12.15
주요뉴스
뉴스홈 > 기획특집
[좌담회] “공공 클라우드 활성화 발목 잡는 SaaS 보안인증, 현실 감안 개선해라”클라우드 서비스 유통활성화 좌담회, 패널들 보안인증 성토

   
▲ ‘클라우드 서비스 유통 활성화를 위한 좌담회’ 전경

[컴퓨터월드] 우리나라 전체 공공기관의 민간 클라우드 서비스 활용률은 얼마나 될까? 클라우드 발전 기본 계획서에 따르면 올해 말까지 40% 이상 활성화를 목표로 설정해 놓고 있다. 그러나 목표의 절반을 약간 웃도는 수준인 것으로 파악되고 있다. 활성화가 제대로 안 되는 가장 큰 이유로는 ▲공공기관 담당자들의 클라우드 서비스에 대한 인식 부족, ▲까다로운 보안인증과 오랜 인증 기간, 그리고 ▲클라우드 서비스 조달 방식의 문제라는 게 전문가들의 공통된 지적이다.

본지는 이에 따라 이에 대한 해답을 찾기 위해 지난달 9일 ‘클라우드 서비스 유통 활성화 방안’이라는 주제로 관련 기업, 수요기관, 그리고 관련 부처인 과학기술정보통신정부와 산하기관인 한국정보화진흥원 등과 공동으로 좌담회를 개최했다.

좌담회에 참석한 패널들 역시 이 같은 지적에 공감을 했고, 오히려 그들은 그 동안 쌓였던 정부의 활성화 정책, 특히 보안 및 조달 방식 등에 대한 문제점 지적에 대해서는 봇물 터진 듯 성토와 하소연을 했다. 서비스 기업들은 기업들대로, 수요기관은 수요기관들 대로 각각 어려움을 호소했던 것이다. 그것은 곧 제대로 된 정책을 마련하지 못했다는 것임에 분명하다.

물론 완벽한 정책이나 제도를 마련하기는 쉽지 않다. 그러나 기본적으로 시장이 활성화 될 수 있도록 여건은 만들어 주는 게 산업을 육성하고 일자리 창출도 가능하다. 국내 클라우드 서비스 시장은 일반 기업체의 경우 글로벌 기업인 아마존이 막강한 자금력과 조직력을 바탕으로 70% 이상을 장악했다고 한다. 여기에 마이크로소프트, IBM, 구글, 오라클 등도 공격적인 마케팅으로 시장 장악에 적극 나섰다. 그렇다면 남아 있는 시장은 공공기관인데, 이 시장 역시 이들 글로벌 기업들의 먹잇감이 될 가능성이 높다. 호시탐탐 공략을 노리고 있기 때문이다.

우선 좌담회에 앞서 발제자로 건국대학교 이석준 교수와 한국정보화진흥원 최인숙 수석이 각각 ‘클라우드 서비스 전문 유통체계(안)’와 ‘씨앗 추진현황’ 등을 주제로 발표했다. 즉 이석준 교수는 클라우드 서비스 유통체계의 문제점과 대안을 제시했는데, 이 교수는 영국의 성공사례를 들어 ‘마켓플레이스’를 도입한다면 유통이 크게 활성화될 수 있을 것이라고 지적했다.

최인숙 수석은 클라우드 전문 스토어인 ‘씨앗’과 관련, 그 동안 추진해 온 과정 및 현황 등에 대해 발표했다. 씨앗은 클라우드 시장 확대와 공공기관 클라우드 도입을 확대하고 국내 클라우드 서비스의 성장기회를 조성하고, 클라우드 서비스 정보를 검색 비교 견적을 받고 이용기관이 원하는 서비스를 선정할 수 있도록 다양한 서비스를 모아 공공부문을 지원하는 클라우드 전문 스토어라는 것이라는 게 최 수석의 설명이다.

이들의 발제 내용을 정리하면 다음과 같다.


   
▲ 이석준
건국대학교 교수
이석준 건국대학교 교수 -클라우드서비스 전문 유통체계-

유통 활성화는 ‘마켓 플레이스’가 답
클라우드 발전 기본 계획이 수립되면서 18년까지 전체 공공기관의 40%까지 민간 클라우드로 전환하는 것을 목표로 하고 있다. 민간 클라우드가 잘 되려면 유통 체계가 잘 돼 있어야 한다. 그런데 제대로 된 클라우드 유통체계가 갖춰지지 못했다. 예를 들어 나라장터 종합쇼핑몰에 등록된 클라우드 서비스가 IaaS 기준으로 5개뿐이다. 이는 아직까지 유통 체계가 활성화되지 못하고 있음을 잘 보여주고 있다.

클라우드도 조달 방식으로 도입되고 있다. 국가종합전자조달시스템(나라장터)과 각 기업들이 자체적으로 운용하는 시스템들이 있다. 그런데 이걸로는 충분하지 않다. 물품구매를 위한 조달 시스템은 이미 거의 완벽하게 갖춰져 있다. SI, 즉 용역 발주 역시 시스템이 잘 갖춰져 있다. 그런데 (이러한 사업들과 달리) 클라우드는 가변성이 있다.

서비스 사용 시기도 사용 범위도 가변적으로 운용돼야 한다. 다양한 서비스들이 자유자재로 섞여야 하는데 현재의 유통체계는 미흡한 수준이다. 클라우드 서비스를 공급하는 방법도 다양하게 있는데, 사실 조달청에서는 3자 단가 계약, 다수공급자계약을 추진하고 있다. 클라우드 서비스는 속성상 내가 원하는 서비스를 하나의 기업만 가지고 있을 수도 있고, 원하는 서비스를 수의계약 밖에 할 수 없을 수도 있다. 그래서 다수공급자계약 방식으로 클라우드의 다양성을 커버하기에는 한계가 있다.

클라우드 서비스의 문제점을 따지자면 나라장터에 등록된 클라우드 구분 체계나 분류가 5개뿐이라는 점이다. 씨앗과 나라장터쇼핑몰을 비교해보면 등록 서비스 개수나 상담 서비스 데스크 유무 등에서 상당한 차이가 난다. 이는 현재 나라장터의 다수공급자계약방식으로는 한계가 있다는 것을 보여준다. 또한 클라우드 계약 시에도 장기계속계약과 개산계약이 가능한 방식으로 개선해나가야 한다.

