‘디플정TF’, 진정한 민간 클라우드 우선 방향 설정해야…IDC 운영기업 전락 위기 ‘CSP’
윤영찬 의원 “클라우드는 단순한 물리적 인프라가 아닌 SW이자 서비스로 접근해야”

[컴퓨터월드] 최근 행정안전부의 ‘행정·공공기관 대상 정보시스템 클라우드 전환사업(이하 전환사업)’ 방향을 두고 국내 클라우드 기업과 행정안전부가 첨예하게 대립하고 있다. 행정안전부는 기업들의 요구사항을 반영하는 듯 12가지 클라우드 활용모델을 제시했지만, 업계는 12가지 방안 중 9가지가 기존 통합센터 구축 방식이며, 남은 3가지 방안마저도 후순위에 있다고 주장하며 하석상대(下石上臺) 식의 방향이라고 지적한다.

업계에서는 “공공 시장을 겨냥해 최소 수십억 원, 많게는 수백억 원을 투자해온 CSP들은 IDC 운영기업으로 전락할 것”, “국내 클라우드 산업은 외국 기업에 종속될 것”, “행안부의 클라우드 사업으로는 새 정부에서 그리는 ‘디지털플랫폼 정부’를 구현할 수 없을 것”이라며 비판과 우려를 쏟아내고 있다. 공공 클라우드 산업을 두고 업계와 행정안전부의 충돌 상황을 짚어본다.


행정안전부의 민간 클라우드 활용모델, ‘포장’에 불과

“행정안전부가 제시한 ‘전환사업’의 12가지 클라우드 활용모델은 애매하기는 하지만 겉으로 보기에는 민간 기업의 클라우드 서비스가 핵심인 듯하다. 하지만 자세히 들여다보면 12가지 내용 중 마지막 10번, 11번, 12번을 제외하고는 센터를 구축하거나, 인프라만 제공하는 형태로 이뤄졌다.”

 행안부가 제시한 ‘12가지 클라우드 활용모델’. 1~12번 중 순수한 민간 클라우드 서비스 활용모델은 하위 10, 11, 12번에 위치해있다.
행안부가 제시한 ‘12가지 클라우드 활용모델’. 1~12번 중 순수한 민간 클라우드 서비스 활용모델은 하위 10, 11, 12번에 위치해있다.

행정안전부의 ‘전환사업’을 두고 국내 한 클라우드 기업의 관계자가 한 말이다. 행정안전부가 제시한 12가지 클라우드 활용모델은 △민간 위탁형 △다수 민간 위탁형 △혼합 민간 위탁형 △민간 주도형 △다수 민간 주도형 △혼합 민간 주도형 △민간 구축형 △다수 민간 구축형 △혼합 민간 구축형 △민관 공유형(하이브리드 클라우드) △민간 이용형(CSAP 존) △다수 민간 이용형(멀티 클라우드)으로 구분된다.

해당 모델의 자세히 들여다보면, 먼저 ‘민간 위탁형’은 기관이 CSP가 제공하는 서버, 스토리지, 네트워크 등 클라우드 인프라를 도입하는 방식이다. ‘다수 민간 위탁형’과 ‘혼합 민간 위탁형’은 ‘다수’, ‘혼합’이라는 수식어만 각각 붙었을 뿐, 복수의 CSP가 인프라 장비를 제공하거나, CSP가 제공한 인프라와 기존 기관의 온프레미스를 연계하는 방식일 뿐이다. ‘민간 주도형’은 기관이 토지와 건물을 제공하고, CSP가 설비, 인프라를 제공‧운영하는 방식이다.

위와 마찬가지로 ‘다수’, ‘혼합’이 붙어 복수의 사업자가 제공하거나 기존 온프레미스 환경을 연계하는 방식으로 ‘다수 민간 주도형’, ‘혼합 민간 주도형’이 마련됐다. ‘민간 구축형’의 경우 기관과의 협약에 의해 CSP가 클라우드 인프라를 제공, 운영하는 방식이다. 역시 ‘다수’, ‘혼합’이 붙었다.

다음으로 민관 공유형(하이브리드)은 기관이 운영하는 온프레미스를 CSP의 클라우드 서비스와 연계하고 이용하는 방식이다. 별도의 장비를 제공하거나, 설비 등이 필요하지 않다. ‘민간 이용형’은 CSP의 클라우드 서비스를 이용하는 순수한 민간 클라우드 이용 방식이다. ‘다수 민간 이용형’은 기관이 복수의 CSP의 클라우드 서비스를 이용하는 방식이다. 대략 민간 클라우드 서비스가 제대로 활용되는 모델은 하위 3가지인 셈이다.

사실 지금까지 나열한 12가지 모델 중 상위 1번부터 9번 등의 항목을 명확하게 구분할 수 있는 사람은 활용모델을 제시한 관계자를 제외하면 없다. 실제 대다수의 클라우드 기업 관계자 역시 각 항목을 명확히 구분하지 못하고 있다. 대표적인 예로 ‘민간 위탁형’은 기관이 랙이나 컨테이너 형태의 민간 클라우드 인프라를 도입하고 CSP에게 운영을 위탁하는 방식이지만, ‘민간 주도형’과의 차별점은 ‘공간’, ‘협약’, ‘설비/인프라’라는 단어가 추가된 것이다.

위탁형에서 제시하는 ‘기관이 랙이나 컨테이너 형태의 민간 클라우드 인프라를 도입한다’는 의미가 주도형에서 제시하는 “기관이 공간(토지/건물)을 제공하고 CSP는 협약(클라우드 수요)에 따라 설비/인프라를 제공한다”라는 뜻과 어떠한 차이가 있을까. 같은 뜻을 가진 문장을 다르게 표현한 것으로 해석될 수도 있다.

