앞서 지난 2009년 범정부 클라우드 컴퓨팅 활성화 종합계획의 일환으로 법안이 준비돼 2015년 9월28일부터 본격적인 법안 실행이 시작됐다. 주요 내용은 정부의 클라우드 육성 지원 근거 마련·개선을 통한 공공·민간의 클라우드 이용 활성화 근거 마련 , 안전한 클라우드를 위한 이용자 보호 근거 마련 등이다.

클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률에 따르면 정부는 공공기관이 업무를 위해 클라우드 컴퓨팅 서비스 제공자의 관련 서비스를 이용할 수 있도록 노력해야 한다. 또, 국가기관장들의 장은 연 1년 이회 이상 소급 기관의 클라우드 컴퓨팅 사업의 수요정보를 과학기술정보통신부 장관에게 제출해야 한다.

또한, 클라우드 컴퓨팅 서비스 정보보호에 관한 기준의 경우 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 117개 통제항목으로 구성돼 있다. 클라우드 컴퓨팅 서비스 구축을 위해 도입되는 서버·PC·가상화 솔루션 및 정보보호 제품 중에 CC 인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용해야만 한다.

또, 클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고 공공기관용 클라우드 컴퓨팅 서비스의 물리자원, 출입통제, 운영인력 등은 일반 이용자용 클라우드 컴퓨팅 서비승 영역과 분리해 운영해야 한다. 네트워크 스위치·스토리지 등 중요장비는 이중화하고 백업체계를 구축해야 한다.

클라우드 서비스는 다양한 보안위협에 대한 우려가 제기되고 있다. 다중임차로 인한 자원공유 이슈에 따라 인가되지 않은 다른 이용자의 정보접근 위협으로 정보유출 위험과 클라우드 서비스 해킹에 대한 걱정이다. 또, 공격 노출 포인트가 늘어나고 기기 관리 복잡성이 증가하고 모바일 기기 분실 등으로 ID 유출·도용 위협도 지적된다. 정보 집중화로 인한 서비스 장애 확산과 보안관리 복잡성도 꼽힌다.

이와 관련 정부는 공공기관에게 안정성·신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 클라우드 보안인증제를 도입했다.

KT, 네이버비즈니스플랫폼(NBP), 가비아가 클라우드 보안인증을 획득했다. NHN엔터테인먼트, LG CNS는 클라우드 보안인증을 신청, 연내 인증 획득을 목표로 하고 있으며 코리아서버호스팅도 보안인증 심사를 신청했다.

한국인터넷진흥원(KISA) 측은 “클라우드 서비스 보안인증 제도의 민간분야 적용 계획의 경우, 사업자들의 인증 수요를 확인해 필요 때 확대 방안을 마련할 예정”이라며 “ISMS과의 중복부분에 대한 간소화 방안에 대해서는 인증기준 및 범위 등을 고려해 상호 검토하도 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr