[컴퓨터월드] 지난해 9월 28일, ‘클라우드 컴퓨팅 발전과 이용자 보호에 관한 법률’(이하 클라우드컴퓨팅법)이 본격 시행됐다. 공공과 민간 부문 모두에서 클라우드 이용을 촉진하고, 이를 통해 국내 클라우드 산업 발전 및 확대를 이끌겠다는 것이 주요 골자다. 그러나 정작 법이 시행됐음에도 불구하고 클라우드를 도입하겠다는 곳들은 많지 않다. 여러 이유가 있겠지만, 단연 첫 번째로 꼽히는 이유는 보안 문제다. 어도비 클라우드와 애플의 아이클라우드 등 글로벌 기업들의 클라우드 서비스도 해킹을 당해 정보 유출 사고를 겪은 만큼, 시작 단계에 불과한 국내에서 과연 클라우드를 안전하게 쓸 수 있을지에 대해 의문을 갖는 것은 어찌 보면 당연하다. 더욱 유감인 것은 이에 대한 긍정적인 답변 역시 기대하기 힘들어 보인다는 것이다. 보안 업계마저도 국내에서는 클라우드 환경을 위한 보안이 갖춰지지 않았다고 평가하기 때문이다.

인터넷 속도만 빠른 ‘허울 좋은 IT강국’
정부가 지난 1월 발표한 ‘2015년 정보통신기술(ICT)산업 수출입 동향’에 따르면 세계 ICT 성장률이 감소하는 등 어려운 여건 속에서도 우리나라의 ICT 수출은 3년 연속 1,700억 달러를 기록했으며, 무역 수지는 815.6억 달러의 흑자를 기록했다. 이는 국내 수출액의 약 33%, 무역수지 흑자의 약 90%에 해당한다. OECD 회원국 등 주요 국가들 중에서도 우리나라의 ICT 수출은 세계 3위에 올랐으며, 수지 흑자도 2위를 기록하는 등 좋은 성과를 기록했다. 반도체와 휴대폰, 디스플레이 등 이른바 전통적인 효자상품들의 역할이 컸다.

또한, 우리나라는 아카마이가 발간한 ‘인터넷 현황 보고서’에서 인터넷 평균 속도 및 초고속 인터넷 도입률 등에서도 1위에 오르는 등 전 세계에서 IT산업이 발달한 나라로 꼽히고 있다.
이처럼 가시적인 성과들로 인해 우리나라는 몇 해 전부터 IT강국으로 군림해왔지만, 최근에 와서는 점차 그 빛을 잃어가는 추세다. IT의 중심축이 점차 하드웨어(HW)에서 소프트웨어(SW)로 넘어가고 있지만 아직까지 우리나라는 HW 위주의 수출 정책에 의존하고 있으며, 빠르게 변하고 있는 IT 트렌드 역시 선도하기보다는 뒤늦게 쫓아가기 바쁜 상황이다.

최근 IT산업의 판도를 바꾸고 있는 클라우드의 경우 적극적으로 활용하고 있는 글로벌 기업들에 비해 국내 기업들의 활용도는 턱없이 낮은 수준이다. 지난해 시스코와 IDC가 공동 조사한 자료에 의하면 국내 기업 10곳 중 4곳은 클라우드 전략 자체가 없었으며, 클라우드에 최적화된 비즈니스 전략을 갖고 있던 곳은 없는 것으로 나타났다. 클라우드 이해와 운영 현황을 토대로 평가한 클라우드 성숙도 역시 우리나라는 미국(34%), 중남미(29%), 영국(27%) 등 클라우드 선진 국가들뿐만 아니라 세계 평균(25%)보다도 떨어지는 18%에 불과해 아직 갈 길이 멀게 느껴질 정도다. 이쯤 되면 우리나라가 앞으로도 계속 IT강국으로 남을 수 있을지에 대한 해답은 너무나 뻔해 보인다.