‘협약(클라우드 수요)’이라는 말이 붙었는데, 이를 자세히 보면 ‘민간 위탁형’을 선택할 때 기관의 수요에 맞추지 않고 클라우드 인프라 장비를 도입하겠다는 의미고, ‘구축형’을 선택하면 수요에 맞춰 도입하겠다는 의미로 해석된다. 또 ‘민간 클라우드 인프라’와 ‘설비/인프라’에 대한 명확한 개념도 없는 상태다.

그동안 이 사업에 관심을 갖고 지켜본 한 기업의 관계자는 “활용모델의 표현이 매우 애매하다. 1번부터 9번까지 사업 모델을 해석하기 위해 전사적으로 노력도 해봤지만 어려웠다. 풀이해본 결과를 식당에 비유해 본다면, 한 중식당에서 고객들에게 질 좋은 음식을 대접하기 위해 수십 종류의 음식을 개발했고, 식당의 위치도 상권을 분석한 후 설정했다. 정부에서 식당의 음식을 사겠다고 해 꾸준히 음식을 개발했지만, 짬뽕에 사용되는 밀가루, 해산물, 정육 등 재료만 판매하라는 것과 같고 좋은 상권을 분석해서 마련한 위치도 대뜸 유동 인구가 없는 지역에 식당을 열라고 주장하는 것과 같다”면서, “지역에 작은 IDC를 만들고 서버나 장비를 납품하는 기업들을 고려한 것인지 모르겠지만, 클라우드를 구매하는 방식에서 인프라 공급만을 주문한다면 환영할 사업자가 있을지 의문”이라고 말했다.

이어 그는 “행안부가 설령 서버나 장비를 납품하는 기업을 고려했다고 가정하더라도, 정부의 전기차 추진 정책과 방향성을 비슷하게 맞춰야 한다. 정부는 전기차가 자동차의 미래라고 판단하고, 전기차 보조금부터 세금 감면까지 다양한 혜택을 주고 있다. 주유소나 정비소 등 기존 내연기관과 연관된 생태계가 크고 강력함에도 전기차에 무게를 두고 있다”면서, “클라우드도 마찬가지다. 정부가 과거 거대한 IDC 생태계를 고수하고, 디지털 혁신의 그릇인 클라우드를 받아들이지 못한다면, 데이터 경제 활성화 및 AI 활용을 통한 디지털 강국은 꿈도 꾸지 말아야 한다”고 덧붙였다.

또다른 기업의 관계자 역시 “행안부의 모델은 겉보기엔 ‘민간 클라우드를 이용한다’, ‘민간 클라우드 인프라를 도입한다’와 같이 민간 클라우드 이용을 강조하고 있다. 하지만 이 모든 모델을 구분하는 최우선 메트릭(분류 기준)은 토지/건물, ‘설비/인프라’다. 주로 ‘구축’과 관련된 개념”이라면서, “행정안전부의 12가지 모델 중 상위 9가지는 ‘주도’, ‘공유’, ‘이용’ 등 ‘민간 클라우드’가 줄 수 있는 이미지로 포장돼있다. 결국은 앞서 행안부가 추진하던 공공 클라우드 센터를 애매한 표현으로 치환한 것이고 기업들이 불만을 쏟으니 표현을 애매하게 바꾸고 경우의 수만 늘린 장난”이라고 꼬집었다.

문제는 이뿐만이 아니다. 이 관계자는 “더군다나 12가지 활용모델 목록도 주목도가 높은 상위 1번부터 9번까지는 모두 과거의 공공 클라우드 센터를 포장한 모델이고, 하위 10번부터 12번까지 민간 클라우드 활용을 배치했다”면서, “일반적인 사람이라면 목록 상단부터 중요하다고 생각할 것이다. 과연 누가 하단에 있는 민간 클라우드 활용모델을 중요하다고 판단할지 모르겠다”고 말했다.

이어 그는 한 가지 업계에 떠도는 소문도 언급했다. 그는 “12가지 활용모델 중 1번의 경우 과거 공공 클라우드 센터 구축에 적극적으로 참여 의사를 밝힌 한 기업이 제시한 모델이다. 범국가의 클라우드 전환 방향을 결정하는 모델에서 사기업이 제시한 모델을 가장 우선순위로 배치하는 경우는 전 세계 어느 곳에도 없을 것”이라고 강하게 비판했다.


민간 활용 46%는 시스템 총량 기준…업계 “클라우드 핵심은 VM 사용량”

행정안전부는 ‘전환사업’에 대한 이같은 비판이 이어지자 전체 10,009개의 시스템 중 46%를 민간 클라우드로 전환하겠다고 주장했다. 하지만 이 역시 업계에서는 문제가 있다는 주장이다.

한 관계자는 “행정안전부는 민간 기업들이 지속적으로 불만을 제기하자 민간 클라우드 활용률을 46%로 올리겠다고 주장했다. 하지만 자세히 파헤쳐보면, 진짜 전환율은 10~15% 내외가 될 것”이라면서, “시스템 개수가 아닌 시스템이 구동되는 가상머신(VM)의 대수를 기준으로 전환율을 재정의해야 한다”고 지적했다.

 행정안전부가 제시한 5개년 정보시스템 전환 목표
행정안전부가 제시한 5개년 정보시스템 전환 목표

행정안전부는 2025년까지 공공 정보시스템 10,009개 가운데 46%인 4,552개의 시스템을 민간 클라우드로 전환하겠다고 발표했다. 하지만 행정안전부는 전환율의 기준을 시스템의 개수로 정했다. VM 1대가 돌아가는 시스템 1개와 VM 50대가 돌아가는 시스템 1개가 모두 시스템 1개로 산정된다는 얘기다.

