기고 | 2023년 공공부문 클라우드 활용 전망과 이슈

이젠 대부분의 기업이 내/외부 업무에 클라우드를 활용하고 있다. 특히 상용 퍼블릭 클라우드의 활용이 보편화되고 있다. 매년 기업의 클라우드 활용 현황을 조사하여 발표하는 플렉세라(Flexera)의 2022년 보고서에 의하면 대상 조사기업의 98%가 상용 퍼블릭 클라우드를 사용하는 것으로 나타났다.¹ 의존하는 정도의 차이는 있지만 사실상 모든 기업이 상용 클라우드를 활용하고 있다고 볼 수 있다.

클라우드 활용 확대는 기업뿐만 아니라 공공부문에서도 두드러지고 있다. 가트너는 2023년 전 세계 퍼블릭 클라우드 시장 규모가 841조원에 달할 것으로 전망했다.² 국내의 경우 퍼블릭 클라우드 시장에 대해 별도로 언급하지 않았지만 전체 퍼블릭 클라우드 지출액이 2023년에는 6조 4,700억 원에 이를 것으로 예상했다. 이에 국내 퍼블릭 클라우드 시장에서도 두 자릿수 이상의 성장을 기록할 것으로 전망했다.

우리나라는 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드컴퓨팅법)이 2015년 제정돼 클라우드 산업의 활성화와 기업 경쟁력 강화를 위한 제도적 기반을 구축하는 한편, 3차에 걸친 클라우드 기본계획 수립 및 시행을 통해 국가 클라우드 전면 전환을 위한 정책을 추진 중이다.

특히 2022년부터 2024년까지의 추진 방향을 제시하는 제3차 클라우드컴퓨팅 기본계획에서는 공공부문에서의 “민간 클라우드의 우선 이용”을 핵심 추진전략 3개의 축 중 하나로 설정하여 강조하고 있다. 여기에는 민간 클라우드 이용을 위한 지원체계 수립, 이를 바탕으로 한 도입 촉진, 보안 환경 조성, 그리고 “pay-per-use” 지원을 위한 조달체계 혁신이 포함되어 있다.
 

이러한 3차 기본계획의 방향과 일치하지 않는 공공부문 가이드라인에 대한 재검토 필요성도 대두됐다. 2021년 12월 윤영찬 의원실에서는 이와 관련 공공 클라우드 전환 정책 토론회를 개최하여 민간 클라우드 우선 방침과 상충되는 제도적 이슈와 개선 방안을 논의한 바, 정부주도의 공공클라우드센터 설립 추진 계획의 수정 또는 개선, 그리고 민간 클라우드 우선에 걸맞은 “옵트-아웃(opt-out) 방식의 도입 등이 거론되었다.³

이런 기조에 따라 전자정부법 제54조의2(클라우드컴퓨팅서비스의 이용)에서는 행정기관 등의 장이 “클라우드컴퓨팅서비스”를 이용할 수 있도록 일부 내용이 수정됐다. 여기서 “클라우드컴퓨팅서비스”는 민간 클라우드서비스를 의미한다. 또한, 민간 클라우드 우선 이용에 반하는 고시 또는 지침을 없애거나 통합하였다. 이에 따라 행정기관 내부업무 시스템도 “클라우드컴퓨팅서비스” 우선 이용 검토 대상이 되었으며, 공공 또는 민간 클라우드센터로 구분하던 정보자원 통합기준을 삭제하여 “클라우드컴퓨팅서비스” 이용기준으로 일원화하였다.

공공기관에 클라우드 서비스를 제공하기 위해서는 CSAP(Cloud Service Assurance Program) 인증이 필요하다.⁴ 그러나 2022년 11월 현재 이 인증을 받은 외국기업은 전무한 상태다. 국내 클라우드 시장을 장악하고 있는 글로벌 빅3 기업인 아마존, 마이크로소프트, 구글도 예외가 아니다. 국내 상황에 특화된 CSAP 인증 절차를 받기위해 별도의 노력을 들일만큼 공공부문 클라우드 시장규모가 매력적이지 않아 그 동안 해외 기업들이 적극적인 대응을 해오지 않았기 때문이다.

