클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)이 오는 9월 본격적으로 시행된다. 하지만 아직 준비가 미흡하다. ‘보안’에 대한 우려가 여전히 남은 상황에서 이에 대한 구체적인 해결책은 나오지 않고 있기 때문이다. 이에 IT조선은 클라우드 산업 발전을 위해 해결해야 할 과제인 '클라우드 보안'에 대해 점검해 본다. <편집자주>


‘클라우드 발전법’의 시행이 2달 여 남은 상황에서 이를 뒷받침할 ‘보안 가이드라인’과 ‘클라우드보안인증제도’는 반드시 필요하다. 공공기관이 민간 클라우드 서비스를 사용하기 위해선 보안이 가장 먼저 해결돼야 하기 때문이다. 하지만 보안인증제도인 한국판 페드램프(K-FedRAMP)는 해를 넘겨 내년에나 선보일 것으로 예상된다. 

한국인터넷진흥원(KISA)에 따르면, 이달부터 ‘클라우드 보안 등급별 인증기준 개발 및 시범적용’ 사업을 시행하고 있다. 6개월간 시행되는 이번 사업은 클라우드 서비스 제공자의 보안수준 향상과 침해사고에 대한 피해를 최소화하기 위해 클라우드 보안인증제도 도입이 필요하다는 판단 때문이다. 이를 통해 클라우드 서비스 업무 및 정보의 중요도에 따라 보안 등급을 구분하고 등급별 인증기준 개발, 운영지침 수립, 시범적용을 통한 클라우드 보안인증제도의 도입에 활용한다는 방침이다.

특히 KISA는 이번 사업을 통해 클라우드 보안등급 및 인증기준을 개발하고 클라우드 보안인증 운영 방안을 마련한다는 방침이다. 또 보안인증 시범 적용을 통해 다양한 산업에서 이를 활용할 수 있는 기초를 마련할 계획이다.

여기에는 국제 표준인 미 페드램프(FedRAMP, 연방정부 클라우드 보안통제 항목), ISO/IEC 27001(정보보호 관리체계 기준), 27017(클라우드 서비스 제공자를 위한 개인정보보호 지침), 27018(클라우드 서비스 제공자를 위한 정보보호 지침) 등을 적극 참고할 예정이다.

KISA 관계자는 “이번 사업은 한국형 페드램프 시행을 위한 단계 중 하나”라며 “클라우드 인증을 위한 다양한 제도 마련을 위해 노력하고 있다”고 설명했다.

관련업계는 ‘시급하다’ 볼멘 소리

하지만 관련업계에서는 클라우드 발전법이 조만간 시행될 예정이기 때문에 클라우드 산업이 발전하기 위해선 클라우드 보안 문제 해결이 시급하다고 입을 모은다.

업계 한 관계자는 “클라우드 법 가운데 업계가 주목하는 부분은 공공기관의 민간 클라우드 서비스 이용”이라며 “하지만 공공기관이 민간기관의 클라우드 서비스를 이용하기 위해선 반드시 필요한 것이 보안인증제인데 이를 해결하지 않으면 클라우드 확산은 쉽지 않을 것”이라고 말했다.

관련 업계는 국내 클라우드 산업이 보다 발전하고 저변이 확대되기 위해선 우수한 레퍼런스가 필요하고 그 레퍼런스가 공공기관이라고 강조하고 있다. 하지만 공공기관은 국가의 중요한 정보를 갖고 있기 때문에 섣불리 클라우드 서비스를 이용할 수 없다. 보안에 대한 보다 명확하고 확실한 증명이 필요하다. 이를 클라우드 보안 인증제가 해결해 줄 수 있다는 것. 따라서 인증제가 늦어지게 되면 공공기관은 민간 클라우드를 이용하지 않을 것이며, 그만큼 클라우드 산업 발전이 더딜 수 밖에 없다는 것이 업계의 주장이다.

이와 관련해 KISA 관계자는 “공공기관이 클라우드 서비스의 중요한 레퍼런스가 될 수 있음은 동의하지만, 클라우드 산업 발전에 있어 공공기관의 민간 클라우드 서비스 도입 여부가 성공을 판단하지는 않는다”며 “클라우드 서비스에서는 다양한 문제가 발생할 수 있기 때문에 섣불리 인증제를 내놓기 보다는 보다 완벽한 인증제도 마련이 중요하다”고 설명했다.

유진상 기자 jinsang@chosunbiz.com