한 SI 기업의 클라우드 담당 관계자는 이에 대해 “행정안전부의 이 같은 산정 방식은 클라우드에 대한 이해도가 현저히 떨어진다는 것을 보여준다. 클라우드의 핵심은 VM이다. 행정안전부는 시스템을 작동하기 위해 얼마나 많은 VM이 사용되는지에 따라 비용이 산정되는 클라우드를 이해하지 못하고 있다”면서, “행정안전부가 이같은 상황을 알고도 이러한 조치를 취했다면 그럴만한 이유가 있었을 것”이라며 의심의 눈초리를 보냈다.

이러한 주장에 CSP 기업의 관계자도 공감했다. CSP의 한 관계자는 “단순히 이관되는 시스템 개수로만 놓고 보면 46% 달성은 정말 쉬운 일이다. 전자결재 시스템을 예로 들면 시스템 1개가 VM 5개로 구성됐을 수 있다. 하지만 만약 민간 클라우드를 사용하지 않겠다고 하는 54%의 시스템 중 내부회계 시스템의 경우 필요한 VM 숫자는 50대가 넘을 것”이라며, “시스템 개수로 46%는 많은 것이지만, VM 대수로 보면 46%는 실제 민간 클라우드 활용률은 10~15% 수준일 것이다. 업계에 떠도는 소문으로는 행정안전부는 부처, 기관, 공단의 홈페이지, 소개페이지, 임시페이지까지 모두 모아 46%라고 주장하고 있는 것으로 알려진다”고 말했다.

물론 행정안전부는 기존 10,009개의 정보시스템이 클라우드로 옮겨졌을 때 필요한 VM의 개수를 예측하지 못했기에 전환 총량을 기준으로 했다고 주장할 수 있다. 하지만 진정 민간 클라우드 활용률을 높이겠다는 의지가 있다면 클라우드 전환 대상 전체 시스템을 조사하면서 취합된 시스템 요구 스펙 등 정산된 자료를 기반으로 민간 클라우드 VM 사용 대수를 늘리겠다고 주장했어야 한다.


“폐쇄형 보안 규격을 제시하라”

행정안전부는 ‘클라우드 활용모델’에 대한 이같은 지적에 대해 해외의 사례를 들고 있다. 행정안전부 측은 “해외에서는 미국 중앙정보국(CIA) C2S·C2E 모델이 대표적인 클라우드 활용모델로 거론된다”면서, “CIA는 아마존웹서비스(AWS)가 구축한 클라우드를 전용 클라우드로 이용하는 모델(C2S), AWS·MS·구글·오라클·IBM 등은 멀티 클라우드를 이용하고 CIA 포함 17개 기관은 이용료를 지불하는 모델(C2E)을 각각 이용하고 있다. NHN과 전라남도의 모델도 이와 같다. NHN은 전라남도가 건립하고 있는 공공 클라우드 센터에 전용 클라우드 인프라를 구축·운영하고 전라남도는 이용료를 지불하는 형태”라고 주장한다.

 행정안전부가 제시한 활용 모델
행정안전부가 제시한 활용 모델

하지만 클라우드 업계에서는 행정안전부의 이같은 주장에 대해 이번 전환사업과는 궤가 다른 것으로 판단하고 있다. 한 클라우드 기업의 담당자는 “행정안전부가 주장하는 사업 방향과 미국의 사례는 엄연히 다르다. 미국은 정부가 주도하지 않았고, 보안에 대한 규격만 만든 것이다. 보안 등급을 구분하며 각 등급을 충족하기 위한 폐쇄망 규격을 마련하고 이를 따른다면 CIA에서 사용되는 핵심 시스템도 도입해준다는 의미였다”면서, “우리는 미국과 달리 행정안전부가 예산을 내려줄 테니, 따라오라는 식이다. 무작정 행정안전부의 구축형 모델을 비판하는 것이 아니다. 미 연방정부 클라우드 보안인증 제도인 ‘페드램프(FedRAMP)’나 미 국방성(DoD, Defense of Department)이 마련한 ‘클라우드 컴퓨팅 보안 요구사항 가이드(SRG, Security Requirements Guide)’와 같이 정부가 규격을 구체적으로 제시하고 핵심 시스템까지도 옮길 의지를 보인다면 따를 것”이라고 꼬집었다.

‘페드램프’는 안전·신뢰성이 보증된 민간 클라우드 서비스를 정부 기관이 도입하기 위한 인증제도로 통제항목의 보안 수준에 따라 로우(Low), 모더레이트(Moderate) 등급으로 분류된다.

아울러 학계 A 교수는 “DoD의 ‘SRG’의 최상위 레벨은 기밀 데이터 중에서도 보안성이 가장 높은 데이터와 시스템을 구축형 클라우드에서 저장하고 구동할 수 있는 정도의 보안 수준을 갖췄다”면서, “정부는 CSAP 보안인증을 ‘SRG’ 혹은 ‘페드램프’와 같이 세분화한 후 CSP에게 최상위 등급을 취득하면 기밀 데이터가 담긴 시스템도 구축형 클라우드로 옮길 수 있도록 보장해야 한다. ‘SRG’와 ‘페드램프’의 최상위 등급을 취득하기 위해선 웬만한 보안 투자로는 힘들다. 이를 CSP들이 충족한다면 핵심 시스템도 넘기겠다는 확신을 줘야 한다”고 주장했다.