공공부문 클라우드 전환 정책이 민간 클라우드 우선 정책으로 방향을 잡고 관련 법제화가 진행되면서, 공공부문 시장확대에 대한 기대감이 높아졌다. 이에 글로벌 기업도 본격적으로 우리나라 공공부문 시장 진출을 계획하고 있다. 그러나, 이들에게 걸림돌이 되고 있는 것이 CSAP인증이다. 물리적 망 분리, 국정원 검증필 국가표준 암호화기술 적용과 같이 우리나라에 특화된 요건으로 인해 글로벌 기업의 대응이 여의치 않은 것이다. 이들 글로벌 기업이 산업통산자원부를 통해 CSAP 인증 요건 개편을 요구하고 있다는 것도 공공연히 알려진 사실이다.

외국 기업의 요구와 관계없이 CSAP 인증 방식은 좀더 ‘현대화’가 필요하다는 지적에 대해서도 많은 전문가가 동의하고 있다. 우리보다 먼저 클라우드 보안 정책을 도입해 실행하고 있는 미국의 경우 CSAP에 해당하는 것으로 FedRAMP가 있다.⁵ CSAP가 클라우드 서비스 유형별 분류에 따른 보안 통제 방식을 구분하고 있다면, FedRAMP는 체계적으로 정의된 보안 등급 분류 기준에 따라 통제 방식을 구분하고 있다. 클라우드에서 다루어지는 데이터 및 애플리케이션에 대해 보안 등급을 부여하고 이 등급에 따른 보안 통제 방식을 구분하는 것이 합리적인 접근 방법이라는 것이다. 우리나라에서도 클라우드 인증 요건에 대한 개정이 공론화되며, FedRAMP와 유사한 보안 등급에 따른 보안 통제 방식 차등화로 가닥을 잡아가고 있다.⁶

공공부문 클라우드 인증방식 개편은 2023년 퍼블릭 클라우드 시장 판도에 적지 않은 파장을 불러일으킬 것으로 보인다. 이미 기존 인증방식으로 퍼블릭 클라우드 시장에 진출해 있는 국내기업에게는 위협요소가 될 가능성이 높다. 그러나 국내 클라우드 산업 발전 관점에서 부정적인 측면만 있는 것은 아니다. 우리나라 클라우드 서비스 제공 기업이 좀 더 글로벌 표준에 맞는 경쟁력을 갖출 수 있는 계기로 삼을 수도 있다. 애플리케이션 서비스를 제공하는 기업은 공공부문 진출을 마중물로 삼아 일반 기업 시장, 더 나아가 글로벌 시장으로 진출할 수 있다. 민간 전문가와 정부 관계자들이 머리를 맞대고 합리적으로 인증방식 개편을 마무리하는 것이 급선무이며, 동시에 국내 클라우드 기업이 경쟁력을 갖출 수 있는 정부차원의 플래그십 사업도 함께 고민하여야 할 것이다.

<sup>1. Flexera, “State of the Cloud Report”, 2022
2. 파이낸셜뉴스, “2023년 전세계 공공 클라우드 시장 841조원 규모…국내는 6.5조원 육박”, 2022.11.1
3. 아주경제, “행안부 공공클라우드센터, 민간우선 방침 상충…옵트아웃 도입해야”, 2021.21.17
4. 한국인터넷진흥원, “클라우드 보안인증제”
5. FedRamp, “Securing Cloud Services
6. 과학기술정보통신부 보도자료, “보안 규제개선으로 혁신적 신기술 서비스 공공도입 촉진”, 2022.8.19</sup>

* 윤대균 교수는 서울대 컴퓨터공학과에서 학사/석사, 미국 USC에서 박사를 취득했으며, 대기업 근무, 창업 등 IT분야에서 30년 넘게 활동했다. 아주대교수로 옮기기 전 10년 동안은 네이버 경영진, 삼성전자 전무 이사를 역임했다. 현재는 소프트웨어 분야 후진을 양성하는데 힘쓰고 있으며, 클라우드 컴퓨팅 기술 및 산업 발전을 위한 다양한 외부 활동도 적극적으로 하고 있다. ciokr@idg.co.kr