`클라우드 보안문제` 구름 너머로 날려보낸다…민관 보안체계 강화

<미래부 클라우드 서비스 정보보호대책 추진과제>
<미래부 클라우드 서비스 정보보호대책 추진과제>

민관이 손잡고 클라우드 서비스 보안 체계를 강화한다. 클라우드 확산에 걸림돌로 여겨졌던 보안 문제를 해소한다.

정부는 올해 클라우드컴퓨팅 발전법을 시행하고 클라우드 활성화 계획을 발표했다. 클라우드 산업 활성화 원년으로 선포했다. 클라우드가 신시장 창출은 물론이고 전 산업 생산성을 향상시키는 정보통신기술(ICT) 인프라로 자리잡는다.

문제는 클라우드 서비스 보안에 대한 과도한 우려다. 정보를 외부에 위탁하는 특성상 정보보호 침해가 클라우드 활성화를 저해하는 장애요인으로 작용한다. 정보통신산업진흥원이 지난해 실시한 산업실태조사에 따르면 민간기업 30.6%, 공공기관 33.3%가 클라우드 도입 시 데이터 보호를 가장 중요시하는 것으로 나타났다. 종전까지 ICT 인프라와 데이터를 직접 관리하다 외부에 위탁 운영하는 것에 막연한 불안감이 따른 탓이다.

정수환 숭실대 교수는 “사용자 입장에서 보안 불안감이 크겠지만 보안 사고는 개인 PC가 취약한 상태에서 촉발되는 게 다반사”라며 “오히려 대형 인터넷데이터센터(IDC)나 유능한 보안전문가가 관리하는 시스템이 더 안전하다”고 지적했다.

미래창조과학부는 클라우드 보안 우려를 해소하고 올바른 보호 체계를 도입하고자 정보보호대책을 수립, 시행 중이다. 미래부는 2019년까지 △클라우드 사업자 정보보호 수준 향상 및 대응 체계 구축 △클라우드 이용자 정보보호 기반 구축 △클라우드 정보보호 전문기업 육성 등을 추진한다. 모든 것을 정부가 주도하지 않는다. 클라우드 사업자·이용자가 함께 참여한다.

미래부는 클라우드 사업자가 준수할 클라우드 정보보호 기준을 마련한다. 클라우드 서비스 품질·성능 기준도 수립한다. 사업자는 정보보호 조치 현황을 자율적으로 공개한다.

이용자 보호를 위해 안전한 서비스 환경을 조성한다. 이용자 정보보호 조항과 정보를 제3 기관에 보관하는 임치제도를 도입한다.

클라우드 정보보호 기술 개발과 인력 양성에도 힘쓴다. 클라우드 인프라로 유입되는 사이버 공격에 대응하는 보안 기술 개발에 집중 투자한다. 개발 기술은 민간기업과 시범·실증사업을 전개해 검증, 도입한다. 클라우드 정보보호 전문 기업을 육성해 기술 개발에서 성장, 해외 진출까지 체계적으로 지원한다.

정보보호 특성화 대학을 활용해 클라우드와 정보보호 전문성을 동시에 갖춘 고급인력을 배출한다. 기존 정보보호 인력이 새로운 클라우드 환경에 대응하도록 재교육을 실시한다.

클라우드 사업자 정보보호 수준 강화 노력도 이어진다. 이미 국내 클라우드 사업자는 글로벌 기업 못지않은 보안 역량을 갖췄다. 국내 법·제도상 필요한 보안 요소는 오히려 아마존·마이크로소프트(MS) 등 글로벌 기업보다 앞섰다는 평이다. 상당수 민간 기업이 이 같은 이유로 국내 클라우드 서비스를 이용한다.

국내 클라우드 사업자만의 공공기관 특화 서비스도 보안 문제를 해소한다. 미래부는 지난달 클라우드 활성화 1차 기본계획에서 공공 시장을 클라우드 산업 활성화 마중물로 삼겠다고 밝혔다. 공공 클라우드 확산이 국내 클라우드 산업 성장 디딤돌이 된다.

국내 클라우드 사업자는 공공기관 전용 서비스를 준비했다. 공공기관에 민간 사용자와 분리된 클라우드 존을 제공한다. CC인증 등 국내 규정을 충족하는 보안 솔루션으로 클라우드 인프라를 구성한다. 클라우드 인프라에 일반적으로 쓰이는 논리적 분리가 아닌 물리적 하드웨어(HW) 독립성이 보장된 환경을 지원한다.

송 교수는 “클라우드 내부 모니터링과 보안을 강화하고 높은 수준 보안기준을 마련하면 (클라우드 보안은) 충분히 실현 가능하다”며 “국내 클라우드 산업 발전에 보안이 더 이상 장애물이 되지 않도록 상세 추진 전략을 마련해야 한다”고 강조했다.

이호준기자 newlevel@etnews.com