구독전용

[팩플] 구름 올라타는 정부, 이삿짐은 누가?

중앙일보

입력 2022.05.25 06:00

팩플레터 239호, 2022.5.24 

Today's Topic
구름 올라타는 정부, 이삿짐은 누가?

여러분. 클라우드 서비스, 많이 쓰고 계시죠? 언제 어디서든 나만의 구름에 접속해 콘텐츠를 찾고 저장하는 편리함에 익숙해지다보니, 웹하드란 걸 언제 썼나 기억이 까마득하네요.

클라우드 컴퓨팅이 서비스 산업으로 급성장한 최근 10년 새, 거대 기업이나 기관들도 클라우드 체질로 빠르게 바뀌었습니다. 기술에 대한 전문 지식이나 컴퓨팅 인프라를 직접 갖출 필요 없이 똘똘한 클라우드 서비스 업체를 통해 빌려 쓰면 된다는 인식이 빠르게 퍼졌죠. 그리고 최근엔 각국 정부도 클라우드 전환을 서두른다고 합니다. 클라우드 서비스 기업들로선 큰 장이 선 셈이지만, 정부에 내 소중한 데이터 맡겨놓은 우리들은 좀 불안하기도 합니다. 정부 데이터나 공공 서비스 인프라를 클라우드로 옮기는 작업, 누가 해야 야무지게 잘할까요? 보안은 어떻게 지키고요? 한국 정부는 클라우드 전환을 어떻게 준비하고 있을까요?

오늘 팩플레터에선 권유진 기자이승호 기자가 이 상황을 짚어봤습니다. 특히, 한국 정부의 클라우드 전환을 두고 벌어진 국산 vs 외산의 줄다리기를 취재했습니다. '디지털 플랫폼 정부'를 지향한다는 윤석열 정부의 입장도 살펴봤고요! 오늘도 레터 읽으신 후 설문참여, 잊지 마시고요. 좋은 하루 보내세요! 감사합니다.

From 박수련 팩플 팀장

🧾목차
1. 구름이 몰려온다

2. CSAP "줄을 서시오"

3. "망, 섞지 말라"

4. 망 분리 말고, 또 뭐가 쟁점?

5. 그들이 말하지 않는 것

6. 갈림길 선 CSAP, 어디로?

1. 구름이 몰려온다

지난해 7월, 50대 대상 코로나19 백신 예약 시스템이 ‘먹통’이 됐다. 이유는 질병관리청의 서버 과부하. 시공간의 제약으로 당장 서버 증설이 어렵던 차에 해결사가 나타났다. 바로 클.라.우.드. 예약 대기 시스템을 질병관리청 서버에서 클라우드로 옮기면서 사태는 일단락. 정부 시스템의 클라우드 전환 필요성을 다시 확인한 계기. 그래서 클라우드가 왜 중요하냐면.

●클라우드, 저장 서비스 아니야? : 클라우드? 제법 익숙하다. 스마트폰 사용자 대부분이 사진이나 영상을 클라우드 서비스(iCloud, 구글포토, 원드라이브 등)에 이미 저장하고 있다. 외장하드 사서 따로 저장해야 했던 데이터들, 언젠가부터 클라우드가 싹 빨아 들였다.

●디지털 경제 인프라 : 금융, 보안, 모빌리티 등 굵직한 산업들이 클라우드를 만나 진화하고 있다. 전국에 고속도로가 깔리면서 자동차산업이 급성장했듯, 클라우드가 필요한 곳에 구축돼 있어야 데이터 기반 서비스들이 꽃을 피울 수 있다. 그야말로 모든 서비스가 클라우드 위에서 돌아가는 XaaS(Everything as a Service)의 시대, 클라우드는 디지털 경제의 인프라다.

●정부도 구름 위로 : 클라우드라는 디지털 고속도로, 정부에도 필요하다. 디지털 시대에 공공 영역만 갈라파고스처럼 남아있을 순 없기 때문. 특히 윤석열 정부가 강조하는 ‘디지털 플랫폼 정부’의 핵심은 공공 데이터의 통합·개방이다. 클라우드 없인 그림의 떡이다. 각 부처나 기관별 서버에 잠든 데이터가 클라우드로 이사할 예정. 정부 추산 이사 비용은 5년간 8600억원.

