[컴퓨터월드] 정부가 공공기관의 클라우드 전환을 독려하고 있는 정부 방침에도 불구하고 공공기관들의 클라우드 전환에 제동이 걸리고 있다. 공공기관의 클라우드 이용과 관련된 규정을 제정하는 행정안전부가 “보안이 높은 클라우드 서비스를 이용해야 한다”고 주장하며 온프레미스에 적합한 보안 요구사항을 추가하면서 공공 클라우드 시장에 찬물을 끼얹어 버린 것이다.

공공 클라우드 시장이 열릴 것으로 기대하며 시장 진입을 준비하던 클라우드 서비스 제공사(CSP)와 서비스형 소프트웨어(SaaS) 기업을 비롯해 클라우드 관련 업체들은 행정안전부의 이같은 행보에 깊은 우려를 나타내고 있다.

비용 부담 증가로 클라우드 도입 꺼리는 공공기관

최근 정부는 디지털플랫폼정부를 구현하기 위해 단순히 인프라를 클라우드로 옮기는 것에서 한발 더 나아가 클라우드 네이티브(Cloud Native) 환경 구현으로 방향을 수정했다. 이를 위해 행안부가 주도했던 ‘행정·공공기관 정보시스템 클라우드 전환·통합 사업’을 각 부처가 주도하도록 했다.

하지만 행안부에서 이와 반대되는 행보를 보이며 공공기관의 클라우드 전환에 제동을 걸고 있다. 행안부는 공공기관이 클라우드를 사용할 때 준수해야 하는 가이드를 제정한다.

최근 행안부는 공공기관에서 클라우드를 이용할 때 준수해야 하는 보안 요구사항을 강화하고 있다. 반드시 지켜야 하는 보안 요건이라면 문제가 되지 않지만, 문제는 클라우드와 맞지 않는 구축형 시스템, 즉 시스템 통합(SI)에 적합한 보안 요건을 추가하고 있다는 점이다.

실제 행안부는 기존 SI 중심의 기관별 정부시스템 구축 발주 가이드에 “클라우드 이용 시에도 따라야 한다”는 문항을 새롭게 추가했다. 만약 한 기관에서 클라우드 기반 성과관리시스템을 도입할 경우 기존 행정안전부 전자정부법에 따라 SI 사업 발주와 동일하게 클라우드 서비스를 도입·구축해야 하고, 구축형 시스템 설치 시에 필요한 보안 요구사항들을 지켜야 한다.

기존 공공기관에서 클라우드를 도입할 때는 과학기술정보통신부(과기정통부)의 클라우드 보안인증(CSAP)을 취득했다면 별 문제 없이 도입할 수 있었지만, 행안부가 기관별 정부시스템 발주 가이드에 클라우드도 온프레미스에 적합한 보안 요건을 따라야 한다는 조항을 넣으면서 공공기관들의 클라우드 도입에 어려움이 생기고 있다는 것이다.

특히 CSAP를 취득한 클라우드 서비스도 구축형 시스템에 특화된 보안 조치를 따라야 하기에 기관들은 불필요한 클라우드 서비스를 추가로 이용해야 한다. 당연히 클라우드 이용료가 크게 늘어나게 된다. 클라우드를 이용하려는 공공기관들이 클라우드 도입을 꺼려할 수밖에 없다.

한 공공기관의 관계자는 “최근 행안부에서 클라우드 이용과 관련된 문구들을 시스템 발주 가이드에 추가하고 있다. 정부가 자체적으로 CSAP라는 신뢰할 수 있는 보안 검증을 진행했음에도 불필요한 보안 요건을 추가했고, 이를 준수하기 위해선 단일한 클라우드 서비스만 이용하는 것 외에도 추가 보안 서비스를 함께 도입해야 한다”고 말하며 클라우드 전환 및 이용료가 크게 늘고 있다고 토로했다.

이 관계자에 따르면, 현재 공공기관들에서는 클라우드 이용에 회의적인 시각을 갖고 있으며, 비용문제로 클라우드 서비스를 이용하고 싶지 않다는 의견이 지배적인 것으로 알려진다.

이러한 상황은 공공기관, 즉 수요자와 클라우드 서비스 제공사 간 이해충돌도 유발하고 있다. 정부의 지침을 준수해야 하는 공공기관 담당자 입장에서는 하나의 서비스를 이용하기 위해 여러 보안 서비스를 함께 사용해야 한다는 문제가 발생하게 된다. 이 경우 클라우드 서비스 이용을 위한 총 비용이 늘어나게 된다. 그러나 정부의 이 같은 지침을 모르는 클라우드 서비스 제공사는 “단일 서비스만 이용하면 되는데 비싸다고 핑계를 대고 있다”며 공공기관 담당자를 탓하고 있다.

CSAP 중 등급 실증으로 공공 클라우드 산업 활성화 분위기 반전 기대

높은 클라우드 비용을 이유로 공공기관이 클라우드 도입을 꺼리는 상황에서 업계는 정부가 민간 클라우드 도입을 활성화하기 위해 진행 중인 CSAP 중 등급 실증사업이 성공적으로 마무리돼도 수요처가 없을 수 있다며 우려를 표하고 있다.

