디지털데일리는 클라우드 관련 소식을 한 눈에 볼 수 있는 ‘주간 클라우드 동향 리포트’를 매주 월요일 연재합니다

아마존웹서비스(AWS)이나 마이크로소프트(MS), IBM 등 외국계 기업의 클라우드 인프라(IaaS)를 이용하는 서비스형 소프트웨어(SaaS)는 당장 공공기관 공급이 어려울 전망입니다.

한국인터넷진흥원(KISA) 공개한 ‘SaaS 보안인증 기준 및 평가방법’에 따르면, SaaS 인증 역시 기존 IaaS 보안인증과 마찬가지로 ‘공공기관용 클라우드컴퓨팅서비스 추가 보호조치’가 포함되면서 CC인증을 받은 제품 사용 및 민간용 클라우드시스템의 문리적 분리 등의 내용이 담겨있기 때문입니다.

결국 SaaS 사업자가 클라우드 보안인증을 받으려면, IaaS 인증을 받은 사업자의 인프라를 써야 하는 상황입니다. 그렇지 않으면, SaaS 사업자가 직접 자체 인프라를 구축해 이같은 내용을 만족시켜야 합니다. 현재 많은 국내 소프트웨어(SW) 사업자가 AWS이나 MS와 같은 글로벌 사업자의 인프라에서 SaaS를 제공하고 있습니다. 해외 시장 진출에도 유리하기 때문입니다.

하지만 국내 공공기관에 이를 공급하기 위해선 현재로썬 IaaS 인증을 받은 기업의 인프라를 쓰는 것이 합리적입니다. 2017년 12월 기준, 클라우드 보안인증을 받은 기업은 KT와 네이버비즈니스플랫폼, 가비아 등 3곳입니다. NHN엔터테인먼트와 LG CNS 등 두 곳이 올해 말~내년 초에 추가로 받을 예정입니다. 글로벌 사업자가 클라우드 보안인증을 받는다면 얘기가 달라지지만, 당분간 그럴 가능성은 없어 보입니다.

KISA에 따르면, SaaS 보안인증 평가기준은 IaaS 인증기준 대비 약 33% 줄어든 78개입니다. 물리적 보호조치의 ▲물리적 보호구역, ▲정보처리 시설 및 정보보호, 기술적 보호조치의 ▲가상화 인프라, ▲상호 운용성 및 이식성 등에서 10여개 이상의 점검항목이 빠지면서 사업자의 부담은 줄었다는 설명입니다.

KISA 측은 “기존 IaaS 기준과 큰 틀에서의 차이는 없으나 물리적 보안, 인프라 보안을 축소하고 개발보안, 공급망 관리 등을 강화했으며, 상세 점검항목과 평가방법에서 SaaS 환경에 맞게 수정했다”며 “특히 이용자 데이터 생명주기수립, 가상화 기술을 통한 테넌트 및 DB테이블 분리 관리 부분을 강화했다”고 설명했습니다.

현재 공공기관에 민간 업체의 클라우드 서비스를 제공하기 위해서 보안인증과 같이 별도의 기준을 마련하는 것은 전세계적인 추세입니다. 미국의 경우, 페드람프를 통해 27개의 IaaS사업자, 21개의 PaaS 사업자, 57개의 SaaS 사업자가 공공기관에 서비스를 공급할 수 있도록 하고 있습니다. 싱가포르도 MTCS라는 제도를 통해 75개의 IaaS 및 PaaS 업체, 22개의 SaaS 기업이 참여하고 있습니다.

문제는 여전히 공공부문의 민간 클라우드 도입이 매우 더디다는 점입니다. 클라우드 보안인증을 받은 기업들조차 민간 클라우드를 이용할 수 있는 공공기관의 정보자원이 극히 제한적이라는 점을 지적하고 있습니다. 또 클라우드 도입에 따른 인센티브가 적고, 이용절차도 까다롭다고 입을 모읍니다.

클라우드 보안인증을 받아봤자, 이를 사용하는 공공기관이 적어 사업성이 떨어진다는 것입니다. 특히 현행 민간 클라우드 이용 가이드라인에 따르면, 지자체를 위한 규정은 아예 빠져있어 클라우드를 사용할 수 있는 공공기관의 폭 자체가 적습니다.

KISA에 따르면, 관계 부처와의 협의 및 추가 설명회 개최 이후 내년 상반기부터 SaaS 보안인증제를 도입, 운영할 방침인데요. 과연 현 상황에서 SaaS 업체들이 얼마나 적극적으로 참여할지 이목이 집중됩니다.