클라우드 효용 인정하지만…“보안 때문에”
최근 기업들은 비용 절감과 업무 혁신 등을 위해 정보시스템을 클라우드로 전환하고 있는 추세다. 시스코와 IDC가 조사한 바에 의하면 클라우드를 도입한 기업들은 구축 앱 1개당 도입 이전 대비 매출이 평균 21억 원 가량 높았으며, 비용은 16억 원 가량 절감한 것으로 나타났다. 특히, 최적화된 클라우드 전략을 갖춘 기업들의 경우 평균적으로 매출 10.4% 성장, IT비용 77% 절감, IT서비스 및 앱 운용 시간 99% 감소 등의 효과를 본 것으로 나타나 클라우드 도입의 효용이 무척 높은 것을 확인할 수 있다.

IT자문기관 가트너의 시드 데시판데(Sid Deshpande) 수석 연구원은 본지와의 인터뷰에서 “클라우드는 조직들이 보다 기민한 방식으로 IT자산을 구축할 수 있는 역량을 부여한다. 또한 기업이 운영비용(OPEX)으로 처리할 수 있는 항목에 대해서만 지출하기 때문에 비용 측면에서 유리하며, 쉽게 정당성을 입증할 수 있다. 디지털 비즈니스 시대에 클라우드는 많은 조직들에서 전략적 업무 활동의 핵심 요소로 자리매김하고 있다”고 밝혔다.

이런 추세에 따라 전 세계 클라우드 산업 시장은 지난 2014년 836억 달러 규모에서 연평균 16.9%씩 성장, 오는 2019년에 이르러 1,882억 달러 규모로 성장할 것으로 예상되고 있다. 미국 등 주요 국가들에서는 클라우드 우선 적용 정책을 기반으로 정부 및 기업에서의 클라우드 이용이 급속도로 확산되고 있다.

우리나라도 이 같은 클라우드의 효용성에 대해 파악하고 ‘클라우드컴퓨팅법’ 등 정부 차원에서 클라우드 산업 육성을 위한 방안들을 내놓고 있다. 그러나 이제 시작하는 단계에 불과하며, 클라우드와 관련 기술력, 인력, 인지도 등이 아직 해외 국가들에 비해 열세에 있기 때문에 글로벌 수준만큼의 성장세를 타기까지는 시간이 걸릴 것으로 예상된다.

특히, 퍼블릭(Public) 클라우드는 보안 문제로 인해 도입을 꺼리는 경우가 대부분이다. 많은 기관 및 기업들은 어도비 클라우드와 애플의 아이클라우드 해킹 사례에서 볼 수 있듯이 한 번 사고가 발생하면 그 피해가 어마어마하다는 사실에 대해 두려워하고 있으며, 클라우드 서비스 제공자(Cloud Service Provider)가 고객 데이터를 유출하거나 훼손하는 것을 우려하고 있다.

클라우드 환경 위한 보안 부족
클라우드 이용을 활성화하고, 관련 산업을 육성하기 위해서는 이용자들에게 클라우드를 안전하게 이용할 수 있다는 신뢰감을 줘야 한다. 그 중 첫 번째로 필요한 것이 바로 클라우드 보안이다.

문제는 국내에서 클라우드가 이제 막 시작하는 단계이다 보니, 클라우드 보안은 고사하고 클라우드를 어떻게 활용해야 하는지에 대한 인식도 부족하다는 점이다. 국내 보안 업계 관계자는 “아직까지 국내에서 클라우드를 활용한 경험이 없는 만큼 클라우드 전문가라고 할 만한 사람이 없거나 드물다. 클라우드 보안 역시 어떻게 해야 하는지 모르는 경우가 대부분”이라고 전했다.

물론, 각 보안 업체들마다 새롭게 클라우드 보안 서비스를 출시하고 있지만 이는 클라우드 환경을 보안(Security for Cloud Service)하는 것이 아닌, 클라우드 형태의 보안 서비스(Security as a Service)를 제공한다는 점에서 차이가 있다.

문제는 또 있다. 클라우드 보안 솔루션의 부재는 클라우드 시장 자체를 활성화시키는데 도움이 되지 않는다는 점이다.