클라우드에 특화된 마켓 플레이스를 만드는 것이 다른 나라의 사례를 봐도 더 효율적이다. 미국은 마켓플레이스를 운영하지 않는다. 여러 차례 시도했지만 아직 잘 되고 있지 않다. 영국은 마켓플레이스 만들어서 효율적으로 운용되고 있다. 환경 조성도 잘 됐고 성과가 나오고 있는 바람직한 사례다. 호주는 영국과 유사한 패턴을 보이고 있다. 특히 ‘패널’이라고 해서, 어느 정도 정부에 의해 인증된 업체들이 표준약관에 따라 계약을 체결하는 방식이 인상적이다.

우리나라와 이들 3개 나라를 비교해보면, 이들은 조달이 중간에 개입하지 않고 각 기관이 직접 계약하는 방식을 택한다. 또한 영국과 호주는 서비스 계약 방식을 마켓플레이스에서 직관적으로 확인 및 선택할 수 있다.


최인숙 한국정보화진흥원 수석 -씨앗 추진 현황-
씨앗, 협약사 192개•서비스 162개•거래금액 148억
글로벌 IT 기업들이 국내 클라우드 시장 공략 속도를 높이고 있다고 한다. 아마존(AWS)이나 마이크로소프트는 이미 국내에 데이터 센터를 구축해 놓고 있고, 오라클이나 구글도 내년이면 데이터 센터를 한국에 구축한다. 이처럼 글로벌 기업들이 국내 클라우드 시장에 관심을 갖고 공격적으로 달려드는 이유는 우리나라 클라우드 시장의 잠재력과 아직 미진한 클라우드 도입률 때문이다.

‘씨앗’은 클라우드 시장 확대와 공공기관 클라우드 도입을 확대하고 국내 클라우드 서비스의 성장기회를 조성하기 위한 것이다. 클라우드 서비스 정보를 검색 비교 견적을 받고 이용기관이 원하는 서비스를 선정할 수 있도록 다양한 서비스를 모아 공공부문을 지원하는 클라우드 전문 스토어이다.

씨앗은 서비스 제공자와 이용자, 서비스 등에 집중하며 꾸준히 발전해왔다. 클라우드 서비스를 축적하기 위해 2016년(씨앗1.0)에는 공급기업 중심으로, 클라우드 기업을 찾고 선별해 협약을 체결했다. 서비스 공급을 요청한 기업 중 승인과정을 거쳐 기업을 선별하는 방식으로 이뤄졌다.

2017년에는(2.0) 실제 사용자들을 모았다. 그들이 원활하게 서비스를 사용할 수 있도록 서비스 종류를 다양하고 상세하게 확인할 수 있도록 개선했다. 성공사례 서비스 방식들을 찾아서 정보를 제공하고, 그걸 검색해서 견적을 낼 수 있도록 했고, 여기에는 씨앗과 나라장터쇼핑몰을 연계시켰다.

2018년에는(3.0) 보다 구체적이고 편리한 기능들을 제공하기 위해 서비스 부분이나 인증정보, 기술지원, 교육, 구축 방식 등 필터링 방식을 고도화했다. 현재 29개로 분류 체계를 다각화해 비교 검토해서 이용기관이 최종적으로 쉽게 선택할 수 있도록 하고 있다.

우리가 주로 하고 있는 주요 서비스를 보면, 분류체계를 활용해 서비스 카탈로그에서 서비스를 확인하고, 규격서와 가격표, 견적 등을 확인할 수 있다. 그리고 조달청과 연계해 서비스를 도입할 수 있도록 하고 필요할 경우 이용 실적증빙도 제공하고 있다.

현재 협약된 기업은 154개이며, 그 중 262개 서비스들을 등록해서 제공하고 있다. 수요 기관은 현재 965개, 이용 건수는 385건이다. 이용 금액은 147억 원에 달한다. 또한 클라우드와 관련된 제도나 정책, 국내 동향 등을 함께 제공하고 있으며, 매월 뉴스레터나 홍보활동으로 클라우드 서비스를 홍보하고 있다. 민간 클라우드 활용 사례를 많이들 요구하는데, 민간기업과 연계한 사례들을 많이 확보해서 홍보하고 있다.

등록 서비스에 대한 품질관리도 하고 있다. 그리고 1.0 2.0 3.0으로 진화하면서 서비스들을 위한 서비스를 지속적으로 업그레이드 하고 있다. 또한 클라우드와 관련된 법체계를 정비해 클라우드가 잘 될 수 있도록 협력하고 있다. 민·관 협력이 더욱 잘 될 수 있도록 다양한 기업들과 연계를 강화하고 있으며, 헬프 데스크를 운영해 서비스들이 잘 도입되고 운영될 수 있도록 돕고 있다. 세미나, 설명회, 교육 행사 등을 통해 클라우드가 확산될 수 있도록 노력하고 있다.

현재 씨앗은 만 2년이 됐다. 초기에 기업체 협약이 19개에 불과했지만 현재에는 154개로 크게 증가했다. 이 중 130개 이상이 중소기업이다. 중소기업들이 기술력이나 경쟁력이 많이 증가했다는 것을 알 수 있다. 서비스 숫자도 약 70여 개에서 262개로 늘었다. 특히 SaaS는 약 3배 증가했다. 중소기업들은 SaaS 제품 위주로 공략하고 있다. 이용 계약 건수도 4건에서 현재 385건으로 크게 늘었다. 거래 금액도 16년 1부기 3.3억 원에서 현재 147.9억 원으로 증가했다.


이어진 좌담회는 본지 김용석 편집주간이 진행을 맡았다. 내용을 정리하면 다음과 같다.
   
 

   
▲ 김용석 편집주간
김용석 편집주간

클라우드 서비스가 전 세계로 급속히 확산되고 있다. 민간 시장의 경우 아마존이 70%를 차지하고 있는 것으로 본다. 우리나라 역시 비슷한 수준이다. 공공 시장은 이런 글로벌 기업들보다 국내 기업들이 서비스를 강화했으면 좋겠다. 그렇게 되면 중소 SW기업들도 활성화시키고 일자리 창출에도 기여할 수 있을 것으로 본다. 공공기관들의 클라우드 서비스 활용률은 3.3%, 민간 클라우드 이용은 20%, 클라우드 예산은 0.7%에 불과하다고 한다.

