출저 : https://blog.lgcns.com/2853?category=515093
행정안전부는 7월 27일 ‘행정/공공기관 정보자원 클라우드 전환/통합 추진계획’을 발표하고, 오는 2025년까지 중앙정부부처, 지자체 및 공공기관의 정보시스템 가운데 총 10,009개 시스템을 클라우드로 전환/통합하기로 했습니다. 이를 바탕으로 공공기관의 디지털 트랜스포메이션 경쟁력 강화와 국내 클라우드 산업의 발전에 촉매제 역할을 하겠다는 계획입니다.
[그림 1] 행정·공공기관 정보시스템의 클라우드 전환 계획 (출처 : 디지털경제뉴스)
또한, 공공 클라우드 센터 구축 사업에 민관협력형 클라우드 사업 모델(클라우드 시스템 구축은 민간 사업자가 맡고 공공기관은 사용료를 지불하는 방식) 도입을 고려하고 있습니다.
민/관 협력형 공공 클라우드 센터는 민간기업의 비용으로 건립/구축하고, 행정/공공기관이나 지방자치단체가 전용 클라우드 데이터 센터처럼 활용할 수 있는 시설을 뜻하는데요. 이를 바탕으로 클라우드 보안 인증(CSAP)을 획득한 민간 클라우드 서비스가 증가하고 공공 부문의 이용이 확대될 전망입니다.
한편, 공공 클라우드 센터 이용 대상인 정보시스템의 수용을 위해 공공 클라우드 센터 지정 및 배치 방향도 공개됐습니다.
중앙부처의 시스템은 지난 3월 지정된 국가정보자원관리원 대전과 광주센터에, 공공기관의 시스템은 2022년 개소하는 국가정보자원관리원 대구센터에 클라우드 전환·통합을 우선 추진할 예정입니다.
지자체의 시스템은 자체 클라우드 센터 구축, 한국지역정보개발원(KLID) 활용 또는 민·관 협력을 통한 추진 등 지자체의 지역적 특성, 재정 여건 및 정보화 역량과 같은 제반 상황을 고려해 다양한 방식으로 클라우드 전환이 가능하도록 했습니다.
1) 모호한 공공 클라우드 센터 이용 기준
행정안전부의 계획은 국내 민간 클라우드 산업 활성화를 위해 공공부문의 선도적인 클라우드 활용을 높여 공공·민간 클라우드 센터로 전환 및 통합하는 것입니다. 자세히 들여다보면 국가안보, 수사·재판, 내부 업무 등 행정기관의 중요한 정보와 공공기관의 민감한 정보 처리를 위해서는 공공 클라우드 센터를 이용하겠다는 계획이죠.
문제는 내부 업무 및 공공기관의 민감한 정보를 어디까지 볼 것인지 명확한 기준이 없는 모호성으로 말미암아 행정 시스템 전반으로 해석할 공산이 크다는 점입니다. 이 경우, 기관 홈페이지와 같은 소규모 시스템에만 적용이 가능, 민간 클라우드가 들러리로 전락하는 결과를 낳을 수 있습니다.
2) 공공 클라우드 지정 요건의 중복
과학기술정보통신부와 한국인터넷진흥원은 공공기관에 제공되는 민간 클라우드의 안전성과 신뢰성을 객관적으로 검증해 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력을 확보하기 위해 클라우드 보안인증제(CSAP)를 실시하고 있습니다.
공공 클라우드 센터로 지정받으려면 정보 자원의 통합 및 유지·관리, 사이버 침해에 대비한 보안관제·침해 대응을 포함해 전력·인적 보안·자산관리 등 82건의 지정 요건을 모두 만족해야 하는데요. 이는 CSAP 및 정보보호관리체계(ISMS) 인증과 거의 동일한 것으로, 이미 해당 인증을 모두 획득한 기업이 공공기관에 클라우드 서비스를 제공할 수 없다는 건 납득하기 어려운 부분입니다.
3) 민간 클라우드 센터는 보안성이 떨어진다?
클라우드 이전 시 보안은 가장 큰 우려 사항으로 꼽힙니다. 정보기술(IT) 환경이 복잡해질수록 위협 가시성이 떨어지고 정보 유출 가능성도 커지기 때문이죠. 특히 공공 부문은 보안 우려로 인해 클라우드 이전을 주저하는 경우가 많습니다.
우리나라는 클라우드 이전 시 보안 우려를 해소하고 공공 클라우드 확산을 촉진하기 위해 지난해부터 클라우드 보안 인증(CSAP) 제도를 운용하고 있습니다. 한국인터넷진흥원(KISA)은 서비스형인프라(IaaS), 서비스형데스크톱(DaaS), 서비스형소프트웨어(SaaS) 등 클라우드 서비스를 대상으로 보안 평가·인증을 수행합니다.
