[IT조선 유진상] 클라우드 산업 활성화를 위한 품질·성능 및 정보보호 기준이 마련됐다. 하지만 아직은 과도한 규제라는 지적과 함께 모호한 기준들이 남아 개선의 여지가 남아 있다는 평가다. 
 
정부는 1월 22일 서울 양재동 엘타워에서 클라우드 품질, 성능 기준 및 정보보호 기준 고시 공청회를 개최했다
정부는 1월 22일 서울 양재동 엘타워에서 클라우드 품질, 성능 기준 및 정보보호 기준 고시 공청회를 개최했다
미래창조과학부는 지난 22일 서울 양재동 엘타워에서 ‘클라우드 컴퓨팅법 관련 고시 제정 추진’을 위한 공청회를 개최하고 정보보호에 관한 기준과 품질·성능에 관한 기준 고시 등을 제정해 발표했다. 이번에 발표된 고시안은 공청회를 거쳐 업계 의견을 수렴하고 관계부처 협의, 규제심사 등을 거쳐 오는 4월 최종 확정될 예정이다. 

우선 품질·성능에 관한 기준 고시 제정안에 따르면, 국내 클라우드 시장이 초기형성 단계임을 감안해 서비스 품질과 성능의 조기 향상을 위한 기본적인 측정 기준이 제시된다. 가용성과 응답성, 확장성, 신뢰성, 서비스 지속성, 서비스 지원, 고객대응 등을 기준으로 평가된다. 특히 이미 운영 중인 클라우드 품질평가서비스를 발전시킨다는 목표다. 

미래부 측은 “이를 통해 클라우드 서비스의 신뢰도를 향상하고 이용자 만족도를 제고해 이용확산과 국내 클라우드 산업 활성화를 기대할 수 있다”며 “특히 민간 중심의 평가 환경을 구축해 평가체계가 클라우드 시장 변화와 기술 발전에 지속 부합할 수 있는 환경이 조성될 것”이라고 설명했다. 

또 미래부는 정보보호에 관한 기준 고시를 마련해 제정했다. 이번 안에 따르면 국제표준(ISO27001), 클라우드컴퓨팅법에서 규정한 정보보호 조치사항 등을 핵심요소로 구성됐다. 특히 관리적, 물리적, 기술적 보호조치 및 공공기관용 추가 보호조치 등을 중심으로 총 14개 부문에 118개의 통제항목이 마련됐다. 사업자 부담을 덜기 위해 미국, 일본 대비 통제항목 수는 줄었으며, 서비스 안정성과 신뢰성을 담보하기 위한 핵심 항목은 추가, 강화됐다는 것이 미래부 측의 설명이다. 

관리적 조치에는 정보보호 정책 및 조직, 인적보안, 자산관리, 서비스 공급망관리, 침해사고 관리, 서비스 연속성 관리, 준거성 등이 포함됐다. 물리적 조치에는 물리적 보호구역 지정 및 보호, 정보처리 시설 및 장비보호 등의 내용이 들어있으며, 기술적 조치에는 가상화 보안, 접근통제, 네트워크 보안, 데이터 보호 및 암호화, 시스템 개발 및 도입보안 등이 포함됐다. 공공기관을 위한 추가 조치 사항으로는 보안서비스 수준 협약, 도입전산장비 안전성, 물리적 분리, 이중화 및 백업체계 구축, 암호화 기술 제공, 보안관제 제반환경 지원 등이 들어있다. 

미래부 측은 “고시안은 IaaS를 중심으로 구성됐으며, PaaS와 SaaS에 대한 보호조치도 일부 포함됐다”며 “향후 서비스 고도화, 다변화 등에 대응해 고시를 탄력적으로 운영할 것”이라고 설명했다. 또 “공공기관의 안전한 민간 클라우드 이용을 보장하기 위해 사업자에 대한 정보보호 기준 준수 여부 확인을 추진할 것”이라며 “Kisa에서 사업자의 신청을 받아 시험, 평가한 후 그 결과를 클라우드 스토어에 공개할 것”이라고 밝혔다. 

국정원 개입 및 모호한 기준, 개선 필요
 
하지만 이번 공청회에서 참석한 업계 관계자들은 이번 고시안에 대해 우려의 목소리를 냈다. 
 
이번 고시안에서 업계가 우려의 목소리를 내는 부분은 공공기관용 민간 클라우드 추가 보호조치에 따른 내용에 대한 부분이다. CC 인증을 통과한 솔루션만이 사용될 수 있으며, 클라우드 시스템 및 데이터는 국내에 위치해야만 한다. 또 민간 클라우드와 공공 클라우드는 반드시 물리적으로 분리돼야 할 뿐 아니라 암호화 수단은 검증필 국가표준 암호화 기술을 제공해야만 한다. 
 
서광규 상명대학교 교수는 “CC 인증을 받으려면 적어도 1년가량의 시간이 필요하다”며 “이는 CSP(클라우드서비스공급자)들에게 오히려 진입장벽이 될 수 있기 때문에 대안을 마련할 필요가 있다”고 말했다. 
 
성일용 시스코코리아 부사장은 “클라우드 시스템 및 데이터를 국내에만 보관하도록 한정하는 것은 무역 장벽일 수 있을 뿐 아니라 다양한 암호화 국제 표준이 있음에도 국가표준암호화만을 지정하는 것은 글로벌 사업자들에게 제약을 거는 것”이라고 주장했다. 
 
이에 대해 손경호 KISA 단장은 “국가 정보보안 기존 지침은 반드시 따라야 하는 것으로 28종의 CC 인증은 필수적이며, 모든 기준은 관계기관과 협의를 거쳤을 뿐 아니라 공공기관의 요구사항이기 때문에 이 사항은 지켜야만 한다”고 설명했다. 
 
스타트업과 중소기업들에게는 불리하다는 주장도 제기됐다. 이재경 영림원소프트랩 전무는 “초안의 클라우드 서비스 품질 성능 세부기준안에 따르면 재무상태, 기술보증 제출 조항 등이 있기 때문에 대기업과 글로벌 기업에게만 유리할 수 있다”고 주장했다. 
 
또 다른 클라우드 업계 관계자는 “ISMS(정보보호관리체계)는 대기업도 받기 어려운 데, 이를 중소기업이 받기 위해선 너무 많은 준비가 필요하다”며 “KISA의 도움이 절실하다”고 말했다. 
 
서성일 미래부 SW과장은 “고시안의 기준이 아직은 윤곽만 잡은 것이 많다”며 “행자부, 국정원 등과 세부규칙 및 시행 계획을 보다 다듬어 보다 자세한 내용을 나눌 수 있는 자리를 마련할 것”이라고 밝혔다. 

유진상 기자 jinsang@chosunbiz.com