오늘 패널들을 보면 3가지로 분류된다. 서비스 공급기업과 이를 이용하는 수요기관, 그리고 정부기관이다. 서비스 공급기업에서는 판매 방식과 서비스 기준, 이용자는 구매 방식과 서비스의 다양성, 정부기관에서는 정책 방향 등에 대해 솔직한 얘기를 듣고 싶다. 먼저 판매 방식에 대해 서비스 공급기업들에서 의견을 주시면 좋겠다.

지태현 아이엔소프트 상무
아이엔소프트는 클라우드 솔루션을 공공이나 민간에 공급하고 있다. 맨 처음 클라우드 관련 제품을 공공에 납품하게 됐을 때는 당연히 민간에서 신뢰를 얻었으니 납품하는 데 문제가 없을 것으로 생각했다. 그러나 그것은 순진한 생각이었다. 공공에서는 (클라우드가)새로운 기술이다. 어떻게 보면 공공 특성에 맞는 새로운 접근성과 규제들이 있었는데, 우리가 새로운 기술 기반의 제품을 만들다보면 뜻하지 않은 부분에서 규제에 걸리기도 한다. 그래서 새로운 기술 기반 제품 확산이 공공에서 크게 어려운 부분이 있었다. 가령 예전에는 IaaS는 공공에 들어갈 생각도 못했다. 요새는 이런 장벽이 조금 낮아진 것 같다.

향후 컨테이너 기술, 네트워크 가상화, VR(가상현실) 같은 새로운 서비스나 기술이 나오는데, 이게 공공에 들어갈 때 또 규제에 부딪히는 게 아닌가 하는 걱정이 있다. 그래서 개선됐으면 하는 부분들은, 새로운 기술 기반 제품과 서비스들에 대해 공공이 미리 스터디를 하고 가이드라인을 내야 한다고 본다. 선행적인 연구가 이뤄져야만 한다는 것이다. 제품 개발을 끝내고 팔려고 하는 시점에 “이런 거 있는데 모르셨어요?”라고 하는 것은 바람직하지 않다. 미리 스터디를 하고 명확하게 가이드라인을 내주면 좀 더 원활한 서비스 공급이 가능할 것이다. 새로운 기술이 등장할 때마다 정부나 공공에서 쫒아가는 게 아니라, 기술 가이드라인을 선제적으로 제시해주는 부분이 필요하다고 생각한다.

김종순 과학기술정보통신부 사무관
노력은 하고 있다.


클라우드는 ‘IaaS 위주가 아닌 SaaS’로 해야
   
▲ 이태석
두드림시스템 대표
이태석 두드림시스템 대표

클라우드로 가장 혜택을 많이 받는 회사 중 하나가 바로 두드림시스템일 것이다. 약 3년 반 동안 100군데의 기업을 다녀봤다. 3시간 반 동안 설명을 해도, 보안 담당자가 고개를 저으면 그걸로 끝이다.

클라우드와 관련된 행사를 가보면 공공기관 분들에게 민간 클라우드 활용에 대한 설득을 해본 분들이 연사로 나선다. 클라우드 스토어가 발전하고 영향력을 가지려면 공공기관 사람들이 클라우드에 대한 인식을 명확하게 새롭게 해야 한다. 3년 이상 해왔음에도 불구하고 공공기관 사람들은 여전히 클라우드를 SI 사업으로 본다. 다시 말해 프라이빗 클라우드, 구축형을 기본적으로 생각하고 있다는 것이다.

클라우드 스토어는 마중물 역할을 많이 해야 한다. 그래서 SaaS에 방점을 찍고, 거기서부터 PaaS나 IaaS로 가야 한다. 그런데 클라우드를 IaaS 시각으로만 계속 보면 향후 3년 안에 가시적인 성과를 보기 어렵다. 2019년에는 SaaS를 하자. SaaS는 조금만 노력하면 훨씬 더 많은 실적과 사례를 만들어낼 수 있다. 이게 공공기관 하나하나의 업무들을 클라우드로 전환하는 계기가 될 수 있다.

그런데 내년 2월에 조달청 서기관님이 SaaS 보안과 관련된 인증제도를 하신다고 하더라. 기업 입장에서는 SaaS 보안 인증을 받으려고 열심히 했는데, 현실적으로 그 벽이 너무나 높다. SaaS 보안 인증에 대한 사례가 없기 때문이다. 복잡한 인증제도보다는 웹 방화벽과 개인정보 보호 관련된 것들을 갖춰놓고 민간에서의 도입 실적이 있으면 인정을 해줘야 한다.

부탁드리고 싶은 게 있다. 즉 조달청은 물건을 제공하고 파는 역할을 한다. 그런데 SaaS는 감성이 없다. 계약하고 일주일 있다가 안 쓸 수 있고, 한 달 안에도 안 쓸 수 있다. 또한 제품에 대해 얘기를 하고 싶어도 할 곳이 없다. 조달청에 얘기할 수는 없는 것 아닌가. 기업과 직접 소통을 할 수 있는 채널이 없다. 이것은 플랫폼에 결제모듈만 붙이면 해결되는 문제다.

하나 걸리는 게 SaaS 보안인증인데, 이것은 2~3년 정도의 과도기를 두고 다른 방법을 찾아야 한다. 인증 제도로 갈 게 아니라, 실제적으로 제품과 서비스에 문제가 있는지를 확인하고 문제가 없으면 (인증이 없어도) 과감히 도입할 수 있도록 해야만 한다.

김용석
SaaS 보안 인증은 무엇 때문에 안 된다고 하는가.

이태석
SaaS 보안 인증을 위해서는 78개 항목이 있다. IaaS 보안 인증에서 몇 개 떼 내고 SaaS에 맞는 거 몇 개 붙여서 만든 것이다. IaaS와 SaaS, PaaS가 겹쳐지는 부분이 있다. 그런데 SaaS 공급 업체가 인증을 받기 위해 해야 할 가이드라인이 없다. 그래서 너무 힘들어서 포기했다. 내년에 다른 업체들 인증 받는 것 보고 참고해야겠다고 생각하고 있다. 과정이 너무 복잡하다.