CSAP 중 등급 실증사업은 상, 중, 하 3개로 나뉜 CSAP 등급 중 중 등급에 해당하는 시스템의 망을 논리적으로 분리하고 보안적으로 충분한 조치가 이뤄질 수 있다는 것을 입증하는 사업이다. CSP들이 논리적으로 망분리 된 클라우드 존을 구성하고, 해커의 정보시스템 침투 테스트를 견딜 수 있는지 확인하는 작업이 진행된다. 현재 CSP들이 공공 존으로 구성해놓은 물리적 분리 환경에서 네트워크 단을 논리적으로 분리해도 안전하다는 것을 입증하는 것이다.

해당 사업을 통해 과기정통부와 한국지능정보사회진흥원(NIA)은 공공기관들의 정보시스템을 중 등급으로 확보해 국내 클라우드 산업을 활성화한다는 계획이다. 양 부처는 중 등급에 대한 실증사업이 성공적으로 마무리 될 경우 중 등급으로 공공기관의 정보시스템을 확충하고 CSP들의 민간 클라우드 서비스를 이용할 수 있도록 지원한다는 입장이다.

중 등급 실증사업의 논리적 망분리는 해외 CSP들이 중 등급을 열어달라며 요구하는 논리적 망분리와는 다르다. 이와 관련, 한 공공기관 관계자는 “중 등급 실증사업에서의 논리적 망분리는 해외 CSP들이 주장하는 중 등급을 풀라는 것과는 다르다. 해외 CSP들이 요구하는 논리적 망분리는 서버에 대한 인프라도 논리적으로 분리해야 한다는 의미가 포함돼있다. 하지만 현재 진행 중인 중 등급 실증사업은 서버에 대한 인프라는 물리적으로, 네트워크는 논리적으로 분리하는 것이다”라고 설명했다.

행안부의 비합리적인 요건 강화로 공공기관의 민간 클라우드 이용이 경색될 기미가 보이는 상황에서 중 등급 실증사업의 중요성은 더욱 커지고 있다. 특히 시스템 중요도를 기준으로 공공기관의 정보시스템을 상, 중, 하로 구분하겠다는 국정원의 계획대로라면 상 등급에 많은 기관의 시스템이 포함될 것으로 예상되는 만큼, CSP들은 중 등급에 대한 실증이 성공적으로 끝나고 중 등급에 많은 정보시스템이 속하길 기대하는 상황이다.

한 정부 IT 기관 담당자에 따르면, 상 등급에 속한 정보시스템의 경우 행안부 산하 국가정보자원관리원에서 운영 중인 통합전산센터와 같이 물리적, 논리적으로 철저하게 구별된 정부 특화 데이터센터와 같은 시설에서 운영될 것으로 보인다. 이 담당자는 “상 등급의 경우 CSP들 입장에서도 엄청난 투자를 해야 할 수밖에 없다. 또 CSP들은 정부에서 운영하는 통합전산센터와 경쟁해야 하는데, 공공기관 IT 결정권자라면 정부 운영센터를 선택할 것”이라면서, “상 등급에 CSP들이 아무리 많은 투자를 하더라도 공공 클라우드 시장이 경색된 상황에서 CSP들의 서비스를 이용할 기관은 없을 것”이라고 말했다. 이어 그는 “미국의 경우 상 등급보다 더 높은 등급의 페드램프에도 물리적 분리 환경은 없다. 미국 기업의 경우 물리적으로 분리한다면 클라우드로 생각하지 않는다”고 덧붙였다.

중 등급에 대한 실증사업이 성공적으로 마무리되고, 중 등급에 최대한 많은 공공기관의 정보시스템을 포함시키는 것이 국내 클라우드 기업과 공공기관 모두가 윈윈(Win-Win)할 수 있다고 할 수 있다. 많은 공공기관이 클라우드 도입을 부정적으로 바라보고 있는 가장 큰 이유인 비용문제를 해결할 수 있기 때문이다.

물론 CSAP 중 등급 실증사업으로 공공 클라우드 산업이 활성화될 것이라는 기대도 있지만, 행안부의 과도하고 적합하지 않은 보안 요구사항 강요로 클라우드를 외면하기 시작한 공공기관의 마음을 돌리는 것도 중요한 숙제로 남아있다.

현재 상당수의 국내 클라우드 기업들은 공공기관이 과도한 클라우드 비용을 이유로 클라우드 도입을 꺼려한다는 사실을 인지하지 못하고 있다. 과기정통부와 NIA, 더 나아가 정부는 중 등급 실증사업 수행과 동시에 공공기관에게는 클라우드를 이용할 수 있는 환경을 마련해주는 작업을 한시라도 빠르게 진행해야 하며, 국내 클라우드 기업들에게 이 같은 상황을 서둘러 알려주는 자리를 마련해야 할 것이다.