한국트렌드마이크로의 김진광 상무는 “퍼블릭 클라우드에는 기존 보안 솔루션들을 올려서 쓸 수 없고, 클라우드 전용 솔루션을 써야 한다. 그렇다면 클라우드 전용 보안 솔루션을 개발해야 하는데, 이를 전문적으로 하는 업체들도 많지 않다. 문제는 클라우드 보안 업체가 적은 것이 아니라 보안 업체들과 클라우드 이용자 모두가 시장을 부정적으로 바라본다는 사실이다. 클라우드 이용자들은 클라우드 보안 솔루션이 없다보니 클라우드 이용을 꺼리게 되고, 클라우드 보안 업체들은 클라우드 시장이 형성되지 않았다보니 클라우드 보안 솔루션을 만들 필요가 없다고 생각한다. 말 그대로 닭이 먼저냐 달걀이 먼저냐를 따지고 있는 것과 같다”며 현재 국내 클라우드 보안 시장 상황을 설명했다.

공공부문서 물꼬 틀어야
관련 업계에 따르면 국내 시장은 퍼블릭 클라우드를 이용하기보다 데이터센터 내 물리서버를 두고 이용하는 것을 더 선호한다. 그러다보니 아시아권 국가들 중에서도 클라우드 전환률이 가장 낮다.

이렇게 된 요인 중 하나는 국내 IT시장에서 공공분야가 차지하는 비중이 상당하기 때문이다. 국내 보안 업계 관계자의 말을 빌리면 국내 IT시장의 약 3~40% 정도가 공공부문에 몰려있다.
사실상 국내 IT기업들은 일부 대기업들과 중견기업들을 제외하면 대부분이 중소기업들로, 이들 대부분이 공공분야에서 매출을 올리고 있다. 그런데 공공에서 꿈쩍하지 않으니, 업계 역시 움직이지 않고 있는 것이다.

이에 정부는 클라우드 이용 활성화와 클라우드 기업 육성을 위해 클라우드 선진 국가 도약이라는 비전을 설정하고, 공공기관에서 민간 클라우드 서비스를 이용할 수 있도록 하는 등의 내용을 담은 ‘클라우드컴퓨팅법’을 지난해 9월부터 시행했다. 공공부문의 선제적인 클라우드 도입으로 민간부문까지 클라우드 이용을 확산시키고, 클라우드 산업의 성장 생태계를 구축하겠다는 전략이 담겨있다.

그러나 한편으로는 ‘클라우드컴퓨팅법’이 시행된다고 해서 공공부문의 클라우드 전환이 의도한 것처럼 잘 이뤄지지 않을 것이라는 전망도 나오고 있다. 공공의 데이터가 과연 안전하게 관리될 수 있을 것인지에 대한 우려가 여전하고, 내부에서 직접 관리하던 체제에서 클라우드라는 외부에 맡겨 관리하는 체제가 우리 사회에 익숙하지 않기 때문이다. 또한, 이미 정부통합전산센터가 설립돼 운영 중인 것도 공공부문의 클라우드 이용률을 떨어뜨릴 것이라는 시각도 존재한다.

안전한 클라우드 환경 조성으로 이용 촉진
클라우드 선진국이라 불리는 미국에서는 클라우드 이용과 관련된 아주 특별한 일이 발생했다. 가장 폐쇄적일 것만 같은 미 중앙정보국(CIA)이 아마존웹서비스(AWS)를 이용해 클라우드를 구축한 것이다. CIA가 구축한 클라우드는 프라이빗 클라우드지만, AWS가 제공하는 퍼블릭 클라우드의 기능을 그대로 옮겨갔다. 최근에는 미 연방항공국(FAA)도 AWS 클라우드를 도입하기로 하면서 퍼블릭 클라우드가 더 이상 보안상의 이유로 밀려나지는 않을 것으로 보인다.