클라우드 서비스 유통 활성화를 위해 SaaS 보안 인증에 대한 대책이나 감성을 담는 문제가 해결되지 않으면 활성화는 요원하다고 본다. 또한 클라우드 유통 활성화 포커스는 SaaS에 잡아줬으면 좋겠다.

김용석
조달과 관련, 영국은 조달 방식과 별도의 디지털 마켓 플레이스를 만들어서 이중으로 병행을 하는 걸로 알고 있다. 어떻게 하는 게 유통 활성화에 더 도움이 된다고 보는가.


SaaS 보안인증, 가이드라인 필요하다
   
▲ 홍덕기
이즈파크 이사
홍덕기 이즈파크 이사

이즈파크는 SaaS 서비스 기업이다. 그런데 SaaS를 공공기관에 할 수 있느냐가 계속 문제가 되고 있다. 우리는 공공기관에 평가관리 시스템을 꾸준히 공급해왔다. 그런데 작은 기관은 구축비가 많이 드니까 SaaS로 했으면 좋겠다고 해서, 우리가 2년 정도 개발해서 만들었다. 이걸 민간기관에도 공급하고 있다.

수요기관에서는 하고 싶다는 요청이 온다. 그런데 이것을 구체화시키다보니 KISA의 SaaS 보안 인증이 필요했다. 그래서 KISA에 신청했더니 받을 수가 없었다. 인증 대상이 아니기 때문이라고 한다. 기관의 내부 업무 서비스는 대상이 아니기 때문이라고 한다. 그렇다면 내부 시스템이 아니면 SaaS로 무엇을 할 수 있겠는가?

수요기관에서 요청이 왔고 우리도 하고는 싶은데, KISA 인증을 안 받으면 SaaS를 올릴 수 없다는 것이다. 이를 해결하기 위해 여러 루트를 통해 알아 봤는데, 의견이 조금씩 달랐다. 한국정보화진흥원에서 도입할 가능성이 있는데, 가능할지 모르겠다.

이태석
지역정보 개발원 역시 다른 의견이다.

김은주 한국정보화진흥원 센터장
한국정보화진흥원은 민간 클라우드를 촉진하는 입장에서 우회도로를 안내한다. 그런데 지역정보개발원은 행안부 산하 기관으로, 직통으로 가는 고속도로를 얘기할 수밖에 없다. 기관별로 입장이 달라서 한 마디로 정리하기는 어렵다. 그래도 목적지(클라우드 도입)로 가는 방법을 안내하고 있다. 지자체이건 지방 공기업이건 간에, 직접 얘기하면 가는 길을 찾아가기 어렵다. 한국정보화진흥원에 요청하면 해결할 수 있는 방법을 안내하겠다.

SaaS 인증은 공공기관이 반드시 인증 받은 제품만 써야 한다, 그런 것은 아니다. 조달청이 “인증 받은 제품만 받을게”라고 하면 길이 막힌다. 공공기관은 민간 제품 중 인증 받은 제품만 이용할 수 있는데, 그렇게 되면 길이 다 막힌다. 현재는 인증제 시행 전이고, 아직 내용이 확정되지 않았다. 바뀔 수도 있다. 그리고 설사 그게 막힌다고 하더라도 국정원 보안성 검토를 통해 우회적으로 공급할 수 있다.

김용석
오늘 이 자리는 의견을 내서 클라우드 해결을 해보고자 하는 것이니 충분히 의견을 내달라. NIA와 과기정통부에서 받아들일 것은 받아들이고 해결할 것은 해결하고 가자는 것이다.

   
▲ 김경근
한국방송통신전파진흥원
차장
김경근 한국방송통신전파진흥원 차장

한국방송통신전파진흥원은 클라우드 서비스를 이용하는 공공기관이다. 클라우드를 추진하면서 구매나 계약방식에 대해 여러 번 참석해서 얘기하고, 시행착오를 사례 발표로 공유하기도 했다.

먼저 보안 인증에 대해 얘기하고자 한다. 보안 인증은 공공기관에서는 필요하다고 생각한다. 좀 더 높은 보안 서비스를 받기 위해서 기존에 데이터 센터에서 운영하던 것을 클라우드로 옮기는 경우도 있다. 데이터센터 운영할 때 유지보수 하는 업체에 따라서 보안 수준이 천지차이다. 작은 기관은 보안 담당자가 없는 경우가 많다. 그래서 보안 수준을 끌어올리기 위해 보안 인증을 획득한 IaaS나 SaaS를 선택한다.

클라우드를 이용하는 것은 국가정보원의 보안성 검토 대상이다. 보안인증 제품을 쓰더라도 보안성 검토는 받아야 한다. 그런데 제품을 도입하려고 했는데 보안성 검토에서 퇴짜를 받으면 어떻게 하나? 바쁘게 제품 도입하고 기간 안에 프로젝트를 끝내야 하는데, 보안성 검토 퇴짜 맞을 가능성이 있는 제품을 도입하는 것은 위험성을 감수하는 것이다. 따라서 최소한의 보안 인증을 받지 않은 서비스, 보안성을 확보하지 않은 제품을 이용하는 것은 이용 기관에서 문제가 될 수 있다.

솔직히 얘기해서 클라우드는 이미 많이 늦었다. 클라우드로 옮김으로써 할 수 있는 것들이 많다. 그런데 이미 클라우드 단계에서 막혔다. 그러면 보안 인증을 받은 IaaS 위에 SaaS를 올려서 이용하면 된다. 우리가 보안 인증을 받은 IaaS를 임차해서 거기다가 SaaS를 쓰면 된다. 그런데 이렇게 해보니 계약 방식에 문제가 생겼다. 조달청에 공고를 올려 경쟁을 시켜야 하는지, 수의계약을 하자니 예산과 맞지 않아 쉽지 않았다.