☁️클라우드 시장, 얼마나 컸나
●클라우드 시장의 성장은 세계적 현상. 코로나19로 비대면 업무가 어색하지 않은데다, 기업들이 앞다퉈 디지털 전환에 나서고 있어서다. 인공지능(AI), 메타버스, 자율주행 등을 구현하기 위해서도 클라우드가 필수다.

●시장조사업체 가트너는 세계 클라우드 시장이 올해 4820억 달러(약 612조원)에서 2025년 8375억 달러(약 1063조원)로 커질 것으로 전망한다. 국내도 지난해 4조8400억원 규모에서 올해 5조7500억원, 2025년 11조6000억원 규모로 급성장할 것으로 전망했다.

팩플레터 239호

팩플레터 239호

2. CSAP “줄을 서시오”

공공 영역의 클라우드 전환, 어떻게 하나 해외를 살펴보니 민관 손잡고 이사가는 게 대세. 미국은 클라우드 스마트(2018), 영국은 퍼블릭 클라우드 퍼스트(2017) 정책으로 공공 클라우드 사업에 민간 기업을 참여시키고 있다. 한국 정부는 지난해 7월 “2025년까지 행정기관과 공공기관이 운영 중인 정보시스템 1만 9개를 클라우드로 전면 전환·통합할 예정”이라고 밝혔다.

그러나 국가의 데이터 관리를 아무에게나 맡길 수는 없는 노릇. 민간 기업에 대한 보안 검증이 필요하다. 클라우드 전환에 앞서 있는 주요 국가들도 대부분 자체 인증 체계를 가지고 있다. 미국(FedRAMP)과 싱가포르(MTCS) 등이 대표적. 한국 정부도 2016년 클라우드보안인증(CSAP)을 도입했다.

🔒 CSAP란?
●미국이 2011년 도입한 FedRAMP를 참고로 만든 한국판 클라우드 보안 인증제도다. CSAP엔 공공 데이터의 안전성 확보를 위해 민간 클라우드 사업자가 지켜야 할 의무 조항이 담겨 있다.

●클라우드 서비스의 정보보호 기준을 정한 과학기술정보통신부 고시(클라우드컴퓨팅서비스 정보보호에 관한 기준)에 따르면 민간 사업자는 공공기관이 요구하는 물리적, 기술적 보호조치를 시행해야 한다. 예를 들어, 공공 클라우드의 서버·네트워크·보안장비 등을 일반 클라우드와 분리해야 하고(망 분리), 운영 인력도 따로 관리해야 한다는 등의 조건이 있다.

●60개 중 글로벌 기업은 0개 : 인증 기관인 한국인터넷진흥원(KISA)에 따르면 현재 CSAP를 통과한 기업은 60개. 그러나 이 중 외국계 기업은 하나도 없다. 국내 클라우드 시장에서 아마존웹서비스(AWS)나 마이크로소프트(MS) 등의 점유율이 70%(한국지능정보사회진흥원, 2021)가 넘는다는데, 이들은 왜 인증을 통과 못했을까.

3. “망, 섞지 말라”

한국판 클라우드 보안인증제도 CSAP. 이걸 통과한 자, 통과 못한 자, 이 자격을 요구한 자. 각자 이유가 있다. 쟁점의 핵심은 CSAP가 요구하는‘물리적 망 분리’ 조건이다. 클라우드 서비스 제공 업체가 공공 영역의 클라우드와 그외 민간 기업용 클라우드를 물리적으로 아예 다른 공간에 조성하고, 관리 인력도 별도로 둬야한다는 조항. 외국 기업의 시장 참여를 가로막는 ‘문턱’인가, 대형사고를 예방할 ‘과속방지턱’인가. 각자의 입장을 들어보니.

① 외국계 클라우드 기업  

●누가 있나 : AWS, MS 애저, 구글 클라우드 등. 이 시장 글로벌 1, 2, 3등이 다 있다.

●CSAP라는 장벽 : 외산 업체들은 CSAP가 자신들의 한국 공공 클라우드 시장 진입을 막는 규제 장벽이라고 주장. 한국규제학회도 논문을 통해 “CSAP가 중국의 사이버안보법과 유사한 수준”(글로벌 디지털 무역협정 체제 편입을 위한 한국의 기술규제 해소방안 연구, 2021)이라고 지적했다.

