‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)’ 시행이 얼마 남지 않았다. 클라우드 발전법은 공공 부문의 클라우드 컴퓨팅 도입을 촉진하기 위한 전 세계 유례없이 제정된 관련 법이다. 정책 수립으로 클라우드 발전을 위한 토대를 마련하기 위한 정부 차원의 노력을 보여주고 있다. 정부가 앞장서 클라우드 활성화를 독려하고 있는 가운데, 업계 전문가들은 클라우드 도입을 촉진하고 관련 산업 활성화로 성공을 거두기 위해서는 무엇보다 ‘보안’ 문제 선결이 관건이라고 입을 모은다.
클라우드 보안에는 다양한 이슈들이 있겠지만, 크게 제도적인 부문과 인식적인 부문으로 나눠볼 수 있다.
첫째로, 제도적인 부문을 살펴보자. 클라우드 발전법 시행을 석 달가량 앞둔 지금도 업계에서는 다양한 궁금증을 내놓고 있다. 그 이유는 세부 보안 가이드라인과 지침이 명확히 확립되지 않았기 때문이다. 세부적인 지침이 발표되지 않다 보니, 업계에서도 우려하는 점이 있고 공공기관이나 기업들은 법 시행을 앞두고도 선뜻 도입을 결정하기 힘든 실정이다.
드롭박스, 아이클라우드 해킹 등 클라우드 보안 문제를 경험했던 미국은 일관성 있는 보안 평가 및 인증 수행을 위한 클라우드 보안 인증체계인 ‘페드램프(FedRAMP)’를 구축, 3년 전부터 공식적으로 시행하고 있다. 이로써 클라우드 제품과 서비스에 대한 보안 평가와 허가, 지속적인 모니터링을 위한 표준화된 접근을 제공함으로써 공공조달 분야의 클라우드 도입·이용을 활성화하고 신뢰도를 향상시키는 결과를 얻었다.
우리나라도 클라우드 활성화를 위해 이와 같은 명확한 안정성 검증체계를 마련하는 것이 시급하다. 미래부에서 관련 부처와 협의해 구체적인 지침을 마련할 계획을 가지고 있는 가운데, 조속한 지침 수립으로 클라우드 도입 확신에 힘을 더해줄 수 있어야겠다. 더불어 이용자 측면에서의 안전한 보호수준을 갖추고, 서비스 제공자 측면에서의 규제 완화를 두루 고려해 형평성 있는 가이드라인을 갖춰야 클라우드 도입 활성화가 순탄하게 진행될 수 있을 것으로 생각된다.
둘째 이슈는 바로 클라우드 보안에 대해 가지고 있는 부정적인 인식이다. 우리나라는 IT 강국임에도 불구하고 미국, 일본 등과 비교했을 때 클라우드 산업 발전 속도는 다소 느린 편이다. 게다가 인프라를 소유하지 않고 빌려 쓰는 서비스 재화에 대한 거부감, 기존에 사용하고 있던 인프라와의 연동 및 관리 문제, 가상 환경이나 아키텍처 변화로 생길 수 있는 추가적인 취약점 등과 더불어 최근 일어난 여러 보안사고로 인해 과연 클라우드를 안심하고 이용할 수 있을지 우려가 높은 상황이다.
그러나 사실 클라우드는 일반적 인식보다 훨씬 높은 수준의 보안 환경을 가지고 있어 많은 기업들이 클라우드를 업무적으로 사용하고 있고, 국내외 보안 업체들이 더욱 안전한 클라우드 환경을 만들기 위해 지속적인 제품 개발에도 노력하고 있다.
올바른 아키텍처와 보안환경을 갖추고 있다면 오늘날의 클라우드는 매우 안전하고, 장점이 많은 기술이라고 분명히 말할 수 있다. 클라우드 환경을 이용하면 기업 IT 환경에 맞게 탄력적으로 인프라를 운용할 수 있어 비즈니스 민첩성을 향상시킬 수 있을 뿐만 아니라, IT 인프라 구축 및 운영에 소요되는 비용도 현저히 절감할 수 있다. 따라서 막연하게 클라우드는 불안하다고 생각하는 편견을 버리고 현재의 클라우드 환경이 어떤 수준에 와 있는지 객관적으로 바라볼 필요가 있다.
이제 클라우드 발전법이 시행된다. 이를 모멘텀으로 국내 클라우드 시장이 본격적으로 성장할 수 있을 것이라는 기대도 고조되고 있다. 조직 경쟁력을 높여주고, IT 산업 발전도 한 단계 더 끌어올릴 수 있는 촉매제 역할을 해줄 클라우드 컴퓨팅이 안정적으로 도입되고, 활성화되기 위해 제도적 확립과 더불어 기술을 통한 보안 신뢰성 제고, 인식의 긍정적 전환이 필요한 시점이다.
박희범 시만텍코리아 대표 philip_park@symantec.com