N사에서 제공하는 클라우드 AI 챗봇 빌더가 있다. 거기 전화해서 이용하고 싶다고 물어봤더니 이용해도 된다고 하더라. 그래서 학습 환경은 어디에 구축하느냐고 물어봤더니, 그건 공공에 없고 민간 환경에 있다고 하더라. 그러면 우리는 못 쓴다. 학습 환경 자체가 민간 존에 있어서 보안성에 위배된다는 것이다. 국정원 보안성 검토 항목이 엄청나게 많은데, 이걸 다 통과해야 사용할 수 있다. 1년에 한 번씩 국정원이 우리 기관에 와서 수준 평가를 하니까 우리는 무조건 지켜야 한다. 이렇게 거르다보면 이용 가능한 게 하나도 안 남는다. 쓰고 싶은 게 많은데 SaaS 보안인증이 막고 국정원이 막고, 그러니 쓸 수 있는 게 없다.

우리 입장에서는 기업들이 힘들더라도 열심히 보안 인증도 받고 보안성 검토도 받고 해주셨으면 좋겠다. 보안 인증을 받으면 기업이 더 치고 나갈 수 있는 기회가 될 것이다. 우리는 모든 업무 시스템을 클라우드로 전환하고 있다. 다음주(11월 둘째 주)에 3개 사업이 20억 원 규모로 발주 나갈 예정이다. 최소한의 안정성을 위해서는 보안 인증을 받아야만 안심하고 구입할 수 있다.

또한 구매 방식에 있어서 계약기간도 문제가 있다. 하드웨어 사용 연수를 5년으로 본다. 그런데 나라장터에 등록돼 있는 민간 클라우드를 쓰고 IaaS를 이용하게 될 경우, 클라우드는 최장 3년까지 장기 계약을 할 수 있다고 돼 있다. 5년으로 늘려달라고 했는데 안 된다는 것이다. 정보 시스템을 한 번 옮겼으면 서비스 안정화하는데 1년 걸리고, 3년쯤 되면 운영이 잘 된다. 그런데 바꿔야만 할 때가 된다. 같은 업체가 다시 되면 상관이 없지만 그렇지 않으면 다시 처음부터 안정화해야 한다. 그러니 좀 더 장기계약이 가능했으면 좋겠다.

또 한 가지는 멀티 클라우드를 사용할 수 있으면 좋겠다. 5개 업체를 다 사용하게 되면 경험과 노하우는 늘 것이다. 이 업체는 이게 좋고 저 업체는 저게 좋고. 그런데 공공은 비용 문제를 생각해야 한다. 중복되는 요금이 많이 발생하면 안 된다. 가령 VPN 이용요금이라든가. 보안 솔루션 같은 경우도 마찬가지다. 가령 어떤 DB접근제어 제품 한 개를 도입해서 여러 개 서비스들을 동시에 관리할 수 있으면 좋은데, 멀티 클라우드로 구성돼 있으면 같은 제품을 여러 개 구입해야 하는 상황이 발생한다는 것이다.

SaaS 선택권이 넓어지면 우리도 좋은데, 조달 방식이나 발주 방식 때문에 선택권이 줄어든다. 그래서 담당자도 지치고 그냥 기존 방식대로 하게 된다. 공공이 쉽게 이용할 수 있도록 여러 가지 제약들이 풀렸으면 좋겠다.


TTA 같은 제3의 기관 인증도 인정해야
이태석
SaaS에 대한 구분이 필요하다. SaaS라고 하면 단계가 있다. 내부적으로 무슨 시스템을 설치하든 보안성과는 상관이 없다. SaaS의 또 다른 것은 KT의 G클라우드 같은 데에 서비스를 올리고 포트를 열어놓고, 이용자는 자기네 서비스와 우리 서비스를 연동해서 처리하는 것이다.

김경근
클라우드를 도입할 때 SaaS가 어디에 있느냐고 물어본다. AWS나 애저에 있다고 하면 그냥 끊는다. 인증 못 받은 클라우드 상에서 올라가 있으면 사용할 수 없기 때문이다.

김종순 사무관
KT와 NBP 공공 존에는 KISA 인증을 못 받으면 올릴 수 없다.

홍덕기
KT나 NBP에서 임시로 사전구축을 위한 기간을 준다. 그 기간 동안 인증을 받아야 한다. 공공기관들이 서비스를 이용하기 위해서는 기업을 접촉하고, KT나 NBP에 공문을 보내서 확인하면 공공존에 올릴 수 있고, 서비스도 이용할 수 있다. 그렇지만 미리 올려놓고 (공공기관에)영업을 할 수는 없다. 이렇게 되면 이즈파크는 공공에 서비스를 공급하기 위해 할 수 있는 방법이 없다. 클라우드 서비스 비즈니스를 하고 싶은데, 할 수가 없는 것이다.

김태우 코아인포메이션 상무
코아인포메이션 역시 뭔가 해보려고 해도 손발이 묶여 있는 상황이다.

   
▲ 이화균
리눅스웨어 차장
이화균 리눅스웨어 차장

리눅스웨어는 웹메일 비즈니스를 하고 있고, 약 20개 기관에 서비스 하고 있다. 보안 인증을 준비하고 있는데, 6개월 걸린다고 해서 기다리고 있다. 인증기간이 너무 길다. 리눅스웨어는 KT에 올려 공공기관 가상화기기를 올려 보안성을 검토하고 있다.

지태현 아이엔소프트 상무
그렇다면 단순논리로 씨앗에 등록돼 있는 기업들이 모두 보안 인증 신청을 하게 되면, 인증 받는 데 몇 년이 걸릴 것이다. 1년에 몇 개 기업이나 인증할 수 있을지 의문이다. 아이엔소프트 같은 중소기업은 지금 당장 제품을 팔아야만 한다. 때문에 보증제도 같은 것을 통해서 비즈니스 연속성을 갖도록 해주거나 해야만 하지 않을까 생각한다. 필요로 할 때 인증도 못 해준다면 중소기업들은 사업을 할 수 없다.

김종순
현재 SI사업에도 보안성을 검토하고 있는가.

홍덕기
SI는 사업이 끝나고 나서 별도의 테스트를 수행한다.

김종순
그러면 SI 사업과 클라우드 사업에서 점검하는 내용이 다른가.

김경근
SI 사업 보안성 검토는 사업 유형이 뭔지에 따라 다르다. 기관 내에서 보안성 검토만 하는 경우도 있고, 상급기관으로 올라가는 경우도 있고, 국정원까지 올라가는 경우도 있다. 하지만 클라우드 컴퓨팅을 이용할 경우 무조건 국정원 보안성 검토를 해야만 한다.

