현재, 국내에서는 디지털 트랜스포메이션 가속화가 진행 중이다. AI, 클라우드, SaaS 기반 서비스 등 신기술이 다양한 업무에 활용되며 여러 이점을 제공하고 있다. 이에 따라, 공공과 민간 부문에서도 클라우드 전환을 통해 서비스 효율성을 높이려는 가운데 우리 정부는 '디지털 플랫폼 위원회'를 출범하여 2026년까지 주요 시스템의 70%를 클라우드 기반으로 전환한다는 '클라우드 네이티브'를 지향 목표로 삼고 있다.
민간 분야에서 시작된 이러한 변화는 공공을 거쳐, 현재 금융권에서도 일어나고 있다. 클라우드 시대의 도래로 인해 금융권도 클라우드 서비스 도입을 서두르고 있다. 10년 이상 유지되고 있는 금융권 망분리 정책으로 인해 즉각적인 반영이 쉽지 않았으나, 망분리 정책이 각 금융사의 보안 수준을 고려하지 않은 일률적 적용 등 금융 산업 발전의 제약 원인으로 지적되며, 이에 금융위는 '금융 클라우드 및 망분리 규제 개선 방안'을 마련하여 금융권의 클라우드 컴퓨팅 서비스 활용을 핵심 업무까지 확대하고 단계적으로 규제를 완화하고 있다.
본격적인 클라우드 전환에 있어 당면한 문제는 보안이다. 공공, 민간, 금융 차원에서 디지털 전환이 본격화되면서 이와 관련된 AI, 클라우드 등의 기술 발전은 빠르게 진행되고 있지만 국내의 보안 기술의 적용 속도는 아직 미미한 실정이다. 이로 인해, 기업들은 클라우드 보안 위협에 적절히 대응하지 못하고 있다. 최근 클라우드 보안 위협을 살펴보면 불충분한 사용자 검증, 보안 전략 부족, 전문 보안 인력 부재로 인한 설정 오류 등 '사용자 부주의'가 주요 원인으로 나타났다. 또한, '내부자 위협', '계정 탈취' 등의 위협도 증가하고 있다. 이처럼 내·외부에서 모두 일어나는 클라우드 보안 위협은 심각한 피해 사례로 이어질 수 있다.
실제로 클라우드 환경은 공격 표면이 넓어 공격에 취약한 특성을 갖고 있다. 그렇기에 경계를 중심으로 강력한 외부 접근 통제를 적용하는 기존의 온프레미스 보안으로는 해결이 어려우며, 클라우드 환경을 안전하게 보호하기 위한 별도의 보안 체계 도입이 필수적이다.
원활한 클라우드 보안 도입을 위해서는, 국가 차원에서의 클라우드 보안과 관련된 정책 및 입법·제도 지원이 긴요하다. 그러나 현재 공공기관의 클라우드 전환 예산이 전년 대비 축소되며 국내 클라우드 보안 시장의 잠재력도 함께 위축되고 있는 실정이다. 보안 산업 분야는 국가적으로 매우 중요하지만 규제 산업적 성격과 수익 창출까지 시간이 걸리는 점으로 인해 예산 배정과 투자 유치가 현실적으로 어려움이 많다. 이에 따라, 정부는 물론 국회 및 국회 예산정책처 차원에서 이를 인식하고 이해하며, 보안 산업에 대한 특별한 배려가 절실해 보인다.
또한, 올해 배포된 '국가 클라우드 컴퓨팅 보안 가이드라인'은 명확한 클라우드 보안 기준이 마련되어 있다고 보기에는 부족한 부분이 많다. 해당 가이드라인에는 '주기적인 모니터링 수행', '안전한 이전 수단 이용' 등 일반적 기준은 있지만, 클라우드 보안 구현을 위한 실제 방법을 파악하기에는 여전히 불확실한 요소가 존재한다. 이로 인해, 기업 및 기관에서는 보안 요구 사항의 구체방안 결정이 어렵고, CSP(클라우드 서비스 제공자)도 일관된 보안 표준 제공이 힘든 상황이다.
뿐만 아니라, 클라우드와 관련된 정보보안 정책들의 강제성이 약한 점도 문제이다. 현재의 정책은 클라우드 서비스 활용 촉진에 초점을 맞추고 있어 강제성이나 규제성이 부족하다. 이러한 환경 하에서 기업이나 기관 입장에서는 최소한의 보안 요구만 충족하려 할 뿐, 그 이상의 보안 수준을 위해 투자할 필요가 없게 되는 것이다. 그러나, 보안은 취약점이 발생하기 쉬운 클라우드 활용에서 떼어낼 수 없는 최우선 장치로서, 도입 초기부터 고려되어야만 미연의 보안 사고를 방지할 수 있다. 따라서, 일정 수준의 보안 기준 강제화는 보안에 대한 신뢰와 안정성 향상에 필수적이다.
이에, 정부는 클라우드 보안을 비롯한 국내 클라우드 산업 육성을 위해 명확한 정책과 비전을 제시하는 한편, 제도 개편도 수행해야 할 것이다. 더 나아가, 국내 클라우드 서비스 제공자에 대한 투자 강화, 기술력 배양 및 전문 인력 육성 등 산업 활성화를 위한 우리 정부의 지속적인 지원도 절실하다.
물론, 국내 클라우드 보안 기업 차원의 노력도 함께 이루어져야 한다. 현재 클라우드 보안 시장은 AWS, Azure, 팔로알토 네트웍스 등 글로벌 빅테크 기업들의 안마당이나 마찬가지인 상황이다. 이러한 외산 제품은 일부 기능적으로 앞선 부분이 있지만 국내 클라우드 환경에 최적화되어 있지 않을뿐더러, 민감한 데이터의 해외 유출 등으로 인해 국가 안보에 치명적 영향을 미칠 수 있다는 문제점을 안고 있다. 더욱이, 장애 상황 발생 시 즉각 대응이 어려우며 국내 규제와 제품 간 부조화가 존재할 수 있다. 국내 기업들이 클라우드 서비스를 제공하거나 제품을 도입할 때는 다양한 법령에 근거한 국내 규제를 준수해야 한다.
그러나, 외산 제품은 국내 규제에 대한 이해도가 낮아 해당 요구에 적절히 대응하지 못할 수 있다. 이는 일부 국내 솔루션을 통해 문제를 해결할 수 있지만, 그 개수가 부족하다는 것이 문제다. 이에 국내 클라우드 보안 기업들은 자체 솔루션의 경쟁력 및 디지털 주권 강화를 위한 지속적 기술 개발과 제품 고도화에 노력해야 할 것이다
결론적으로, 우리의 자주적인 클라우드 보안 체제를 갖추기 위해서는 정부와 기업, 양측 모두의 노력이 필요하다. 국가와 기업, 기관 간의 협력을 통해 성공적인 클라우드 전환과 함께 클라우드 보안의 안정성과 발전을 공동 목표로 협력해야 한다. 이를 통해 급변하는 IT 인프라에도 흔들리지 않을 국내 고유의 클라우드 보안을 구축하고, 동시에 글로벌 경쟁력 강화를 기대할 수 있을 것이다.
정우영 한국과학기술정책연구회(국회) 사무총장