생각보다 어려운 ‘이메일 as a Service’

요즘에는 모든 경영자들이 클라우드로의 이행 압박에 시달리고 있는 듯 하다. 미국 정부도 마찬가지다. 현 행정부의 클라우드 우선 정책으로 인해 여러 연방 기관들이 핵심 시스템을 클라우드로 속속 이전하고 있다.

이에 대응하여 기관의 CIO들은 상대적으로 쉬운 애플리케이션과 시스템 등을 이전하기 위해 발빠르게 움직이고 있다. 그 중 가장 중요한 부분은 공공 대응 웹 사이트, 고객관계 관리, 콘텐츠 및 문서 관리, 이메일 등이다.

이미 잘 알려져 있듯이 클라우드 EaaS(Email as a Service)를 통한 기업 이메일 운용은 누구든 쉽게 달성할 수 있는 목표이다.

이미 수천 개의 기관들과 수백 만 명의 사용자들에게 제공되고 있는 많은 퍼블릭 EaaS 서비스들이 존재하고 있다. 또 이메일 표준과 기술은 꽤나 성숙한 상태이며, 기존의 온프레미스(On Premise) 이메일 시스템이 노후화된 경우가 많기 때문에 이전을 추진하는 것 자체는 그리 어렵지 않을 것이다. 또 이메일의 사용 또한 매우 간단하기 때문에 새로운 시스템으로의 이양에 따른 부담스러운 변화 관리와 교육도 필요 없다.

하지만 기존의 온프레미스 이메일 시스템을 자세히 살펴보면 EaaS로 이행하기에 복잡한 다수의 요소들을 발견할 수 있을 것이다.

• 기존 이메일 시스템은 분명 ID 및 접근관리 시스템과 긴밀히 통합되어 있을 것이며, 특히 직원들이 자신의 이메일 계정을 포함하는 SSO(Single Sign On) 기능을 즐겨 사용한다면 그 통합의 정도는 더할 것이다.
 
• 기존 이메일은  기업 일정관리 툴, 주소록, 기타 협업 기술에 연결되어 있을 가능성이 높다.
 
• 직원들이 자신의 업무용 컴퓨터, 가정용 컴퓨터, 스마트폰을 사용해 이메일을 확인한다는 사실을 잊지 말기 바란다.

어떤 EaaS 이행 전략이든 이런 모든 문제를 반드시 고려해야 한다.

무역 협정과 정책이 정부의 EaaS 이행을 어렵게 하고 있다
미 연방 정부는 단순히 규모뿐만이 아니라 그 수요의 다양성과 그 운영의 규제적 특성 때문에 다른 문제점들도 안고 있다. 예를 들어, 보안은 분명 다른 무엇보다도 중요한 문제이며, 보안적 요건은 민간, 법률 집행, 군사, 정보 기관 등 그 종류에 따라 달라지게 된다. 이와 동시에 정부의 자유무역 정책으로 인해 중요한 이유가 따로 있지 않는 한 미국에 위치한 제공업체로 계약을 국한시킬 수 없다.

GSA(General Services Administration)는 지난 2011년 5월에 발표한 견적 요청(RFQ)에서 이런 우선 순위의 충돌을 발견했다. 이 RFQ에서는 정부의 많은 기관들이 EaaS 구매로 인해 수혜를 거둘 것으로 예상했다. 수백 만 달러의 비용을 절감하면서 필수적인 클라우드 우선 요건을 충족시킬 수 있을 것이라는 기대였다.

하지만 관리예산처(Office of Management and Budget) 및 USTR(United States Trade Representative)과의 대화 후, GSA는 기관의 보안 우려를 자유무역 정책과 절충해야 하며, 기관들이 미국 외에 데이터센터를 갖춘 EaaS 제공업체들을 선택할 수 있도록 해야 할 필요가 있다는 사실을 깨달았다.

GSA가 직면한 문제는 법률과 정책으로 인해 복잡한 방식으로 정부의 이메일 데이터센터를 제공하는데 있어서 어떤 국가가 위험한지를 결정하는 것이었다. (이란(Iran), 쿠바(Cuba), 중국(China), 북한(North Korea) 등 일부 국가는 위험이 명백했기 때문에 제외하기가 쉬웠다.)

결국 RFQ로 인해 EaaS 데이터센터와 관련된 규제에 대한 목소리가 높아졌다. 어쨌든 이미 이런 선택과 유사한 선례가 다수 존재했으며 문제가 되는 모든 국가들은 목록에서 제외되었다. GSA는 TAA가 지정한 국가 목록을 사용함으로써 기관의 보안 요건과 자유무역의 원칙 사이에 균형을 유지하기로 결정했다.

하지만 그 어떤 것도 쉽지 않았다. 소수의 계약자들이 TAA 목록이 과도하게 임의적이며 데이터센터 자체의 위치보다는 데이터 센터 제공업체들의 본사가 위치한 곳을 제한할 뿐이라고 지적하면서 반발했다.