   
▲ 김종순
과기정통부 사무관
김종순

클라우드에서 보안성 검토를 하는 항목과 일반 SI쪽의 보안성 검토 항목에 차이가 있는지를 알고 싶다. 검토하는 항목들이 서로 큰 차이가 있는지. 클라우드 쪽이 더 어려워서 보안성 검토를 더 받기가 어렵다거나 등등. 기업에서는 보안 인증을 받기 어렵다고 하시는데, 실제 다른 SI 사업들과 비교해서 훨씬 어려운가? 확인해서 만약 굉장히 더 복잡하거나 강하거나 하는 게 있다면, 형평성 문제도 있으므로 그런 인증제를 SI 같은 유사한 서비스와 비교해 맞추는 게 좋다고 본다.

홍덕기
SW 보안은 좀 더 가변적이다. 가령 시큐어 코딩 지침에 따라 한 번 돌려보고 문제점이 나오면 보완하면 되고 없으면 패스시키는 등의 방식이다. 그런데 KISA의 방법은 이게 아니다. 즉 KISA는 문서적인 것들을 많이 요구하고 IaaS 서비스에 대한 검증도 요구한다. 이미 검증받은 SW를 IaaS에 올린 건데 IaaS 검증까지 하라고 하면 중복 검증인 것이다.

이태석
SaaS 보안 인증 받은 것만 조달에 등록하라, 이러면 답이 없다. 클라우드 스토어는 TTA 같은 데서 받는 인증도 있다. 그런 것도 인정해야 한다.

이영로 한국정보화진흥원 본부장
공공에서 이미 민간에 팔리고 있는 제품에 대해 보안 관련해서 이것저것 요구한다. 민간에 팔리고 있다는 것은 무엇이냐면 어느 정도 보안성이 있다는 것이다. 민간 기업에 공급된 사례들을 설득력 있게 전달하는 것도 필요하다. 막연하게 제 3자 서비스를 받는 것은 책임이 발주자에게 있지만, SaaS는 공급자에게 있기 때문에 SW가 ISMS 인증 받듯 국정원 보안성 검토를 통과하는 제도가 있어야 한다. 민간의 경험을 제시하는 것이 중요하다고 본다.

김용석
보안에 대한 이슈가 너무 많은 것 같다. 다음에 다른 자리를 마련해서 이에 대한 얘기를 더욱 깊이 해보면 좋겠다. 다음 화제로 넘어가자. 제안서 제출이라든가 평가 방식에는 어려움이 없는가?


서비스 계약기간 3년 너무 짧다
   
▲ 주상훈
한국교육학술정보원 선임
주상훈 한국교육학술정보원 선임

나라장터 5천만 원 이상 첫 사례가 바로 한국교육학술정보원이다. 공공기관 서비스를 하나 만들면 적어도 5년 이상 유지를 해야 한다. 현재 인증 받은 5개 업체가 등록돼 있다. 그런데 한 업체와 다년간 계약 하는 게 원활하지 못하다.

한국교육학술정보원이 매년 서비스를 옮겨야 하면 매번 마이그레이션이 필요하다. 장기계약이 해결되지 않으면 매번 마이그레이션 비용에 대한 문제를 가질 수밖에 없다. 이런 서비스 연속성에 대한 고민이 필요하다. 최소 5년 정도는 필요하다. 5년 정도 되면 고도화 비용이 추가되는 경우도 있으니 기관 측에서도 예산을 잡을 수 있다.

김은주
영국은 5년 10년 계약 하는 경우도 많다. 특히 IaaS는 5년 이상이 많다. ERP나 그룹웨어를 SaaS로 못 쓰게 하는 게 이런 업무 연속성과 관련된 이유다. ERP나 그룹웨어 데이터는 국가기록물관리법에 의해 5년 이상 보관해야 한다.

그런데 ERP나 그룹웨어를 다른 솔루션으로 교체하는 과정에서 연속성을 확실히 보장할 수 없다. 우리가 ERP를 바꾸려고 하더라도 기존 업체에서 운영하던 데이터를 공유해주려고 하지 않는다. 이렇다보니 ERP나 그룹웨어 같은 내부 서비스는 클라우드를 쓰지 말라고 하는 것이다.

김용석
수요자와 공급자가 직접 계약하면 어떤가.

김종순
그건 공공이라는 특수성을 배제한 것이다. 제도 자체를 1:1로 계약하도록 바꾼다는 것은 어렵고 현실적이지도 않다.

이태석
결론은 뭐냐면 조달이 아니라 마켓플레이스로 가야한다는 것이다. 그런데 그래도 조달 체계만을 고집하고 그 쪽으로 가야 한다고 하면 문제가 있다.

김은주
우리나라도 전체 산업에서 조달 비율을 보면 중앙조달 방식과 기관/공급자가 직접 계약하는 자체조달이 5:5 정도다. 공존 중이다. 중앙 조달 포션과 자체조달 포션은 대동소이하다. 그런데 정보화 산업 쪽은 조달 방식이 많이 채택됐다. 나라장터를 통한 SI 발주가 주를 이루고 있다.

이태석
두드림시스템은 수요 기관과 전부 자체 계약했다. 작년부터 씨앗 클라우드 스토어가 활성화돼 이용하고 있다.

김은주
두드림은 나라장터 등록 대상이 아니기 때문에 직접계약 방식으로 한 것이다.

이영로
조달청에 있어서 기존 조달 방식과 다르게 개별 1:1 조달이 가능하도록 열어주는 게 중요한 것 같다. 조달청에 맡기는 이유는 책임 회피 수단으로 활용할 수 있기 때문이다. “조달청을 통했다는 것은 공정하다는 의미, 즉 특정 업체를 우대하지 않았다”는 것을 증명하기 위함이다. 그런데 1:1 계약에서는 이걸 증명하기가 쉽지 않다. 그래서 영국 마켓플레이스는 모든 1:1 계약 단계를 투명하게 공개하고 있다.

나도 마켓플레이스로 가는 게 맞다고 본다. 그런데 이미 조달쪽 생태계도 있지 않나. 그쪽 생태계 구성원들의 저항도 크다. 기존 SI 방식으로 돈 벌고 있는 기업들, 수수료 받고 있는 조달청. 이 방식을 그대로 유지하는 것은 옳지 못하고, 구성원들의 저항이 있으니 그 안에서 바꾸려고 하면 실패할 가능성이 높다. 그래서 별도로 만드는 게 좋다.
 

