이징이나 변경 가능한 부분 등을 구분해 기업이 원하는 대로 다양한 기능을 애드온해서 구성하고 있다”며 “이를 위해 다양한 분야의 국내외 기업과 협력하고 있다”고 설명했다.

메일과 캘린더, 드라이브, 결재, 소셜네트워크 등 각 구성요소별로 각 기업의 상황에 맞게 여러 기업들의 모듈을 접목해 고객이 원하는 만큼 서비스할 수 있다는 것이다.

그는 “최근 한 기업의 경우 메일 용량이 많이 필요해 구글의 메일시스템을 탑재해 공급하기도 했다”면서 “핸디 그룹웨어에도 자체적인 메일시스템이 있지만, 대용량의 메일을 지원에는 한계가 있었기 때문”이라고 말했다.

그는 이어 “요즘과 같은 시대에 핸디의 200여명 엔지니어가 모든 것을 다 개발하는 것은 불가능한 일”이라며 “지속 가능하지 않는 일을 한다는 것은 고객에게 죄 짓는 것이나 마찬가지”라고 덧붙였다.

“잘하는 부분에 집중하고, 협력할 부분은 적극적으로 할 계획입니다. 새롭게 시작하는 대부분의 서비스는 클라우드를 기반으로 돌아가는 만큼, 큰 비용을 들이지 않고도 시도해 볼 수 있습니다. ‘본 투 글로벌(born to global)’은 멀리 있지 않습니다.”

◆미래부, 글로벌 SaaS 육성 지원 사업에 22개사 선정=미래창조과학부(장관 최양희, 이하 미래부)는 글로벌 서비스형 소프트웨어(SaaS) 육성 프로젝트(GSIP)를 통해 총 22개 기업을 선정했다고 10일 밝혔다. GSIP는 SaaS를 종합·집중적으로 육성하기 위해 올해부터 기존·신규사업을 통합해 만든 사업이다. 올해 총 36억5000만원이 투입된다.

또한 미래부는 이번에 선정된 SaaS기업과 클라우드 선도기업 간 협업 체제로 본격적인 지원을 제공한다는 설명이다.

GSIP는 세계적으로 경쟁력 있는 글로벌 스타급 SaaS를 육성을 위해 지난 4월 ICT 정책해우소를 통해 마련한 ‘SaaS 글로벌 경쟁력 강화방안’에 따라 추진하고 있는 사업이다. 지난 5월 4일부터 6월 3일까지 국내 중소 IT·SW기업을 대상으로 분야별 과제 공모를 실시한 결과, 총 96개 과제가 접수돼 4.3:1의 경쟁률을 보였다.

미래부는 SSaaS기획위원회의 사전검토와 과제 평가위원회의 평가를 통해 ‘창의성’과 ‘시장성’, ‘사업화·글로벌화 가능성’ 등이 높은 22개 과제를 최종 선정했다는 설명이다. 22개 과제는 크게 ▲기업형 기반 ▲산업융합형 특화 ▲정보생활형 활용으로 구분됐다.

기업형 기반 SaaS 과제에는 와이즈넛과 오제이월드, 엔키소프트, 엑셈 등이, 산업융합형 특화 SaaS 기업에는 한마아이티, 지안테크가 정보생활형 활용 SaaS에는 네오시드넷, 베스핀글로벌 등이 선정됐다.

이번에 선정된 SaaS기업에 대해선‘GSIP 파트너십데이’를 통해 미래부가 미리 모집한 10개 클라우드 선도기업들과 1:1 상호 협업체계를 구축하는 등 상생의 파트너십을 이루게 한다는 방침이다. 10개 클라우드 선도 기업으로는 KT, NBP(네이버비즈니스플랫폼), 엔클라우드24, SK(주), 호스트웨이, AWS, 사이보즈, 마이크로소프트, 오라클, SAP 등이다.

