[기고]클라우드 발전법에 있어 우리가 놓치고 있는 것

[기고]클라우드 발전법에 있어 우리가 놓치고 있는 것

지난 9월 국회에서 새정치민주연합 정책위 주관으로 ‘국정원과 클라우드 컴퓨팅 법안, 무엇이 문제인가’란 토론회가 열렸다. 참석한 시민단체와 클라우드산업계 주장은 극명하게 갈렸다. 시민단체는 클라우드 산업 육성정책에 대한 과도한 관여와 역할을 문제 삼았으며, 업계는 빅데이터와 사물인터넷(IoT)으로 이어지는 미래 ICT산업의 핵심인 클라우드산업 발전을 위한 골든타임을 놓치는 것 아니냐는 우려를 쏟아냈다.

여기서 과도한 관여란 공공기관이 클라우드 컴퓨팅 서비스를 이용할 경우 국가정보원장이 정하는 기준에 적합한 서비스 안전성을 확보해야 한다는 조항을 말하는 듯하다. 시민단체의 이런 주장은 클라우드 컴퓨팅 서비스와 가용성 등 시큐리티와의 관계가 클라우드 활성화에 필수며 핵심적 사항이라는 점을 간과한 데서 나온 것이다.

자동차와 브레이크 존재처럼 클라우드에서 시큐리티가 고려되지 않으면 오히려 클라우드 활성화나 산업 발전에 커다란 장애가 될 수 있다는 전문가 지적과 여러 사례를 참고해야 한다.

공공기관이 클라우드 컴퓨팅 서비스를 이용하지 못하고 있는 상황에서 서비스 안전성 확보 요구가 오히려 공공기관의 서비스 이용 근거 마련으로 이어져, 클라우드 서비스 수요 확대 및 산업 활성화에 크게 기여할 것이라는 점을 고려해야 한다.

미국은 지난 2012년부터 ‘FedRAMP’라는 정부기관 및 공공분야의 클라우드 보안인증 프로그램으로 공공조달 분야의 클라우드 도입과 이용을 활성화하고 있다. 공공분야에 도입·이용되는 퍼블릭 클라우드 서비스는 물리적으로 분리돼 있으며 더 높은 보안수준을 요구·유지하고 있다. 심지어 아마존은 G클라우드(정부 클라우드)를 위한 데이터센터를 별도로 구축·운영하기도 한다.

공공이 취급하는 정보와 서비스에 대한 높은 가용성 등의 안전성이 요구되기 때문에 민간분야보다 더 높은 보안수준이 요구된다고 이해해야 할 것이다.

시민단체가 클라우드 발전법과 관련해 우려하는 국정원장의 사전 서비스 안전성 검증 제도에 대해 공공에 조달하는 클라우드 서비스는 기술적·관리적으로 민간 부문과 완전히 분리하고, 공공 서비스 특성을 감안해 더 높은 보안수준을 갖춰 제3의 보안전문기관을 통해 이를 검증하고 인증하는 절차를 마련해 우려를 불식시킬 수 있다.

시민단체가 우려하는 국정원의 감시 논란은 지금 추진 중인 클라우드산업 발전법과는 아무런 관련이 없는 것으로 판단되며 오히려 클라우드 서비스 활성화와 이용자 보호를 위한 관점에서 사전서비스 안전성 검증 제도가 제대로 고려돼야 할 것이다.

사전안전성검증제도를 통해 더 많은 공공기관들이 안심하고 민간기업의 클라우드 서비스를 도입·이용하게 될 것으로 생각된다. 이는 우리나라 클라우드 산업을 한 단계 발전시킴은 물론이고 클라우드 기업의 공공 레퍼런스 확보를 위한 기회 제공과 해외시장 진출을 지원하는 토대가 될 것이다. 공공행정서비스의 효율성과 국민 편의성을 높이고 절감된 예산을 국민 복지나 산업 활성화에 재투자하는 등 정부 행정의 효율성 확보와 예산집행의 효과도 극대화하는 데 기여할 것이다.

이제 정부가 결단을 내려야 할 때다. 최근 들어 아마존, MS 등 글로벌 클라우드 기업들이 한국시장 공략을 본격화한다는 소식이 연일 터지고 있는 가운데, 아직도 소모적 논쟁에 목을 매고 있는 우리의 현실을 볼 때 이러다 한국 클라우드 기업들이 모두 글로벌 기업의 하도급기업으로 전락하고 말 것이라는 우려를 금할 수 없다. 이제부터라도 클라우드 산업육성을 위해 정부는 시민단체가 우려하는 부분을 불식시키도록 노력하고, 시민단체도 반대를 위한 반대가 아닌 클라우드 산업 발전을 위한 법 제정에 전향적으로 협력해야 한다.

박춘식 서울여대 클라우드컴퓨팅연구센터 정보보호학과 교수 csp@swu.ac.kr