계약방식은 조달보다 스토어에서 직접 구매해야
이태석
씨앗이 3년간 쌓은 노하우가 있다. 이게 조달 체계로 편입되면 좋겠다. SaaS는 조달 방식에 들어가면 망한다. 스토어에서 구매에 대한 결론을 내고 결과를 조달청과 공유하는 방법, 그리고 조달청에서 씨앗으로 넘겨서 처리하는 방법, 이런 연결고리를 만들면 자연스럽게 제도가 바뀌지 않을까 생각한다.

김종순
과기부에서도 구매라든가 하는 부분은 적극적인 협업을 하고 있다. 어떤 부분이 가장 먼저 해결돼야 하는지에 대해서는 현장에서 들어야 한다. 공공기관의 클라우드 도입 가이드라인은 행안부가 만들고 있다. 과기정통부가 행안부와 얘기하려면 현장의 목소리가 명분으로 요구되는 부분이다. 장기 계약을 하고 싶지만 현재 3년이 최대라든지 하는 부분들은 현재 개선하려고 노력하고 있다. 조만간 개선이 이루어 질 것으로 생각한다.

   
▲ 지남원
이노그리드 부장
지남원 이노그리드 부장

일단 이노그리드도 클라우드라는 부분에서 업력도 길고, 독자 솔루션으로 국정원 보안성 검토도 받았다. 이노그리드는 퍼블릭과 프라이빗을 모두 가지고 있다. 그런데 씨앗만 놓고 보면, 갸우뚱 할 수밖에 없다. 기본적으로 제도적인 요건이 많이 걸린다. SaaS든 PaaS든 마찬가지일 것이다.

특정 한 곳이 파워풀하게 끌고나가는 정책이 필요하다. 특정 기관이 끌고 나가서 그 안에서 서비스를 연동할 수 있는 모델이 필요하다. IaaS 영역, SaaS 영역, PaaS 영역, 이렇게 따로따로 얘기하고 있는데, 이걸 파워풀하게 끌고 나가서 통합할 수 있는 방법이 필요하다. 이렇게 되면 NBP 따로 가고 KT 따로 가고 이럴 필요가 없다. 이를 통해 서비스 선택 폭을 넓히면 사용자 측면에서도 좋다. 기관에서 큰 그림을 그려 강력하게 끌고 나가는 형태를 고민해주면 좋겠다.

이종우 이비즈테크 대표
이비즈테크는 인프라와 관련된 클라우드 스토리지를 제공한다. 그래서 민간이나 공공에 많이 구축을 해놔야 되는 상황이다. 수요는 많이 생길 것 같다. 아무튼 클라우드에도 스토리지 서비스를 사용할 수 있다는 것을 공공에서 인식해 줬으면 좋겠다.

이태석
클라우드 도입에 선도적으로 참여했던 공공기관들에게 가점제도를 도입하는 것도 활성화에 도움이 될 것이다.

김용석
오늘 좌담회는 보안이 가장 큰 이슈가 된 것 같다. 보안 이슈는 별도의 자리를 만들어 간담회를 갖고자 한다. 클라우드로 가는 것은 피할 수 없는 대세이다. 클라우드 서비스를 통해 중소 SW기업, SaaS 기업들이 좀 더 활성화 돼 세계적인 기업으로 발전했으면 좋겠다.

우리나라의 전자정부가 전 세계에서 인정받고 있는데, 세계 1위 SW기업은 탄생하지 않았다. 산업 육성을 제대로 못했다는 것이다. 클라우드 서비스 활성화를 통해 세계적인 기업이 탄생했으면 좋겠다. 정책을 입안하고 산업육성을 위해 노력하는 공무원들도 어려움이 많은 것 같다. 안 되는 게 너무 많기 때문이다. 감사도 있고. 그래서 운신의 폭이 좁다. 그래도 클라우드 서비스 활성화를 위해 적극 나서주면 좋겠다.


4차산업 성공은 ‘데이터와 클라우드 활용여부’가 관건
김종순
새로운 서비스가 들어왔을 때 가장 문제가 되는 게 규제. 규제를 개선하려고 노력을 하고 있고 그게 산업을 발전시킬 수 있다. 특히 중소기업들이 서비스를 하려고 할 때 가장 걸림돌이 되는 것이 기존의 규제를 넘는 것. 대기업은 규제를 넘기가 쉽다. 그런데 중소기업들은 내부 인원도 부족하고 역량도 적어 힘들다. 보안 측면에서도 해당 부서와 계속 얘기하고 있고, 조달 구매에 대해서도 공공기관과 국가기관의 특성까지 고려해서 개선해 나가겠다.

국가기관도 곧 클라우드를 도입할 것이다. 그런데 아직 클라우드를 도입한 부분에서 업무와 관련된 부분은 50%가 되지 않는다. 업무 이외 부분에서는 클라우드를 도입할 수 있음에도 불구하고 클라우드의 특성, 가령 책임이라든가, 그런 부분에서 도입을 꺼리는 게 있다. 그런 부분들을 개선해나갈 수 있도록 하겠다.

이영로
오늘 잘 왔다는 생각이 든다. 새로운 서비스가 도입되려면 기존의 생태계에 속한 사람들의 반대에 부딪힐 수밖에 없다. 클라우드도 그런 과정의 하나를 겪고 있다. 그런 사람들을 비난하기보다는 객관적인 데이터를 갖고 설득해야 한다. 클라우드 서비스를 막으려고 하는 사람은 없다.

문제는 자기 역할이 보안인 사람들은 문턱을 높이려고 하고 있고, 기업은 낮추려고 한다. KISA 같은 경우 CSA같은 국제 기준을 따르고, ISO 27000번 대 기준을 따른다. 그런데 중소기업 입장에서는 지금 당장 직원들 월급 주기도 바쁜데 그것까지 언제 다 하겠는가. 이런 관계에서 오해가 많이 생긴다.