이 같은 A교수의 주장에 클라우드 기업의 한 관계자도 공감했다. 그는 “행정안전부, 국가정보원, 국가보안연구소 등에서 ‘SRG’, ‘페드램프’와 같이 CSAP 인증 등급을 세분화하고 이를 충족할 경우 안보, 수사, 법령 등 핵심 시스템을 옮길 수 있도록 제도적으로 뒷받침해준다면 얼마든지 투자할 것이다. 하지만 지금과 같이 무작정 폐쇄망을 구축하고, 전산실 2개층이면 충분한 특정 지역의 컴퓨팅 자원만을 위해 IDC를 짓고, 운영하라고 한다면 받아들일 수 없다”면서, “현재 알려진 바에 따르면, 한 기업이 강력하게 주장하는 도심형 IDC의 경우 주차장 내 몇 개 층을 전산실로 꾸미는 정도다. 실제로 도심형 IDC가 판교 한 주차장에 있는 것으로 알고 있다. 이렇게 분산형 IDC를 짓게 되면 시스템 간 호환성은 물론 기술적, 환경적 이슈에 대응하기에 힘들다”고 설명했다.


CSP 공공 고객 이탈…IDC 운영기업으로 전락 우려

현재 행정안전부의 이 같은 센터 구축 방향이 가시화되자, CSP의 공공기관 고객들이 이탈하려는 움직임이 포착되고 있다. 실제로 국내 대표 3개 CSP 중에는 벌써 지역에 센터가 구축된다면 센터로 들어가겠다는 공공기관이 속속 나타나고 있다. 이 중 1곳의 CSP 관계자는 “사실 공공기관이 정부에서 운영하는 센터로 시스템을 옮기면 보안성 검토, 예산 작업 등 번거로운 작업이 사라진다”면서, “지역에 센터가 구축되면 물리적 보안(공공존) 등에 비용과 시간을 투자한 CSP들의 노력은 모두 물거품이 될 것”이라고 우려했다.

또 다른 관계자는 “부처 산하 원이나, 청에서는 첫해 비용 지원과 향후 정보화 사업 예산 확보를 위해 적극적으로 지역 센터로 들어가려고 한다. 이 외에도 많은 공공기관이 반기는 듯한 분위기가 감지된다”고 말했다.

실제로 국내 클라우드 기업들이 CSAP 보안인증을 받기 위해 물리적·기술적인 보안에 투자한 금액은 소규모 기업의 경우 수십억 원, 규모가 있는 기업의 경우 수백~수천억 원에 달하는 것으로 알려진다.

한 관계자는 “공공기관들이 지역 센터로 이동할 낌새가 보인다. 여기에는 기존 고시가 개정되면서 덩달아 바뀐 책임소재도 크게 작용한 것으로 예상된다”며, “과거에는 센터에서 사고가 날 경우 센터의 장이, 민간 클라우드를 쓰면 공공기관의 장이 책임을 져야 했다. 하지만 개정되면서 양측 모두 공공기관의 장의 책임으로 돌렸다. 책임소재를 통일한 것은 환영할만한 일이지만 같은 사고가 나더라고 정부 산하 센터의 경우 문제를 조금이라도 더 쉽게 해결할 수 있을 것이라는 시각이 있다”고 주장했다. 공공기관의 장에게 책임을 돌리는 것이 아닌 기업에 책임을 돌려야 한다는 것이 이 관계자의 주장이다.

이어 그는 “민간 클라우드를 사용하는 공공기관은 국가정보원에서 수행하는 보안성 검토를 받아야 한다. 하지만 국가정보자원관리원의 센터와 같은 IDC를 활용한다면 자연스레 보안성 검사를 통과한다. 공공 산업에서 민간 클라우드를 활성화하기 위해선 이 같은 관성적인 절차가 사라져야 한다”면서, “실제 민간 클라우드의 보안성과 정부 산하 센터의 보안성을 비교해본다면, 민간 클라우드의 보안성이 공공 센터에 절대 뒤처지지 않는다. 규모가 있는 CSP의 경우 수백억 원에서 수천억 원을 보안에 투자했다. 과연 하청 형식의 센터 보안과 막대한 금액이 투입된 기업의 보안 중 어느 곳이 보안성이 높을지는 쉽게 알 수 있다”고 덧붙였다.

업계에서는 CSAP 인증에 대해서도 지적한다. 현재 업계에서는 행정안전부가 강조하고 있는 ‘공공기관이 토지, 건물, 공간을 제공하고 CSP가 인프라를 설치하는 방식의 민관협력 모델’은 물리적 공간 분리와 보안 장비에 대한 부분에 역점을 둔 CSAP 보안인증을 정부 스스로 희석하는 것이라고 주장한다.

기업들은 CSAP 보안인증을 획득하기 위해 IDC 내에 공공기관만을 위한 물리적 공간을 별도로 두고 있다. 하지만 공간을 비롯한 물리적인 보안에 대한 인증 없이 공공기관과 협력한다는 이유 하나로 CSAP 보안인증과 같은 수준을 인정 받는다는 것은 불합리 하다는 것.

한 관계자는 “공공기관이 건물을 제공하고 CSP가 클라우드 인프라를 공급하는 방식이라면 이 역시도 새롭게 CSAP 인증을 개별적으로 받아야 한다. 민관협력형이 CSAP 인증을 받지 않아도 된다면, CSAP 인증의 가치도 없어지게 될 것이다. 하나하나 보안인증을 받는 것보다 지역에 작은 전산실만 몇 개 층 짓는 것이 쉬울 것”이라면서, “수년간 막대한 비용을 토대로 통일된 보안 체계를 고도화하는 기업들의 보안성과 새롭게 짓는 센터의 보안성을 비교해보면 당연하게도 민간 클라우드의 보안이 구축 센터가 보다 보안성이 높을 것”이라고 주장했다.