●물리적 망 분리, 꼭 필요해? : 과학기술정책연구원 조사에 따르면 25인 사업장 기준 망 분리를 위해 추가로 드는 비용은 약 5억원. 망 분리가 클라우드 서비스 기업의 수익성에 영향을 준단 뜻. 외국계 클라우드 기업들은 “정보의 등급과 상관 없이 모든 기관에 망 분리를 적용하는 건 한국만의 지나친 규제”라고 주장한다. 실제 미국의 FedRAMP는 기준을 3단계로 나눠망분리 대상 정보를 제한적으로 두고 있다. 예를 들어, 미국 중앙정보국(CIA) 데이터 등은 FedRAMP의 망 분리 적용 대상. 반면 재산, 신변에 심각한 위협을 끼치지 않는 정보는 망 분리 대상이 아니다.

●소스 코드까지 공개? : 외국계 기업들은 또 “CSAP 기준을 맞추려면 소스코드(소프트웨어 제작에 사용되는 설계 파일) 공개도 불가피하다”고 주장한다. 정부가 직접 요구하는 건 아니지만, CSAP 기준대로 취약성 점검과 침투 시험을 하다보면 어쩔 수 없이 영업기밀에 가까운 소스코드가 노출된다는 것.

클라우드 서버실. 사진 네이버클라우드

클라우드 서버실. 사진 네이버클라우드

② 한국 클라우드 기업

●누가 있나 : 네이버클라우드, NHN클라우드, KT클라우드 등

●호랑이 없는 골엔, 토끼가 왕 : 민간 시장은 외국계 기업이 선점했지만, 사실상 국산끼리 경쟁하는 공공 시장에서는 해볼만 하다는 판단. 국내 민간 3사 중 유일하게 클라우드 매출을 공개하고 있는 네이버클라우드의 매출은 2020년 2737억원에서 2021년 3800억원을 기록했다. NHN클라우드도 연 평균 30%씩 성장 중.

●클라우드도 신토불이? : ‘클라우드 쇄국주의’는 해외도 마찬가지다. 중국(알리바바, 텐센트)과 미국도 자국 기업의 클라우드를 쓴다. 클라우드관리서비스(MSP) 업체인 베스핀글로벌의 이한주 대표는 “자국 클라우드를 적극 이용하는 것에는 자국 기업의 성장을 지원하는 목적도 크다. 국내 규제 환경에는 국산 업체들이 더 잘 맞는다”고 말했다.

③ 정부

●누가 있나 : 행정안전부, 국가정보원, 한국인터넷진흥원(KISA)

●행안부 “갈 길 먼데..어떻게 좀” : 공공 클라우드 전환의 주무부처는 행안부. 2025년까지 행정·공공 기관의 정보 시스템 전부를 클라우드 기반으로 전환하기로 스케줄 짠 주역이다.시간표대로 맞추려면 민간 클라우드 업체 도움이 절실하다. 이를 위해 행안부는 올해 교육, 의료, 금융, 연구개발 분야에선 예외적으로 CSAP 없이 클라우드 전환을 할 수 있도록 전자정부법 고시를 바꾸려고도 했다. 해외 클라우드 기업에까지 문호를 열어주는 효과가 있을 뻔 했는데.

●국정원 “보안은 나의 것” :정부 보안의 컨트롤 타워는 국가정보원. 행안부의 과감한 계획은 국정원의 벽에 부딪혔다. 국정원은 공공 클라우드는 사이버 안보와 직결되므로 한국의 특수성을 고려해야한다는 입장. 데이터를 한 곳으로 통합하면 흩어져 있을 때보다 외부로부터 공격받을 위험이 커진다는 것. 조직적으로 사이버 해커를 육성하는 북한 등에 좋은 먹잇감이 될 수도 있다고. 국정원 관계자는 “이런 우리 특수성 때문에 CSAP 기준을 외국 정부들과 단순 비교하기 어렵다”고 말했다.

●타협안 “예외 있다” : 확정된 전자정부법 고시는 ‘공공 클라우드 전환을 위해선 CSAP 인증을 반드시 받아야 하고, 국가정보원장과 사전에 협의할 경우에만 인증 면제를 받을 수 있도록’ 했다. CSAP 인증을 생략할 수 있는 예외를 남겨둔 것. 국정원과 협의를 거쳐 이 정도 타협안을 마련한 행안부로선 외국계 기업들도 못마땅하다. 행안부 관계자는 “당초 예외를 두지 않겠다던 국정원도 한발 물러서 가능성을 열어놓은 것” 이라며 “그럼에도 외국계 기업들은 무조건 한국식 규제를 철폐해야 한다고 요구한다”고 말했다.