KISA나 공공에서 막으려고 하는 것은 아니다. 그들을 최대한 설득하는 과정도 필요하다. 대구시에서 클라우드를 반대한다. 대구시에서 데이터 센터를 유치하면 대구 세입이 늘어나고 대구 시민들의 고용도 창출된다. 내가 대구에 살면 그럴 수도 있겠구나 하는 생각이 들더라. 조달청과 KISA도 제각각 어려운 사정이 있다. 이런 자리를 더 많이 만들어서 서로 의견을 나눌 수 있기를 바란다.

김용석
클라우드 서비스 활성화가 안 되는 이유 가운데 하나가 적은 예산일 것이다. 공공에서 예산을 남기지 말고 다 써 주면 좋겠다. 그래야만 서비스 품질도 좋아지고, 산업도 활성화 된다. 기본적으로 클라우드라는 것은 개방, 협력, 공유가 기본 개념이자 철학이다. 정부는 기존 방식인 통합전산센터를 통해 서비스를 추진하고 있다. 그러나 그것은 기존의 소유와 구매 방식과 같은 방식이다. 이는 클라우드 서비스의 기본 개념과 전면 배치되는 방식이다. 이를 클라우드 서비스 방식으로 바꾼다면 예산절감은 물론 산업도 크게 활성화될 것이다. 4차 산업혁명의 성공여부는 데이터와 클라우드를 어떻게 활용하느냐에 달려 있다. 성공을 위해 더 많은 의견을 나누어야 할 것이다.

“SaaS 보안인증, 클라우드 활성화 걸림돌은 아니다”
클라우드 활성화 걸림돌로 지적된 KISA의 답변

이번 ‘클라우드 서비스 유통 활성화 방안’ 좌담회에서는 ▲공공기관 담당자들의 클라우드 서비스에 대한 인식 부족 ▲까다로운 보안인증과 오랜 인증 기간 ▲클라우드 서비스 조달 방식 등의 문제가 클라우드 활성화에 있어 걸림돌로 지적됐다. 이에 본지는 한국인터넷진흥원(KISA)에 ‘클라우드 보안 인증 제도’에 대한 정확한 내용을 파악하기 위해 몇 가지 내용을 질문했고, KISA는 이에 대한 답을 보내왔다. 그 내용을 그대로 전달한다.


1. SaaS 시행 이후 보안인증을 신청한 기업은 몇 군데고, 인증을 받은 기업은 어디인가?

SaaS 인증은 7월부터 정식 시행되고 있다. 현재는 사업자 평가 및 인증 부여가 진행 중이다. 최근(20일) 네이버 비즈니스 플랫폼에서 ‘웹 시큐리티 체커’, ‘시스템 시큐리티 체커’ 등 2종의 SaaS에 인증이 부여됐다. 현재 인증 신청 건수는 없으며, 신청을 위해 IaaS에 시험 구축하고 있는 사업자가 4개 정도다. 실제 신청을 이어질지는 아직 미지수다. 공공존에 들어갈 때 인증을 요구하는 것은 맞지만, 인증 신청을 위해 임시로 올릴 수 있도록 진행하고 있다. 한 기업이 지적했던 공문 이야기는 잘못 알고 있는 것으로 생각된다. 이미 임시로 올려 추진하고 있는 기업이 있기 때문에 반증이 됐다고 생각한다.


2. 인증보안 신청 시 소요되는 기간은 얼마나 되고, 인증심사 대상자는 어디인가.

클라우드 서비스 보안인증 평가는 신청부터 발급까지 총 3~9개월 소요된다. IaaS 인증 심사 중 평가 기간은 예비점검 3~5일 ? 서면/현장평가 5~7일 ? 취약점 점검 7~10일 ? 모의침투테스트 10일로 최장 1개월 정도 소요된다. SaaS 인증의 평가기간은 예비점검 3~5일 ? 서면/현장평가·취약점 점검(동시)7~10일 ? 모의침투테스트 10일로 최장 25일이 소요될 것으로 예상된다.

인증심사 대상자는 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 20조에 따라 공공기관의 업무를 위해 클라우드 서비스를 제공하려는 자다. 더불어 동법 시행령 2조에 따라 클라우드 컴퓨팅 기술을 이용해 정보시스템의 인프라, 응용 프로그램, 개발환경 중 하나 이상을 제공하는 클라우드 서비스가 평가대상에 해당된다. 현재 PaaS는 인증 수요가 적어 평가대상에서 제외되며 향후 수요 증가 시 시행을 검토할 예정이다.

SaaS 서비스의 경우 기본적으로 클라우드 보안 인증을 받은 IaaS 환경에서 구축돼야 하며, 망분리 규정에 따라 외부망에서 이용할 수 있는 서비스도 보안인증의 평가대상에 속한다. 신청기관은 도입인증 요건을 만족시킨 정보보호 제품의 보안기능을 활용해 서비스를 구축해야 하며, 평가기관은 보안 기능을 제외한 나머지를 평가한다.


3. 인증으로 인해 클라우드 서비스 활성화가 안 된다는 지적인데, 왜 이런 지적이 나오는가.

이런 문제 제기에 관해서는 주관적인 요소가 있는 것으로 보인다. 인증 취득 기준은 모든 기업에게 동일하며, 인증에 대한 준비 여부에 따라 기업들이 상대적으로 느낄 것으로 생각된다.

가이드라인이 없다는 주장에 대해서는 이미 몇 차례 설명회를 개최한 바 있으며, 홈페이지를 통해 안내서를 제공하고 있어 참고하면 된다. 안내서 내용이 어렵다고 한다면, 우리 담당팀에서 안내해주고 있다.


4. IaaS 사업자와 협력해야만 통과(IaaS, SaaS 평가기준 중복 등)할 수 있는 항목이 있다는 문제가 제기되고 있다.

이런 부분에 대해서는 기업의 정확한 피드백이 있으면 개선에 도움이 될 것 같다. 아직 제도 시행이 초기인 만큼 지속적인 관심과 의견을 주면 제도 개선을 위해 노력해 나가겠다.


5. 클라우드 보안 인증 운영은 어떻게 되고 있는가.

현재 클라우드 보안 인증 담당 팀은 11명으로 구성돼 있다. SaaS, IaaS 인증팀을 따로 구분하고 있진 않다.

 

여백
컴퓨터월드 추천기업 솔루션
인기기사 순위
IT Daily 추천기업 솔루션
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL: 02-2039-6160  FAX: 02-2039-6163   사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오