한편, 공공기관 고객이 이탈할 것으로 예상되는 가운데 공공 시장에 외국 기업들도 참여할 환경이 조성되면서 국내 클라우드 기업들의 근심이 늘고 있다. 한 관계자는 “행정안전부가 고시를 일부 수정하면서 해외 사업자가 참여할 수 있는 여지를 만들었다고 본다. 실제 ‘디지털플랫폼 정부TF’에서는 망분리에 대한 요건을 약화하기 시작했다”면서, “외국 CSP들이 국내 공공 시장에 들어오게 될 것이다. 이에 국내 기업들은 살아남기 위해 어쩔 수 없이 구축형 사업을 추진할 것이고, 서비스 혁신을 위한 기술 투자도 줄어들게 될 것이다. 향후 국내 기업들은 결국 클라우드 서비스 제공사가 아닌 데이터센터 설립, 운영 전문기업으로 전락하게 될 것”이라고 설명했다.

지난 2018년 미국에서는 ‘클라우드 액트’라는 법이 통과됐다. 이 법의 핵심은 미 정부가 이슈에 대해 정보를 확인해야 할 경우 해외에 위치한 물리적인 서버에 대한 열람, 접근이 가능하다는 점이다. 만일 공공기관이 미국 CSP의 서비스를 사용하고 있다가 통상 이슈, 북한 이슈가 발생하면 언제든 국내 정보를 열람할 수 있다는 의미이다.

국내 클라우드 기업들은 해외 CSP들의 공공 시장 진출과 관련해 2가지 비관적인 전망을 내놓고 있다. 하나는 조금씩 해외 CSP의 클라우드 서비스 공급이 확대되면서 국내 공공 시장이 어느 순간 해외 CSP 서비스의 독무대가 될 것이라는 우려다. 또 다른 전망으로는 오히려 해외 CSP들이 조금씩 공공 고객을 확보하지만, 행정안전부의 제동에 막히게 될 것이라는 전망이다. 하지만 이 역시 국내 CSP에게는 절망적이다. 행정안전부의 제동에 막힐 경우, 오히려 지역에 통합전산센터와 같은 대형 데이터센터를 대거 지을 수 있는 명분이 줄 수 있다는 것이다.

현재 해외 특히 유럽에서는 해외 CSP로부터 벗어나 데이터 주권을 회복하겠다는 목표로 ‘가이아X 프로젝트’를 통해 호환성 표준을 만들고 있다. 이를 위해선 CSP가 반드시 필요하다. 서비스형 인프라(IaaS)가 빅데이터를 공유하고 저장하고 분석하고 활용할 수 있는 기본이 되기 때문이다. 이처럼 CSP의 역할이 중요하다는 사실을 알고 프랑스의 OVH클라우드(CEO 옥타브 클라바), 독일의 도이치텔레콤 자회사 T-시스템즈(CEO 아델 알 살레) 등 대표적인 유럽 CSP 2곳에 여러 유럽국가들이 국경을 뛰어넘어 투자하고 있다.

다만 프랑스의 OVH클라우드는 지난해 3월 IDC에 화재가 발생해 5층 규모 IDC 4개 중 1개가 전소했고, 일부 데이터가 소실된 것으로 알려진다.

우리나라에도 KT클라우드, 네이버클라우드, NHN클라우드, 카카오엔터프라이즈, 가비아 등 독자 기술을 확보하며 중견기업으로 성장한 내로라 하는 CSP들이 있다. 하지만 공공시장을 제외하고 현재 이들이 설자리는 없다고 봐야 한다. 민간 시장을 이미 외국 CSP 들이 장악하고 있기 때문이다. 실제 최근 조사 결과에 따르면 민간 시장의 50% 이상을 AWS가 차지하고 있고 MS와 구글이 나머지 대부분을 차지하고 있는 것으로 나타났다. 현재로서는 국내 CSP가 성장할 수 있는 자생력과 경쟁력을 기를 수 있는 시장은 오직 공공 시장뿐이라는 얘기다.


NIA, 민간 클라우드 이용 요금 인하 압박

행정안전부의 전환사업을 두고 많은 지적이 오가는 가운데 비용에 대해서도 사업자들의 불만이 나오고 있다. 이 사업을 지원하는 한국지능정보사회진흥원(NIA)에서 민간 클라우드의 서비스 요금을 줄이라는 압박도 있었던 것으로 알려진다.

전환사업의 경우 사업 첫해에는 클라우드 인프라로 전환하는 과정에서 많은 부가 작업이 동반된다. 이런 이유로 사업 첫해에 비용이 높게 책정되는 경우가 있다. 사업에 참여한 기업들은 한국지능정보사회진흥원이 이런 사업 특성을 고려하지 않고 예산을 줄이라는 압박을 가하고 있다며 불만을 나타내고 있다.

2년차 사업 직계약의 경우 대부분 MSP를 필두로 계약을 추진하게 된다. MSP가 공공기관과 계약한 후 사용 요금을 CSP에게 지불하고, CSP는 다시 MSP에게 수수료를 제공하는 방식이다. 가령, 기관으로부터 MSP가 100만 원을 받게 될 경우, MSP는 CSP에게 100만 원을 지불한다. 이후 CSP가 다시금 MSP에게 수수료(10% 기준) 10만 원을 제공하는 방식이다. MSP를 필두로 직계약이 이뤄진다는 점은 곧 저렴한 CSP를 찾게 된다는 점을 의미하며, CSP의 서비스 가격이 강조되는 부분이다.

업계에 알려진 바로는 전환사업은 전환 사업자(마더)가 제안한 사업비 내에서 클라우드 이관 비용과 CSP 서비스 임차료를 지불하는 방식인데, 이관 비용은 유지하되 CSP 서비스 임차료를 줄이라는 얘기다. 몇몇 기업 관계자들은 “이유를 NIA 측에 문의해봤지만 답을 들을 수 없었다”고 전했다.