●KISA “소스코드, 요구한 적 없다” : 인증 실무를 담당하는 KISA도 할말 많다. KISA는 “기업들로부터 소스코드를 직접 제공받지 않는다”고 주장한다. 소스코드를 볼 의도가 없고, 안전성 테스트 결과만 확인한다는 것. KISA 관계자는 “기업이 테스트한 결과를 받거나, 현장에 가서 직접 시뮬레이션을 하는 것이지 소스를 직접 받지는 않는데 외국계 기업들이 오해하는 것 같다”고 말했다.

팩플레터 239호

팩플레터 239호

4. 망 분리 말고, 또 뭐가 쟁점?

① 믿을 건 ‘제로 트러스트’
보안기업 SK쉴더스에 따르면 지난해 상반기 국내 개인정보 유출 사고 중 클라우드에서 발생한 케이스가 40%를 차지했다. 클라우드 전환이 가속화 될수록 보안 위협도 함께 증가한다는데, 정부 시스템이 클라우드로 옮겨간다면 내 정보는 누가 지켜주나. 그래서 요즘 주목받는 보안체계가 ‘제로 트러스트’.

전통적인 보안은 물리적인 보안 장비를 성곽처럼 사용해 내부 시스템을 보호하는 개념이었다. 그러나 언제 어디서, 어떤 디바이스로 접속할 지 모르는 클라우드 세상. 성곽은 더 이상 완벽한 요새가 아니다. 보완책으로 나온 게 ‘불신’을 기반으로 한 인증이다. 사용자의 신원, 단말기에 대한 접근 허가 권한 등을 입증해야 접속할 수 있는 ‘제로 트러스트’ 방식. 미국에서는 이미 연방기관 네트워크에 제로 트러스트 전략을 도입 중. 윤석열 정부도 제로 트러스트 환경 구축에 나서겠다고 언급했다.

② 데이터 주권 문제
정부의 클라우드 서비스 정보보호 기준에선 ‘클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정한다’고 돼 있다. 하지만 데이터센터는 국내에 있지만, 운영이나 관리를 해외에서 원격으로 한다면? 사각지대가 생기는 셈.

●손 못대는 외국산 클라우드: 2018년 11월, AWS 클라우드 시스템이 장애를 일으켜 84분 동안 국내 암호화폐 거래소, 이커머스 사이트 등이 제대로 작동하지 않았다. 당시 조사를 맡은 과기정통부는 AWS의 비협조에 속수무책이었다. 클라우드 서버 운영을 미국 본사나 호주에서 했기 때문에 한국 정부의 행정력이 미치지 않아서다. 이들에게 우리 정부 데이터를 맡겨도 될까.

●유럽의 가이아-X, 해법될까 : 일찍이 데이터 주권의 중요성을 강조해온 유럽연합(EU)는 2019년 ‘가이아-X’ 프로젝트를 시작했다. 미국이나 중국처럼 국가 주도의 클라우드와는 다른 방식이다. 데이터를 한데 모으기 보다는, 데이터를 원래 있던 곳에 두고 필요할 때마다 공유될 수 있도록 하는 게 핵심. 미국 클라우드 회사에 대한 의존도를 줄이려는 목적도 있다. 당시 브루노 르 메이어 프랑스 재무장관은 "우리는 중국도, 미국도 아니다. 독자적인 가치와 지키고 싶은 이해관계를 가진 유럽 국가들"이라고 언급 하기도.

③ 통상 마찰 리스크?
미국 정부도 이 사안에 관심이 많다. 미 무역대표부(USTR)는 지난 3월 발간한 ‘2022년 각국 무역 장벽 보고서’에서 한국 정부가 내세운 CSAP를 미국 기업에 대한 ‘핵심 장벽(key barrier)’으로 규정했다. AWS·MS 등 미국 기업들이 CSAP 때문에 한국 공공시장 문턱도 못 밟는 상황에 대한 불만의 표현이다.

USTR은 보고서에서 “미국은 한국의 클라우드 보안 인증 요건을 국제적으로 인정되는 다른 표준에 맞추기 위해 한국과 지속적으로 협력하겠다”고 밝혔다. 사실상 제도를 바꾸라는 압박. 일각에선 한국 정부가 CSAP 인증 의무를 고수하면 미국이 통상문제를 제기할 가능성도 거론된다.