이는 그동안 미국이 안전한 클라우드 이용을 위한 준비를 해왔기 때문에 가능했다. 지난 2010년부터 미국은 공공부문의 클라우드 우선도입 정책을 추진해왔으며, 안전한 클라우드 환경을 담보하기 위해 보안 정책인 페드램프(FedRAMP)를 통해 공공부문의 민간 클라우드 이용 활성화를 이뤄왔다.

페드램프는 클라우드 서비스의 보안 평가·인증 관련 모든 사항을 통합, 연방정부의 민간 클라우드 도입을 위한 보안성 평가 항목을 규정하고 있다. 페드램프는 미 연방정부의 ‘정보시스템 및 개인정보 보안 지침’인 ‘NIST SP 800-53’을 기반으로 클라우드 서비스에 특화된 사항을 추가해 총 17개 분야 325개의 보안 통제기준을 제시하고 있다.

페드램프 인증을 획득한 클라우드 서비스는 추가 인증절차 없이 모든 연방기관에서 이용 가능하며, 정보보호 수준 제고는 물론, 위험관리 비용 절감에도 기여했다는 평가를 받고 있다. 이에 미국에서는 국무부, 재무부 등 7개 부처가 101개의 클라우드를 이용하고 있으며, 이 중 48개는 민간 클라우드 서비스다.

싱가포르도 민간 클라우드 서비스 제공자에 대한 안전성 확보를 위해 MTCS(Multi-tier Cloud Security) 인증을 도입·운영 중이다. MTCS는 자율 인증이나 공공 클라우드 입찰 시 필수 요건이며, 유효기간은 인증 취득 후 3년으로 제한된다. 특이한 점은 클라우드 사업자의 MTCS 총 취득비용의 70%를 정부에서 지원하고 있다는 점이다.

MTCS는 국제표준(ISO 27001:2005)을 바탕으로 총 19개 분야 117개 통제항목을 제시하고 있으며, 항목별 보안등급을 ▲보안 수준이 낮은 일반적인 서비스(시험 및 개발, 공공 정보 웹 사이트 등) ▲일반적으로 기업에서 요구하는 서비스(이메일, CRM, 개인식별정보 등) ▲특정 기업에서 요구하는 서비스(금융, 민감한 정보를 요구하는 헬스케어 시스템 등)의 3단계로 구분하고 있다.

이밖에도 일본은 일본정보감사협회(JASA)에서 클라우드 정보보안 감사 제도를 운영하고 있으며, 영국은 정부 기관에서 이용하는 클라우드 서비스 G-클라우드의 안전성 확보를 위해 ‘클라우드서비스 보안원칙’ 준수여부를 인증하고 있다. 호주는 정부 기관에서 아웃소싱하는 모든 클라우드 서비스에 대해 보안인증(ASD 인증)을 수행하고, 인증목록을 이용자에게 공개(CCSL)토록 하고 있다.

이처럼 해외 주요 클라우드 선진국들은 안전한 클라우드 이용을 위한 정보보호 제도 등을 통해 공공분야의 클라우드 이용을 촉진시키고 있으며, 이를 바탕으로 클라우드 시장을 확대해 나가고 있다.

클라우드 정보보호 기준 고시(안) 제정
이 같은 해외 동향에 맞춰 우리나라도 클라우드컴퓨팅법 제23조에 따른 정보보호 기준을 제시해 이용자 신뢰도 향상 및 서비스 제공자의 보안수준을 제고하고자 ‘정보보호에 관한 기준 고시(안)’을 제정했다. 특히 개인정보나 기밀사항 등 민감한 정보를 다루는 공공부문은 보다 높은 수준의 보안성 및 심도 있는 검증이 요구되기 때문에, 공공기관이 안전하게 민간 클라우드 이용을 할 수 있도록 보장해주는 제도적 장치를 마련한 것이다.

고시(안)은 국제표준(ISO 27001)과 ‘클라우드컴퓨팅법’에서 규정한 정보보호 조치사항 등을 핵심요소로 삼아 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치 등 총 14개 부문의 118개 통제항목으로 마련됐다. 사업자의 부담을 덜기 위해 미국, 일본 대비 통제항목 수를 줄였으며, 서비스 안전성 및 신뢰성을 담보하기 위한 핵심 항목을 추가하거나 강화한 것이 특징이다.