아울러 NIA는 각 공공기관이 사용한 클라우드 사용료 견적도 모두 확인하는 것으로 나타났다. CSP가 공공기관의 서비스 사용 요금 견적서를 제출하게 되면, 공공기관은 NIA에게 견적서를 보냈다고 한다. 한 CSP 관계자는 “NIA에서 타 CSP의 요금 견적서를 모두 확인한 후 설계 사업자에게 보내는 것으로 알려졌다. 이는 곧 이해관계에 있는 CSP에게 공유하게 될 수도 있는 결과로 이어지고 결국 해당 CSP가 아닐 경우 가격 경쟁력에서 밀리게 된다”고 설명했다.

이어 그는 “최근 NIA 측에서 각 CSP 영업 대표들의 연락처를 수집한 후 기관에 일괄 제공한 것으로 알고 있다. 기관들은 CSP 선정 과정에서 투명성을 확보하기 위해 CSP에게 견적서를 요구해야 하는데, NIA가 공공기관의 CSP 선정 통보 기간을 상당히 짧게 지정했다. 기관들은 이 같은 촉박한 일정을 맞춰야 하며, CSP들에게 견적서를 요구해오고 있다. 평균 1~2일이 소요되는 견적서 작성 작업을 수용하지 못하고 간단하게 숫자만 적어서 보낸 경우도 허다하다. 클라우드 비즈니스가 정체된 적도 있었다”고 덧붙였다.

물론 행정안전부와 NIA의 사업 지원단이 한정된 인원으로 빠른 시일 내 대량의 시스템을 전환해야 하는 데 어려움이 있다는 점은 이해할 수 있다. 하지만 대금 지불과 기업 경쟁력 비교, 선정 과정은 무엇보다 투명해야 한다. 기업이 가장 민감할 수밖에 없는 부분인 만큼 빠르면 5월 말, 늦으면 6월부터 진행될 사업에서는 CSP, 공공기관, MSP, SI 모두가 대금, 기업 경쟁력 비교, 선정 과정 등을 투명하게 확인할 수 있는 체계를 마련해야 할 것이다.


‘디지털플랫폼 정부’ 구현 역행

행정안전부가 주장하는 전환사업이 그대로 추진될 경우 대통령직인수위원회의 ‘디지털플랫폼 정부TF(이하 디플정TF)’가 추진하고 있는 디지털플랫폼 정부 구현 작업에 어려움이 따를 것이라는 주장도 제기되고 있다.

앞서 ‘디플정TF’는 디지털플랫폼 정부를 구현하기 위해 단계적 이행 로드맵 3단계를 마련했다. 먼저 기획 및 도입 단계에서는 디지털플랫폼 정부 특별법을 제정하고 민관협업 핵심 인프라를 구축한다. 이후 구축, 발전단계에서는 정보화 사업 방식을 자체 구축에서 서비스형 소프트웨어(SaaS) 도입으로 변환하게 된다. 마지막 단계는 디지털플랫폼 정부의 해외 수출과 고도화에 나선다는 계획이다.

하지만 클라우드 업계에서는 행정안전부의 ‘구축’에 초점이 맞춰진 형태로는 디지털플랫폼 정부를 구현할 수 없다고 주장하고 있다. 디플정의 기본 원칙인 ‘부처 간 칸막이 철폐, 디지털 플랫폼으로 하나의 정부 구현’, ‘공공 데이터 네거티브 원칙 하에 디지털 방식 전면 개방’, ‘AI 데이터 기반 정부 정책결정 과학화’, ‘데이터와 서비스의 민간 공유를 위한 개방형 표준 마련’ 등을 구현하기에는 어려움이 따를 것이라는 설명이다.

 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진 계획’에 대한 부정 척도
‘행정·공공기관 정보자원 클라우드 전환·통합 추진 계획’에 대한 부정 척도

새로운 정부가 추진하는 디지털플랫폼 정부를 구성하기 위해선 클라우드 기반의 고도화된 통합된 인프라가 요구된다. 가령 각 지역과 지방에 중소형 IDC가 각각 구축되고 그 IDC에 데이터가 축적될 경우 이를 공유하고 통합하기 위해선 엄청난 비용과 시간이 투입되는 네트워크 핵심 코어망이 필요할 것이다. 업계에서는 이를 충당할 수 있는 네트워크를 구현하기 위해선 상상을 초월하는 비용과 시간이 투입될 것이라고 주장한다.

이에 대해 한 기업의 기술 담당자는 “센터별로 광역 통신망이 확실하게 구축된다는 가정이 있다면, 공공 데이터 통합 등 디지털플랫폼 정부는 구현할 수 있을 것”이라면서, “하지만 비용이 엄청나게 들 것이며 지역 구축 센터 목적을 스스로 희석하는 것이다. 지역 구축 센터에 들어있는 시스템 및 데이터를 정보자원관리원에 있는 핵 망과 연계하겠다는 의미다. 공중의 핵 망으로 데이터를 통합하고 공유하겠다는 방식은 추진해서는 안되며, 불가능한 방안”이라고 지적했다.

이 외에도 디지털플랫폼 정부가 목표한 대로 구현되기 위해선 각 지역에 분산된 인프라 간의 상호 운용성 표준이 마련돼야 한다는 지적도 나온다. 상호 운용성 표준이란 쉽게 말해 어떠한 클라우드 환경에서든 시스템, 데이터의 이동이 자유로울 수 있도록 하나의 통로를 만드는 것으로 이해할 수 있다. 하지만 이 역시 쉬운 일이 아니다. 한 CSP 기업 관계자는 “만일 행정안전부의 ‘다수’가 붙은 민간 위탁형, 민간 구축형 등을 활용할 경우에는 상호 운용성 표준이 만들어져야 한다. 하지만 2016년 과학기술정보통신부는 이미 한 차례 TTA를 통해 검증해봤지만 이미 실패했다. 물론 컨테이너, 쿠버네티스가 활성화되지 않은 시점이었다”면서, “디지털플랫폼 정부를 구현하기 위해선 적어도 컨테이너, 쿠버네티스 등에 최적화된 민간 클라우드 사업자의 역할이 중요할 것”이라고 주장했다.