아래는 지난주 국내에 전해진 국내외 클라우드 관련 소식입니다.

개별 기사에 대한 좀 더 자세한 내용을 원하시는 분은 기사 제목을 검색하시면 전체 내용을 읽으실 수 있습니다.

◆‘SaaS 보안인증’ 기준 마련…물리보안 제외한 78개 항목 평가=서비스형 인프라(IaaS) 사업자에만 적용되던 클라우드 보안인증 평가가 서비스형 소프트웨어(SaaS) 사업자로 확대된다. 한국인터넷진흥원(KISA)는 지난 6월부터 일부 SaaS에 한해 시범사업을 진행해 왔다. 관련업계의 의견수렴, 관계부처와의 협의 등을 거쳐 늦어도 내년 1분기 내에 SaaS 보안인증 평가기준을 내놓을 방침이다. SaaS 보안인증 평가기준은 IaaS 인증기준 대비 약 33% 줄어든 78개다. IaaS 물리보안 등의 내용 일부가 빠지면서 사업자의 부담을 줄였다는 설명이다. 다만 SaaS 사업자는 클라우드 보안인증을 받은 IaaS 사업자의 클라우드 인프라에서 서비스를 제공해야 한다.

◆“공공분야 클라우드 도입, 왜 느린가”=2015년 클라우드컴퓨팅 발전법이 제정되면서 공공부문의 민간 클라우드 도입이 강조되고 있음에도 불구하고, 현장에서 느끼는 속도는 여전히 더딘 것으로 나타났다. 6일 김용수 과기정통부 2차관은 경기도 분당 네이버 그린팩토리에서 30여명의 민관 전문가들과 ‘공공부문 클라우드 도입 활성화 방안’에 대해 논의하는 시간을 가졌다. 이날 참석한 업계 관계자들은 정부가 법과 기본계획을 통해 공공기관들이 민간 클라우드를 우선적으로 활용토록 하고 있으나, 클라우드 도입에 따른 인센티브가 없고, 이용절차가 까다롭다고 입을 모았다. 현행 이용 가이드라인 적용 시 실제로 민간 클라우드를 이용할 수 있는 공공기관의 정보자원은 극히 제한된 수준이라고 지적했다.

◆“서버 왜 나눠쓰나?”…‘타이달스케일’의 역발상=18년전 VM웨어를 주축으로 만들어진 ‘하이퍼바이저’라는 가상화 기술을 통해 컴퓨팅 자원을 쪼개어 쓰는 것이 그동안 하드웨어(HW) 업계의 트렌드였다면, 타이달스케일은 이를 완전히 뒤집는 솔루션을 지난해 상용화하면서 최근 주목을 받고 있다. 본격적인 영업은 올해부터 시작했으며, 첫 해외 진출 국가로 한국을 택했다. 프리BSD를 기반으로 한 ‘하이퍼커널’ 기술을 통해 CPU나 메모리와 같은 서버 구성 요소를 통합, 하나의 단일 시스템처럼 사용할 수 있다. 1U 2소켓의 저렴한 x86 서버를 하나의 큰 가상머신(VM)으로 만든다. 현재는 최대 64대의 물리적 서버까지 합칠 수 있다. 고성능컴퓨팅(HPC)이나 DB와 같이 큰 컴퓨팅 자원이 필요한 애플리케이션을 저렴한 비용으로 구동할 수 있다. 삼성전자나 SK하이닉스와 협업도 강화할 방침이다.

◆‘클라우드 DB’에서 맞붙은 아마존 vs 오라클…승자는?=오라클과 아마존웹서비스(AWS)의 신경전이 갈수록 치열해지고 있다. 서로에 대한 견제는 각사의 연례 기술 컨퍼런스인 ‘오라클 오픈월드’와 ‘AWS 리인벤트’에서 여실히 드러난다. 보통 9~10월에 열리는 오픈월드에서 오라클이 도발을 하면, 2달 뒤쯤 열리는 리인벤트에서 AWS이 받아치는 식이다. 클라우드 시장의 강자와 데이터베이스(DB) 시장의 강자가 서로의 영역으로 계속해서 침범하면서 생겨난 일종의 ‘디스전’이다. 특히 AWS은 올해 DBMS분야에서도 여러 기능 및 서비스를 추가했다. 멀티 마스터, 멀티 리전에서 관리할 수 있는 ‘다이나모DB 글로벌 테이블’ 기능을 내놨다. 자동 스케일링을 지원하는 ‘오로라 서버리스’, 관리형 그래프 DB서비스인 ‘아마존 넵튠’도 출시했다.