이런 계약자들이 항의서를 제출했으며 GAO(Government Accountability Office)가 이에 동의했다. 어쨌든 TAA가 지정한 국가 목록으로 인해 이론적으로 예멘(Yemen), 소말리아(Somalia), 아프가니스탄(Afghanistan) 등의 국가에 위치한 데이터센터 제공업체들을 허용함과 동시에 인도(India), 남아프리카(South Africa), 브라질(Brazil) 등의 제공업체는 임의적으로 제외할 수 있게 되었다. 또한 GAO는 서면상 RFQ가 데이터 센터가 중국 등지에 위치해 있다 하더라도 본사가 TAA가 승인한 국가에 위치할 가능성을 감안할 것이라는 사실에 동의했다.

GAO가 발견한 사항으로 인해 GSA는 다시 RFQ를 수정하게 되었다 EaaS 데이터센터가 위치하기에 충분히 안전한 국가를 공식적으로 지정할 수 있는 방법이 없는 상황에서 해당 기관은 EaaS 제공업체들이 자체 데이터센터의 위치를 정부에 알리도록 요구했다. 각 기관은 인도 또는 브라질의 데이터 센터가 자체적인 보안 요건을 충분히 충족하는지 여부를 판단할 수 있게 되었다.

이 이야기와 관련하여 추가적인 사항이 있다. 동일한 RFQ에서 GSA는 피상고인들에게 퍼블릭 클라우드, 정부 커뮤니티 클라우드, 비밀스러운 소수의 퍼블릭 클라우드 등을 포함하여 다양한 클라우드 배치 모델을 제시하도록 요구했다. 이에 상고인들은 GSA가 정부 커뮤니티 클라우드를 포함시킨 것에 쟁점을 제기했다. 그들은 이런 클라우드와 퍼블릭 클라우드 사이에 기술적인 차이는 없으며 유일한 가장 큰 차이점은 비정부 트래픽이 정부 커뮤니티 클라우드에서 금지된다는 것뿐이라는 근거를 제시했다. 결과적으로 상고인들은 정부 커뮤니티 클라우드가 경쟁을 불공평하게 제한할 것이라고 주장했다.

이런 상황에서 GAO는 상고인들의 상고와는 달리, 다중 클라우드 환경에 내재된 보안 위험이 정부 커뮤니티 클라우드에서 비정부 트래픽을 배제할 만큼 충분하다고 결론 내렸다. 사실 GAO는 현재 시장에서 다중 가상 아키텍처의 기반이 되는 하이퍼바이저(Hypervisor)가 비정부 객체에서는 완화되는 보안 결함을 내포하고 있다고 지적하고 있다.

GSA는 RFQ를 수정한 후, 이를 재 공표하고, 지난 8월에는 자체 BPA를 위한 17개의 EaaS 제공업체를 선정했다. 결과적으로 어떤 기관 또는 부서든 사무 자동화, 전자 기록관리 및 이메일 이행, EaaS로의 통합 서비스 등 5개의 "다양한 선택권에서" 서비스를 구매할 수 있게 됐다.

이 이야기의 핵심은 선택할 수 있는 EaaS 제공업체와 계약을 체결하거나 선호하는 퍼블릭 서버에서 이메일 서버를 제공하기보다는 여러분의 기업용 이메일을 클라우드로 이행할 수 있는 풍부한 선택권이 존재한다는 것이다.

대부분의 사설 부문 기업들이 반드시 해외의 거래 협력사들로부터 서비스를 구매해야 한다는 규정을 갖고 있지는 않을 것이다. 그러나 실제로 모든 기업들은 EaaS를 도입하는데 있어서 정부가 직면한 것과 유사한 문제를 안고 있다. 클라우드에 있어서 이메일은 매우 쉽게 달성할 수 있는 목표일 수 있지만, 이메일의 일상적인 특성 때문에 이 가장 기본적인 IT 서비스를 클라우드로 이행하는 것이 매우 간단한 작업이라 생각하는 오류를 범하지 말기 바란다.

여기서 중요한 또 다른 교훈은 EaaS로의 이행은 기술적이기 보다는 구조적인 문제라는 것이다. 실제로 보안은 영원한 숙제이지만, 규제력을 지닌 변화관리의 문제는 기술적으로 뛰어난 IT 기관들조차도 빠질 수 있는 함정을 만들어 낸다. 클라우드로 이행하게 되면 극적인 비용 절감을 달성하고 기관의 비즈니스적 민첩성을 향상시킬 수 있지만 그것은 어디까지나 모든 것을 완벽하게 처리했을 때 가능한 이야기다. 세상에 공짜는 없다는 사실을 반드시 기억하자.

* Jason Bloomberg는 잽씽크(ZapThink)의 대표다. ciokr@idg.co.kr