미래부는 GSIP를 계기로 경쟁력을 보유한 국내 중소 SaaS기업이 글로벌화에 성공할 수 있도록 정보통신산업진흥원(클라우드사업단)을 중심으로 원스톱 지원할 계획이다.

미래부 서석진 소프트웨어정책관은 “클라우드를 기반으로 한 신사업 분야에 있어서 한국이 글로벌 시장의 주도권을 잡을 수 있도록 정부에서도 다각적인 지원과 응원을 아끼지 않겠다”고 말했다.

◆SK인포섹, 클라우드 서비스형 보안 사업 확대=SK인포섹(www.skinfosec.com, 대표 한범식)은 퍼블릭 클라우드 서비스 이용 고객에 대한 보안관제를 중심으로 클라우드 서비스형 보안(SECaaS) 사업을 확대한다고 5일 밝혔다.

SK인포섹은 최근 이랜드 그룹의 IT자산을 총괄 운영하는 이랜드시스템스와 아마존웹서비스(AWS) 보안관제 계약을 체결했다. 또한 게임사, 제조사 등에 보안관제 서비스를 시작했다. SK인포섹은 자사 통합 보안관제 플랫폼을 기반으로 네트워크 보안 시스템에 대한 실시간 서비스를 제공한다.

통합 보안관제 플랫폼은 ▲침해 위협 인텔리전스 데이터베이스를 활용한 빅데이터 분석 서비스 ▲엔드포인트와 네트워크 단계에서의 탐지·대응 서비스 ▲침해사고대응(CERT) 및 장애대응, 연구개발(R&D) 등 전문인력 서비스 영역으로 구성돼 있다.

SK인포섹은 AWS를 비롯해 최근 오픈한 SK C&C의 ‘클라우드 제트’ 등 국내에 데이터센터를 둔 클라우드 서비스 사업자와 협력해 고객 확보에 힘쓸 계획이다. 특히 클라우드 제트의 고객 대응 서비스 를 위해 ‘클라우드 콜 센터’를 운영하며, 기술 및 장애 대응 등 서비스 사용 지원을 책임지게 된다.

SK인포섹 관계자는 “AWS를 비롯해 클라우드 서비스 사업자들이 고객의 사업 가치 증대를 목표로 클라우드에서 신규 서비스를 늘려가고 있다”며 “신규 서비스에 대한 보안관제를 확대하기 위해 지속적인 기술검증(PoC)을 추진할 계획”이라고 말했다.

이와 함께 SK인포섹은 솔루션·컨설팅 분야에서도 클라우드 서비스형 보안으로 클라우드 사업을 확대한다. 우선, 자사 솔루션을 클라우드에서 제공하기 위해 AWS 마켓플레이스를 중심으로 클라우드 서비스 마켓플레이스 등록을 준비하고 있다. 현재 안티 웹쉘(Anti-Webshell), 엠디에스(MDS) 등 관제 솔루션이 우선 등록 대상이며, 하반기부터는 정식 서비스가 가능할 예정이다.

컨설팅 사업의 경우, 클라우드 환경에서 발생할 수 있는 보안 취약점과 컴플라이언스 이슈를 점검하기 위한 컨설팅 방법론 개발에 역량을 집중하고 있다.

황성익 SK인포섹 마케팅부문장은 “AWS와 클라우드 제트의 국내 론칭에 맞춰 다양한 산업군에서 클라우드를 이용한 서비스형 보안(SECaaS)에 대한 관심이 높아지고 있다”며 “그간 보안서비스와 솔루션 사업에서 축적된 기술 역량을 바탕으로 클라우드 보안 서비스 회사로 성장해 나갈 것”이라고 강조했다.

◆펄스시큐어 “하드웨어 없는 클라우드형 SSL VPN, 하반기 공개”=펄스시큐어(www.pulsesecure.net CEO 수드하카르 라마크리슈나)는 하드웨어 없이 클라우드로 시큐어소켓레이어(SSL) 가상사설망(VPN) 기능을 이용할 수 있는 ‘클라우드 시큐어’를 올해 하반기 출시할 예정이라고 6일 밝혔다.