◆정지석 코스콤 사장 “수익성 한계, 플랫폼 비즈니스로 극복할 것”=정지석 코스콤 신임 사장이 “플랫폼 비즈니스를 위한 패러다임의 전환을 통해 새로운 성장 동력 마련할 것”이라고 밝혔다. 지난달 27일 코스콤 제18대 대표이사 사장직에 공식 취임한 그는 6일 기자간담회를 갖고 플랫폼 비즈니스로 전환을 위한 패러다임 시프트 추진 전략을 공개했다. 정 사장은 “고객의 가치 창출을 이끌어나가는 기업이 성공할 것”이라며 “플랫폼 비즈니스를 통해 풀어가려 한다. 우리가 클라우드와 빅데이터 등 플랫폼 요소 기술은 많이 가지고 있다. 고객의 목소리를 듣고 이를 꿰어 나가며 플랫폼 비즈니스를 해보려 한다”고 강조했다.

◆이노그리드-펜타시큐리티, 클라우드 웹방화벽 공동사업 나서=클라우드 컴퓨팅 전문기업 이노그리드(대표 조호견)와 펜타시큐리티시스템(사장 이석우)은 클라우드 웹방화벽 ‘와플스 온 클라우드잇’ 개발 및 공동사업 계약을 완료했다고 6일 밝혔다. 양사는 사물인터넷(IoT) 분야에도 GPU클라우드(GICS)를 통한 지능형 보안서비스를 협력한다. 또, 클라우드보안 전문성을 확보해 공공시장 및 보안에 취약한 중소벤처기업 지원에 나서며, GPU클라우드를 통한 인공지능(AI) 기반 IoT 클라우드 보안 부문 협력을 확장할 계획이다.

◆더존비즈온, IT 모니터링 서비스 기업 와탭랩스와 사업 제휴=더존비즈온(대표 김용우)은 8일 더존ICT그룹 강촌캠퍼스에서 클라우드 기반 IT 모니터링 서비스 업체인 와탭랩스(대표 이동인)와 사업제휴 양해각서(MOU)를 체결했다. 와탭랩스는 물리 서버, 클라우드 서버, 데이터베이스 등 기업 IT 인프라 모니터링 서비스를 제공하는 업체다. 더존은 자사 그룹웨어 솔루션인 비즈왁스에 와탭랩스의 IT 모니터링 서비스를 적용한다. 비즈왁스 사용 고객에게 더욱 안정적이고 빠른 서비스를 제공해 서비스 수준과 만족도를 더욱 높이겠다는 취지다.

◆아름다운가게, 통합정보시스템 사업자 입찰 공고…15일 마감=사회적기업 아름다운가게(이사장 홍명희)가 2018년 참여자 서비스 품질 향상 전략의 일환으로 통합정보시스템 구축을 시작한다고 8일 밝혔다. 이번 정보시스템은 전사 IT 인프라의 클라우드 전환과 데이터 분석 기반의 업무 환경 구축을 기본 방향으로 전국 109개 재활용 나눔매장 및 활동 현장에서 발생되는 각종 정보들의 통합과 효율적인 활용을 목표로 한다. 아름다운가게 측은 통합시스템을 통해 증자, 기부자, 자원봉사자 등의 참여자 편의성을 개선할 것이라고 강조했다.

◆GS네오텍, AWS 주간 업데이트 ‘3분 시리즈’ 제공=GS네오텍(대표 남기정)은 아마존웹서비스(AWS)의 최신 소식을 제공하는 ‘3분시리즈’를 자사 블로그 와이즈앤(WiseN)을 통해 제공한다고 5일 밝혔다. ‘3분 시리즈’는 AWS의 한 주간 이슈 및 소식을 중요도 순으로 선별해 사용자 관점 중심으로 정리한 후, 블로그에 업로드된다. 용의 중요도에 따라 이주의 업데이트, 단신, 초단신으로 분류해 고객들이 쉽게 AWS 관련 정보를 찾을 수 있도록 배려했다. AWS 관련 문서나 업데이트 정보가 많아 쉽게 정보를 습득하지 못했던 고객들의 니즈를 수용했다.

<정리=백지영 기자>jyp@ddaily.co.kr