글로벌 경제 위기는 많은 기업에 원가절감 동기를 부여하고 있다. 기업은 IT비용 절감으로 원가를 낮추는 생존전략을 적극적으로 모색해야 하는 상황이다. 이를 위해 많은 기업이 클라우드 서비스를 중요한 전략 기술로 채택한다. 클라우드 서비스는 기업 IT인프라 유지보수와 초기 투자비용 부담을 줄일 수 있다는 점에서 IT혁신을 통한 비용절감 방안으로 기대를 모으고 있다. 모바일 단말기 발달과 광대역 네트워크 진화로 클라우드 기반 유비쿼터스 모바일 서비스도 부각되고 있다.
하지만 한국IDC가 발표한 `2011 국내 기업 IT 수요 조사` 결과에 따르면 국내 기업의 클라우드 서비스 사용 비율은 13%로 미미한 수준이다. 이는 클라우드 서비스가 기업 정보화 시장에서 확실한 신뢰기반을 형성하지 못한 탓이다. 클라우드 서비스가 신뢰받기 위해서는 해결해야 할 문제가 있다. 서비스 품질기준, 권한남용 방지, 정보보호 등 법규와 서비스 도입 지원 정책을 사전에 정비해야 한다. △클라우드 서비스 확산에 따른 사업자와 소비자 간 품질 분쟁 △서비스 이전, 정보 유출 처리로 서비스 가이드라인과 서비스 품질기준 정립 △정보보안 관련 법규와 인증체계 마련 등도 필요하다.
이 중에서도 객관적인 평가를 거쳐 클라우드 서비스를 인증하는 작업이 중요하다. 서비스 인증으로 클라우드 서비스 전반에 불안감을 해소하고 품질을 높인다면 시장 활성화는 물론이고 국내 IT산업 국제 경쟁력 확보도 가능하다. 클라우드 서비스를 보다 활성화하기 위해 클라우드 서비스에 대한 안전성·신뢰성·지속성을 제고해 공급자와 이용자간 신뢰 기반을 구축해야 한다. 이에 필요한 것이 체계적인 클라우드 서비스 인증제도다.
해외 사례를 살펴보면 일본에는 ASP·SaaS 인증제도가 있다. 이는 우리나라 ASP 인증 제도를 참고해 개발됐다. 일본은 2007년 11월 총무성 ASP·SaaS 안전· 신뢰성 정보개시 지침을 시작으로 이듬해 1월 경제산업성 SaaS용 SLA가이드라인, 총무성 ASP·SaaS 정보 보안 대책 가이드라인을 발표했다.
미국은 정부 차원에서 지난해 11월 FedRAMP(Federal Risk and Authorization Management Program)로 불리는 클라우드 보안 인증 서비스를 도입했다. 중국도 최근 클라우드 서비스 인증 필요성을 느끼고 클라우드 인증 제도를 준비 중이다. 우리나라에서는 지난달 방송통신위원회가 `클라우드 서비스 인증제`를 시행한다고 발표했다. 클라우드 서비스 인증제는 클라우드 사업자가 제공하는 서비스를 평가해 일정 수준 이상 체계나 절차를 확보하고 있는 경우에 인증을 부여하는 제도다.
심사 기준은 3대 분야(품질, 정보보호, 기반) 7개 항목(가용성, 확장성, 성능, 데이터 관리, 보안, 서비스 지속성, 서비스 지원)으로 구성된다. 인증 받은 업체는 클라우드 인증 마크와 획득 사실을 공표하거나 홍보할 수 있다.
제도 도입 발표 후 국내 IT업체 반응은 엇갈렸다. 실효성이 크지 않을 것이라는 우려와 함께 정책 취지 이해가 확보된다면 클라우드 서비스 신뢰도를 확보할 수 있을 것이라는 긍정적인 반응이 혼재했다. 많은 IT기업이 클라우드 서비스 인증제도 필요성은 공감하나 실제로 인증서를 받았을 때 누릴 수 있는 이점은 부족하다고 지적한다.
클라우드 서비스 인증 심사는 이달부터 진행된다. 상황을 좀 더 지켜봐야겠으나 분명한 것은 사용자들이 서비스 품질, 보안, 서비스 제공 상태를 인증받은 서비스를 우선적으로 고려할 것이라는 점이다. 인증 받은 서비스는 안전하고 신뢰할 수 있는 서비스를 제공하기 위한 최소한 프로세스를 갖추고 있기 때문이다.
앞으로 정부 역할도 중요하다. 정부가 심사 부문만이 아니라 인증기업 혜택을 보완하고 이를 법적으로 제도화해야 사업자와 이용자 모두에게 득이 되는 인증제도가 만들어진다. 인증제도가 정착되면 차세대 기술이 다양하게 성장하는 시너지 효과를 낳아 클라우드 서비스와 물론 IT생태계 전체가 활성화되는 계기가 마련될 것이다.
한국클라우드서비스협회 법제도 분과위원장(상명대 교수) kwangkyu@smu.ac.kr