이어 그는 “과학기술정보통신부는 전환사업을 더 오랜 기간, 많은 예산을 투자해 시스템을 클라우드에 적합하게 바꾸는 아키텍처 작업을 한 후 클라우드 네이티브화 해야 한다고 주장하고 있다. 이 경우 클라우드 네이티브의 한 요소인 컨테이너 개념을 접목한다면 시스템, 데이터 간의 운용성 표준을 마련하는 것은 가능할 것”이라고 말했다.

‘디플정TF’는 6월 10일까지 활동할 예정이며, 아울러 5월 말경 클라우드 관련 큰 방향과 인프라 정책을 결정할 것으로 알려진다.

현재 국내 클라우드 산업은 성장기에 있다. 민간 클라우드 서비스가 공공 산업의 다양한 부분에 적용돼야만 디지털플랫폼 정부를 구현하는 것은 물론, 국내 클라우드 기업들이 외국 기업들과의 경쟁을 할 수 있는 자생력을 기를 수 있다. 국내 클라우드 산업이 더욱 성장할지, 아니면 제자리걸음을 걸을지, 또한 국내 클라우드 기업이 외국 업체와 경쟁할 수 있는 토대를 만들 수 있을지는 상당 부분 ‘디플정TF’에 좌우될 것이다. 클라우드 업계가 ‘디플정TF’의 결정 하나하나에 주목하는 이유다.

[특별 인터뷰] “정부 직영 클라우드 센터, 국내 클라우드 산업 발전 저해할 것”
윤영찬 더불어민주당 국회의원
윤영찬 더불어민주당 국회의원

Q. 클라우드 전환사업을 놓고 국내 클라우드 기업과 행정안전부가 충돌하고 있는데.
A. 지난해 국정감사를 통해 공공 클라우드 전환사업의 방향과 문제를 지적한 바 있다. 전 세계적으로 데이터가 새로운 가치를 창출하고 경제성장을 이끄는 동력으로 부상하면서 데이터 기반의 디지털 전환이 가속화되고 있다. 데이터·인공지능(AI) 생태계를 위한 디지털 혁신을 위해서는 클라우드가 매우 중요하다. 공공 클라우드 대전환 사업은 행정부처와 지자체, 공공기관 등 영역에서의 클라우드 이용을 촉진하고, 이와 함께 국가 클라우드 생태계를 조성하고자 하는 목표를 두고 있다.

하지만 구체적인 실행 방안을 살펴보면 클라우드 산업의 속성이 제대로 반영되지 못하고 있다. 비효율적인 행정력만 낭비하는 모양새로 가고 있다는 우려도 있다. 이에 정책의 방향성을 제대로 정립할 것을 지적했다. 이후 행안부에서 고시를 개정했으며, 이해관계가 있는 민간 사업자들의 의견을 수렴하는 절차를 거친 것으로 알고 있다.

Q. ‘통합관리기관’이라는 개념에 대해 어떻게 생각하고 있는가.
A. 통합관리기관이라는 용어가 가지는 모호성이 우려된다. 당초 행안부의 ‘행정기관 및 공공기관 정보자원 통합기준(행안부 고시 제2020-31호)’ 조항 자체가 민간 클라우드 이용을 제한하고, 정부가 운영하는 공공 클라우드를 선택할 수밖에 없도록 설계됐다고 봐도 무방하다. 민간 이용이 허용된 영역에 대해서도 민감정보 등이 포함되면 민간 클라우드 안전성을 재검토하도록 하고 있고, 공공부문(정부·지자체·공공기관)의 기관의 장이 공공과 민간 클라우드 가운데 어떠한 클라우드를 선택하냐에 따라 책임소재가 달라지는 것 등 민간 클라우드 전환을 간접적으로 막는 독소조항이 있어 이를 개선해야 한다고 요구했다.

하지만 개정된 고시에 새로 등장한 ‘통합관리기관’은 기존의 통합전산실을 연상하게 하는 문제가 있다. 결국 기존에 행안부가 설계한 공공 클라우드 센터(자원통합형) 구축의 방향에서 크게 달라지지 않았으며, 이는 민간 클라우드로 전환해야 하는 방향성에서 벗어난 것으로 판단된다.

Q. 행정안전부가 추진하고 있는 사업 방향성에 대해 어떻게 평가하고 있는가.
A. 행안부가 추진하는 방향은 단순히 서버만 클라우드 인프라로 그대로 바꾸는 방식(Lift and Shift)이라고 볼 수 있다. 이는 겉모습만 클라우드지 실상은 클라우드의 장점에 맞는 설계가 아니고, 혁신성이나 탄력성이 없는 레거시 방식 그대로다. 결국 혁신을 이끌 수 있는 클라우드 기반 데이터의 통합, 활용은 불가능하다.

또한 행안부는 클라우드 활용모델을 통해 민간 클라우드 전환률을 높이겠다고 하는데, 이는 시스템 통합(SI) 기업들이 HW 장비에 가상화 SW를 설치해 단순 임대하는 수준에 그친다. 이는 진정한 의미의 클라우드라고 할 수 없을뿐더러 각종 SW, HW 관련 기술과 제품에 대한 지속적인 업데이트 등이 미흡할 수밖에 없어 장기적인 클라우드 기술 발전을 담보할 수 없다.