이날 펄스시큐어와 인성디지탈(www.isd.co.kr 대표 이인영)은 기자간담회를 열고 모바일과 클라우드 중심으로 급변하는 업무 환경에서 안전한 엑세스를 위한 ‘클라우드 시큐어’를 발표했다.

수드하카르 라마크리슈나 펄스시큐어 CEO는 “고객들은 저가로 유용하게 인프라스트럭처 장비를 사용할 수 있는 방안에 대해 고민하고 있으며, 모바일과 클라우드 환경에 대한 추가적 요구사항을 갖고 있다”며 “펄스시큐어는 투자비용을 줄이면서 클라우드로 쉽게 옮길 수 있도록 관련 솔루션을 제공한다”고 말했다.

펄스시큐어의 클라우드 시큐어 솔루션은 서비스형 소프트웨어(SaaS)에 부합하는 엑세스와 데이터센터 애플리케이션을 제공한다. 또, 펄스시큐어의 주요 솔루션을 클라우드를 통해 구현해 동일한 기능과 장점들을 경험할 수 있도록 지원한다.

현재 제공되는 클라우드 시큐어의 주요 기능으로는, 기업 임직원들이 소유한 디바이스에서 클라우드와 데이터센터를 쉽게 접근할 수 있도록 하고 인증이 확인된 노트북·스마트폰·태블릿만 접근 가능하도록 한다. 중앙집중화된 정책 관리를 통해 조직 내에서 정책과 확장을 신속하고 안전하게 확인해준다. 필요한 경우, 타사 EMM(Enterprise Mobility Management) 및 ID 액세스 공급업체와 통합될 수 있는 독립 솔루션을 제공한다.

이러한 기능은 펄스시큐어의 ‘펄스커넥트 시큐어’ ‘펄스원’ 등 기존 솔루션과 결합해 사용 가능하며, 현재까지는 하드웨어를 거쳐 지원된다. 다만, 하반기에는 장비 없이 클라우드로 이 모든 기능을 구현할 수 있는 제품을 출시할 예정이다.

인성디지탈 관계자는 “클라우드 시큐어의 기능은 SSL VPN 기능과 동일하나 클라우드만으로 이용 가능하며, 운영체제 상관없이 모두 적용된다는 것이 특징”이라며 “현재 인증 절차를 거치고 있어, 클라우드만으로 이용 가능한 버전은 하반기에 출시할 계획”이라고 설명했다.

2014년 10월 주니퍼네트웍스에서 분사돼 설립된 펄스시큐어는 모바일 기업을 위한 개방형 통합 보안 솔루션을 제공하는 시큐어 엔터프라이즈 엑세스 전문기업이다. 창사 이후 18개월만에 500명 이상의 직원과 1800개 파트너사를 확보했으며 모바일스페이스를 인수한 바 있다.

인성디지탈은 2008년 설립 이후 기업용 솔루션, 보안, 네트워크 제품 유통을 비롯해 관제서비스를 전문적으로 제공하는 기업이다. 현재 펄스시큐어의 국내 총판으로, 기업 및 공공기관 고객을 대상으로 고객 확보에 주력하고 있다.

라마크리슈나 CEO는 “펄스시큐어는 클라우드와 모바일 인프라가 잘 갖춰져 있는 한국시장이 큰 비즈니스 잠재력이 있다”며 “이처럼 글로벌 IT트렌드를 선도하는 한국에서 탄탄한 입지를 갖추고 있는 인성디지탈과 함께 보안을 선도할 수 있도록 시장 드라이브를 확대할 것”이라고 제언했다.