고시(안)의 주요 내용을 살펴보면 정보의 공유·위탁 특성을 감안해 데이터 보호 및 암호화가 강화됐으며, 클라우드 핵심기능인 가상화의 중요성을 고려해 가상화 보안 부문을 가상화 인프라와 가상화 운영환경으로 세분화했다. 또한, 이용자 보호를 위해 ‘클라우드컴퓨팅법’에서 규정한 침해사고 및 장애발생 보고, 정보 공개 등을 반영했으며, 전산장비 안전성, 물리적 분리, 이중화 및 백업체계 구축 등 공공기관이 이용할 시 필요한 사항들이 추가됐다.

아울러 클라우드 서비스 제공자가 정보보호 기준 준수 여부를 미래부에 확인 요청하는 경우 전문기관(KISA)을 통해 시험·평가를 실시할 수 있도록 했다.

“클라우드 성공 여부, 보안 인식 변해야 가능”
클라우드컴퓨팅법과 그에 따른 클라우드 정보보호 기준(안) 고시가 마련되면서 클라우드 서비스 제공자의 정보보호 수준 및 이용자 신뢰도가 향상될 수 있을 것으로 기대된다. 그러나 한편으로는 이들이 국내 클라우드 산업에 있어 또 하나의 족쇄로 작용할 수도 있다는 우려도 나오고 있다.

그동안 국내 정보보호와 관련된 각종 정책 및 가이드를 살펴보면 특정 보안 기술 등을 강제하는 경향이 있었다. 대표적인 사례가 금융 분야다. 이 때문에 국내 보안 산업이 발전하지 못했으며, 보안성도 취약해졌다는 의견도 있다.

이에 대해 시만텍코리아의 윤광택 상무는 “현장에서는 법과 규제의 취지가 다르게 받아들여지고 있다고 생각한다. 법의 취지는 최소한의 요구, 즉 ‘이 정도 수준으로 보안 장치를 마련하지 않으면 안 된다’라는 것이지만, 이것이 오히려 더 좋은 수준으로 보안을 할 수 있는 곳에서도 ‘이 수준만 준수하면 된다’는 것으로 받아들이고 따르기 때문에 발생되는 문제다. 비단 클라우드 뿐만 아니라, 보안이 신의성실에 의해 지켜지지 않으면 서비스 품질에 문제가 생기고 고객의 데이터가 유출되는 등 사회적으로도 큰 문제가 발생될 수 있다. 해당 서비스를 제공하는 기업의 비즈니스도 큰 타격을 받게 되는 것은 당연한 결과다. 그렇기 때문에 인식 변화가 반드시 필요하다”고 설명했다.

KISA 관계자는 “클라우드와 관련된 정보보안 정책은 다른 IT환경과는 다르게 정보보호가 강제 또는 규제의 성격을 갖는다기보다 클라우드 이용에 가장 큰 장애요인인 정보보호 우려를 불식시켜 줌으로써 서비스 이용 활성화를 위한 발판을 마련해주는 역할을 한다고 볼 수 있다. 이에 따라 국내 클라우드 서비스에 대한 정보보호 정책은 정보보호 자율 공개 유도, 정보보호 컨설팅 지원 등 사업자가 이용자 보호 차원에서 자발적으로 정보보호를 향상시킬 수 있도록 추진할 예정”이라고 밝혔다.