데이터 중심 사회에서 클라우드는 인프라이자 SW이며, 서비스다. 하지만 행안부가 클라우드에 대해 가지고 있는 인식은 단순한 물리적 인프라 자원에 불과한 것은 아닌지 우려된다.

Q. 국내 CSP들은 고객 이탈을 고민하는데, 어떠한 대책이 필요하다고 생각하는가.
A. 국내 클라우드 서비스 제공사는 시간과 금액, 인력을 투자하여 공공존(ZONE)을 분리하고, CSAP 인증을 획득했다. 이러한 투자를 거친 후 공공기관에 클라우드 서비스를 제공하고 있다. 통합센터를 권역별로 설립하기보다 공공기관에서 민간 클라우드를 우선 도입할 수 있도록 ‘옵트-아웃(Opt-Out)’ 방식의 의사결정 체계를 수립해야 한다. ‘옵트-아웃’은 이메일을 보내는 것은 허용하되 받는 사람이 수신을 거부하면 이후에는 계속 보낼 수 없도록 한 제도다. 이를 사업에도 적용해 민간 클라우드를 사용하지 않을 경우, 사유를 소명하도록 하거나 민간 클라우드 서비스를 사용할 시에는 인센티브를 부여하는 등 정책적 뒷받침이 필요하다.

Q. 공공 시장에 해외 CSP가 들어올 것으로 보인다. 국내 CSP가 생존할 수 있는 방안은 무엇이라고 생각하는가.
A. 먼저 클라우드는 민간에서부터 발전해온 산업인 만큼 민간이 공공보다 더 잘 할 수 있는 영역임을 인정해야 한다. 그리고 민간이 보다 주도적으로 산업을 끌고 갈 수 있도록 길을 터주고 규제를 개선하는 등 확실한 지원이 필요하다.

정부가 직접 공공 클라우드를 구축하겠다고 나서는 것은 오히려 클라우드 생태계를 위축시키는 결과를 낳을 것이다. 미국, 유럽연합, 일본 등 해외 사례를 살펴봐도 공공 클라우드 전환을 목표로 직접 센터를 짓겠다는 나라는 없다. 미국은 국방부나 CIA 등도 가이드와 규제를 제시한 후 중요 시스템도 민간 클라우드를 이용하고 있으며, 영국은 정보시스템의 90% 이상을 민간 클라우드 서비스를 이용할 수 있도록 허용하고 있다.

반면 우리나라는 국방, 수사, 재판 등은 물론이고 일반 업무시스템도 민간 클라우드 이용을 금지해 차세대 클라우드 핵심 서비스인 다양한 민간 SaaS의 이용을 규제하고 있다.

또한 지정·구축·운영하겠다는 공공 클라우드 센터 개념을 유지하는 방향은 클라우드 퍼스트 전략을 통해 민간 클라우드 기업을 적극 육성하고 있는 글로벌 트렌드와도 맞지 않다. 전체 공공 시스템의 70%를 정부 내부나 정부 직영 클라우드 센터로 강제 이전할 경우, 민간에서 수용할 가능성이 차단되고 미래 시장 자체가 없어지게 될 것이다. 결국 클라우드 산업 실패로 이어질지 우려스럽다. ‘클라우드를 하겠다’가 아니라 ‘클라우드를 통해 무엇을, 어떻게 이룰 것인지’를 먼저 구상하고, 이를 토대로 디지털 혁신을 이룩할 수 있도록 발상을 전환해야 한다.

Q. 행정안전부가 구축하고 분산하는 방향으로 사업을 펴는 이유는 무엇이라고 판단하는가.
A. 부처 간 칸막이 문제도 있지만 무엇보다 ‘디지털’, ‘데이터’ 등 ICT 분야에 대한 전문성과 이해도가 부족한 것이 가장 큰 이유라고 생각한다. 디지털 전환 사회에서 데이터는 단순 축적보다 어떻게 잘 활용되고, 얼마나 좋은 서비스를 할 수 있는지가 중요하다. 이를 위해서는 보다 개방적이고 창의적인 혁신이 필요한데, 행안부는 공공영역을 관할하는 부처이기에 아무래도 어려움이 있는 것 같다.

또한 공공의 정보 활용 자체가 많이 위축된 상황도 한몫하고 있다. 개인정보를 잘 보호하면서 효율적으로 활용할 수 있어야 하는데, 정보보호만 지나치게 강조하다 보니 클라우드 정책 기조 자체가 폐쇄적인 방향으로 흘러가는 것으로 보인다.

Q. 국내 클라우드 산업을 자생력 있고, 올바르게 가꾸기 위한 방향은 무엇이라고 생각하는가.
A. 기술과 산업의 관점에서 클라우드를 제대로 이해하고 있는 ‘컨트롤 타워’가 필요하다. 클라우드 산업의 본질은 데이터, 정보시스템의 ‘이용’이다. 클라우드 기술에 대한 이해를 바탕으로 산업 생태계의 미래를 거시적인 시각으로 그릴 수 있어야 한다. 지금과 같이 각 부처마다 다른 그림을 그리고, 폐쇄적으로 구축돼 유기적인 흐름을 기대하기 어려운 환경에서는 클라우드 산업을 발전과 혁신을 기대하기 어렵다.

뿐만 아니라 일관성 없는 정책으로 행정력의 낭비만 지속되는 악순환이 반복될 것이다. 영국의 사례를 보면 국가 CTO를 두고 디지털 전환 정책을 성공적으로 이끈 경험이 있다. 이처럼 우리나라도 특성화된 클라우드, 데이터, AI 기술과 정책 전반을 두루 포괄할 수 있는 전문가들로 구성된 ‘컨트롤 타워’가 있어야 한다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지