5. 그들이 말하지 않는 것

●모호한 피아 식별 : 겉으로는 공공 영역에서 국내산 클라우드의 입지를 확대해야한다고 말하지만, 강하게 ‘타도 외산 클라우드서비스사업자(CSP)’를 외치지 못하는 덴 복잡한 속내가 있다. KT와 NHN은 같은 그룹 내 다른 자회사들이 클라우드관리서비스(MSP) 역할도 하고 있다. 즉, AWS나 MS와 같은 외산 기업에서 수주를 받아야 하는 입장이다. 외산 클라우드 업체는 완전한 적도, 친구도 아닌 것.

※CSP(Cloud Service Provider) : 데이터센터에 대량의 서버, 네트워크 장비 등을 구축해 고객에게 할당하는 기업. 이번 레터에 나온 외산 3곳, 국산 3곳 업체 모두 CSP 기업이다.※MSP(Managed Service Provider) : CSP가 제공하는 클라우드 자원을 개별 고객에 맞게 구성해 적용하고, 안전하게 운영되도록 관리 서비스를 하는 기업. 국내에서는 베스핀글로벌, 메가존클라우드 등이 대표적인 MSP 기업이다.

●국산 업체들, 경쟁력은 있고? : “숙제는 안 하고 보상만 요구하는 식이면 안 된다.” 국내 클라우드 업체 내부에서 나온 자성이다. AWS는 지난해에만 3000개 이상의 주요 신규 서비스를 플랫폼에 추가했는 데 국내 기업들은 이 숫자를 밝히기도 민망한 처지라는 것. 국내 클라우드 기업 관계자는 “공공 시장에서 한국 기업이 유리한 고지를 점했더라도 안주하지 말고 서비스를 계속 발굴해야 한다”며 “실력은 안 기르고 계속 보호해달라고만 할 수는 없는 노릇”이라고 설명했다.

6. 갈림길 선 CSAP, 어디로  

●尹 정부, 클라우드 문호 개방? : 외국 기업은 ‘규제 완화’를 외친 윤석열 정부에 기대를 건다. 대통령직인수위원회 디지털플랫폼정부 태스크포스(TF)는 지난달 작성한 ‘디지털 플랫폼정부 추진방향’ 보고서에서 “망분리, 클라우드 보안인증 등 획일적인 사이버보안 규제를 정비해 해외·중소 클라우드사업자의 공공클라우드 시장 진입 장벽을 완화하겠다”는 방침을 밝혔다.

●물리적 망 분리 vs. 논리적 망 분리 : 완화의 핵심은 물리적 망 분리 범위 제한이다. 클라우드 전환시 대상 시스템과 데이터를 세분화해, 덜 중요한 것은 논리적(가상적) 망 분리를 허용하자는 게 인수위 생각. 논리적 망분리가 허용되는 분야로는 외국계 클라우드 사업자도 진출할 수 있다. 다만 그 범위는 정해진 게 없다. 디지털플랫폼정부 TF 관계자는 “논리적 망분리 범위를 정하는 데엔 시간이 걸릴 것”이라며 “현 전자정부법 고시에 따라 국정원은 공식 창구를 마련해 해외기업과 적극 협의할 생각을 갖고 있는 것으로 안다”고 말했다.

팩플 서베이 

공공기관 클라우드 이삿짐센터, 누가 좋을까요?

팩플레터를 구독하시면 설문에 참여하실 수 있습니다.

팩플팀이 추천하는 자료
1. 2021 클라우드 산업 실태조사 결과보고서 👉자세히 보기
과학기술정보통신부와 정보통신산업진흥원(NIPA)이 조사한 국내 클라우드 산업 현황입니다. 국내 기업의 클라우드 서비스 도입 정도와 수출 및 해외진출 현황, 클라우드 관련 인력 등을 살펴볼 수 있습니다.

2. 제2차 전자정부 기본계획 👉자세히 보기
행정안전부가 지난해 6월 발표한 ‘제2차 전자정부 기본계획’입니다. 2025년까지 행정·공공기관의 클라우드 전환을 100% 달성하겠다는 정부의 목표와 달성 계획이 담겨 있습니다.

Innovation Lab