또한, 클라우드에 대한 보안 투자도 강화돼야 한다는 의견도 있다. 한국트렌드마이크로의 김진광 상무는 “클라우드 보안에 대한 경영진들의 인식 제고가 확실히 필요하다. 클라우드를 도입하기로 마음먹었으면, 그에 따른 보안은 필요하다. 일부 기업들의 경우 여러 대의 클라우드 서버를 사용하면서 백신(AV)마저 안 쓰는 곳들도 있다. 이는 아예 보안을 하지 않는 것이나 마찬가지다. 그렇게 클라우드를 쓰면서 보안 사고가 발생하면 그 회사만 피해를 보는 것이 아니라 클라우드를 도입하려 했던 곳들도 클라우드에 대해 부정적으로 생각할 수 있고, 클라우드를 서비스하는 업계에서도 그 기업으로 인해 비즈니스에 영향을 받을 수 있게 된다”며 클라우드 보안을 반드시 해야 한다고 강조했다.

우리나라만의 보안 체제 갖춰야
클라우드 정보보호를 위한 고시(안)이 제정됐지만, 아직도 갈 길은 멀게만 느껴진다. 현재 발표된 고시(안)은 서비스형 인프라(Infrastructure as a Service, 이하 IaaS) 중심으로 구성돼 있으며, 서비스형 소프트웨어(Software as a Service, 이하 SaaS) 및 서비스형 플랫폼(Platform as a Service, 이하 PaaS)에 대한 보호조치는 일부만 포함돼 있기 때문이다. 미래부 측은 향후 서비스 고도화·다변화 등에 대응해 고시를 탄력적으로 운영할 것이라는 계획을 밝혔지만, 일부 대형 기업들을 제외한 대부분의 중소·중견기업들이 IaaS보다 PaaS나 SaaS에 중점을 두고 사업을 진행한다는 사실을 생각하면 아쉬운 대목이 아닐 수 없다.

정보보호 기준(안)이 마련됐음에도, 이에 적용할 수 있는 국내 솔루션이 부족하다는 것도 문제다. 이미 몇몇 보안 기업들이 자신들의 솔루션을 클라우드로 서비스할 수 있도록 준비를 마치고 있지만, 이는 클라우드 보안이라는 큰 틀에서 개별적인 모듈에 해당할 뿐 전체를 보안할 수 있는 방법은 없기 때문이다. 각각의 보안 솔루션들을 엮어 클라우드 상에서 연계할 수 있는지 등의 검증도 되지 않았기에, 사실상 국내에서 클라우드 보안을 위한 준비는 제대로 된 것이 없다고 해도 과언이 아니다.

그렇다면 이미 AWS나 MS 애저 등 여러 클라우드에서 검증된 외산 제품들을 도입하는 것이 정답일까? 이에 대해 숭실대학교 정수환 교수는 우려를 표명한다. 이미 MS나 오라클의 사례처럼 글로벌 기업들의 제품으로 인해 시장이 종속(Lock-In)돼 버린 사례가 있는 만큼, 우리나라만의 클라우드 보안 체제를 갖춰야 한다는 입장이다. 한 번 종속된 인프라는 바꾸기도 쉽지 않을 뿐 아니라, 정부3.0 기조로 점차 많은 공공부문의 데이터들이 개방되고 있는 이 시점에 외산 제품으로 어디까지 보안을 담보할 수 있을지 불투명하다는 이유에서다.

정수환 교수는 “전 세계 IT프레임워크가 클라우드로 가고 있다. 외국에서는 5G 장비들도 가상화로 바뀔 것으로 보고 있는 만큼 IT인프라는 급변할 것이다. 그러나 우리나라는 아직 이에 준비가 돼 있지 않다. 세상이 바뀔 때 우리만의 보안 플랫폼을 갖지 못한다면 외산을 쓸 수밖에 없다. 그 때 외산 제품들이 어떤 정보를 빼갈지 아무도 모르는 일이다”라고 밝혔다.

이어 정 교수는 “국가마다 IT특성이 다르기 때문에, 해당 국가의 보안 플랫폼을 참조는 할 수 있어도 그대로 따라 해서는 안 된다. 우리나라 특성에 맞는 보안 플랫폼을 만들어야 한다. 우리나라는 모바일 이용률이 높은 만큼 모바일 환경에 특화된 보안 플랫폼 등을 만들 수 있을 것이고, 이는 충분히 글로벌 시장에서 경쟁력을 가질 수 있다”고 강조했다.