◆이노그리드, 한-EU 클라우드사업 본격 시동=이노그리드(www.innogrid.com 대표 조호견)는 한-유럽연합(EU) 클라우드 공동연구사업의 한국대표로 그리스에서 열린 첫 킥 오프회의에 참석했다고 4일 밝혔다. 그리스 아테네 국립 공과대학(NTUA)에서 열린 이번 회의에는 이노그리드 외에도 ETRI, 서울대학교 담당자들이 참석했다.

한-EU 클라우드 공동연구사업은 클라우드 리소스 중개 플랫폼과 인터 클라우드 기술 등을 고도화시키는 국제협력(Cloud Brokerage Across Borders for Mobile Users and Applications, 이하 BASMATI)이 주요 내용이다.

유럽 뿐만 아니라 최근 국내외 많은 기업들이 다양한 클라우드 서비스를 통한 성능과 관리, 연동 등에 관심이 높아지고 있어, 이를 효율적으로 운영 및 지원할 수 있도록 국가별 상호협력을 강화하고 있다.

이번 협력안의 주요 개발분야는 현재 국내외 이슈가 되고 있는 클라우드 연동 플랫폼(Cloud Federation Platform)과 상호운용성(Interoperability)에 초점이 맞춰졌다.

다양한 모바일 디바이스, 애플리케이션 등의 예측 불가한 동적 자원 요구사항에 대해 지능적으로 클라우드 자원의 배치와 중계가 가능한 클라우드 연동, 여러 클라우드 서비스를 넘나들 수 있도록 특정 클라우드 사업자에 종속되지 않는 클라우드 도입 등이 주요 내용이다.

또한 이를 통한 이기종 시스템 간 정보교환 및 서비스가 연동될 수 있도록 상호운용성 표준화 등에 협력할 예정이다.

이번 한-EU 클라우드 프로젝트는 이달부터 본격적인 활동을 시작해 오는 2018년 5월까지 2년 간 연구개발이 진행된다.

이노그리드 조호견 대표는“이를 통해 국산 클라우드 기술의 우수성을 세계시장에 알리기 동시에 국내 제휴사들을 중심으로 향후 해외진출의 교두보 마련에도 최선을 다할 것”이라고 말했다.

◆IBM, DB2 최신 버전 출시…“클라우드 환경과 연결 용이”=IBM은 자사의 데이터베이스관리(DBMS) 소프트웨어 DB2의 최신 버전인 ‘DB2 V11.1’을 출시했다고 4일 밝혔다.

이번에 새롭게 발표된 버전은 온프레미스 애플리케이션과 클라우드를 보다 손쉽게 연결해 하이브리드 데이터 아키텍처를 구축할 수 있게 됐다는 설명이다. 특히 DB2는 과거 2 릴리스 버전부터 업그레이드가 가능했으나 V11.1은 국내 고객들이 많이 사용하고 있는 V9.7로부터 곧바로 업그레이드할 수 있도록 지원한다고 밝혔다.

DB2 V11.1은 다중 작업 부하 DB로 모바일, 고급 분석, 코그너티브, 고가용성 트랜잭션 등 차세대 애플리케이션의 운영을 지원하는 것이 특징이다.

또한 인메모리 기술을 대량의 병렬처리 아키텍처 전반에 걸쳐 사용할 수 있도록 지원하며, 응답 시간을 획기적으로 개선해 기존에 달성할 수 없었던 높은 성능을 구현할 수 있다고 강조했다.

특히 공통기능, 접근성, 보안 및 툴링(tooling)의 활용은 고객들에게 일관적인 경험을 제공하며 설치 방식에 관계 없이 신뢰할 수 있는 데이터를 신속하게 확보할 수 있게 한다. 따라서 IBM DB2는 애플리케이션을 클라우드로 이전하거나 확장해도 기업 운영에 영향을 주지 않는다는 설명이다.

이밖에 IBM DB2는 SQL을 통해 오라클 DB와도 호환이 가능해 애플리케이션 이전이 용이하며, 변경을 최소화할 수 있다.

<정리=백지영 기자>jyp@ddaily.co.kr