CSAP 인증은 14개 분야 117개 항목의 관리·물리·기술 보호조치와 공공기관용 추가 보호조치를 완료했다는 인증으로, 지난 2015년부터 시행된 제도입니다. 클라우드컴퓨팅 보안인증을 받으면 공공기관에 상용 클라우드컴퓨팅 서비스를 제공해 상급 기관과 국가정보원의 보안성 검토를 받을 때 관리적, 물리적, 기술적 보호조치 및 공공기관 추가 보호조치 사항 관련 보안성 검토가 생략됩니다.
CSAP 인증이 전제조건으로 제시되는 이유는 민간 클라우드로 이전되는 공공 시스템에 대해 최소한의 안전장치를 마련하기 위해서입니다.
4) 국내 클라우드 산업 발전의 계기
하지만, CSAP 인증이 우리나라의 독자 인증인 만큼, 글로벌 기업보다는 국내 클라우드 기업이 더 민첩하게 움직일 수 있는데요. 따라서, 국내 기업에 더 많은 기회가 있다고 볼 수 있습니다.
실제로 다수 기업이 CSAP 인증을 획득하면서 공공부문 클라우드 전환의 기회를 노리고 있습니다. 현재 공공 클라우드 센터 참여가 가능한 IaaS CSAP 인증을 획득한 기업은 가비아, 네이버 클라우드, 더존비즈온, 삼성SDS, 스마일서브, 카카오엔터프라이즈, KT, LG헬로비전, NHN 등 9개 사입니다. 글로벌 기업의 인증 참여는 아직은 없습니다.
5) 대세는 하이브리드 클라우드인데...
미국, 유럽연합, 일본 등 해외 사례를 살펴봐도 공공 클라우드를 짓겠다는 발상을 가진 나라는 없습니다. 이는 클라우드 퍼스트 전략을 통해 민간 클라우드 기업을 적극 육성하고 있는 글로벌 트렌드와도 맞지 않는데요.
미국 정부는 민간 기술을 통한 정부 서비스 혁신을 위해 중앙정보국(CIA)과 국방부 프로젝트까지 모두 아마존웹서비스(AWS), 마이크로소프트(MS) 등 민간 클라우드를 활용합니다. 지방자치단체별로 지정하는 소규모 공공 클라우드센터는 대규모 데이터센터 건축을 통한 효율성 극대화와 탄소중립 이슈 등 최근 기술 추세 및 환경 이슈 대응에도 역행하는 발상입니다.
6) 클라우드의 핵심은 안정적인 운영
클라우드를 통해서 업무서비스를 제공하기 위해서는 안정된 운영이 필수적입니다. 그렇기에 적절한 운영 및 유지보수 비용 책정이 상당히 중요한데요. 2020년 공공 소프트웨어(S/W) 유지관리 요율은 평균 11%로 조사됐습니다.
운영과 유지보수가 부실하면 서비스의 안정성이 위협받을 수 있습니다. S/W 업계의 유지보수 요율을 15%~20% 높여야 안정적인 서비스 제공이 가능하다는 업계 의견이 대다수죠. 특히, 클라우드에는 다른 S/W 분야보다 고급 인력이 더 많이 투입되기 때문에 적정 운영 비용 책정이 성공적인 클라우드 전환의 마무리가 될 수 있습니다.
7) 국정원 보안성 검토
국가정보원은 국가정보자원관리원의 공공 클라우드 센터를 대상으로 보안성 검토를 시행하고 있는데요. 향후 민관 협력형 공공 클라우드 센터의 경우에도 기존 정보화 사업과 동등한 수준의 보안성 검토를 수행할 예정입니다.
또한, 국가정보원이 배포하는 ‘국가 공공기관 클라우드 컴퓨팅 보안 가이드라인’을 준용할 것으로 보이는데요. 내용은 내부망과 인터넷 서비스의 클라우드 혼용 금지, 중요 장비 이중화/백업체계 구축, 관리자/이용자 접근통제 강화, 데이터 저장 및 송수신되는 중요 자료 암호화, 클라우드 보안관제 수행 등이 포함돼 있습니다.
그러나, 로컬 클라우드 시스템과 퍼블릭 클라우드 간의 연계가 고려되지 않은 레거시 시스템의 기준이 적용될 가능성도 있기 때문에, 기준을 수립하기 전에 충분한 논의가 필요할 것으로 보입니다.
지금까지 공공 클라우드의 도입 배경을 살펴보고, 공공 클라우드 센터와 민간 클라우드 센터를 비교해보았습니다. 다음 글에서는 공공 클라우드 지정 요건에 관해 알아보겠습니다.
[출처] 1. www.itbiznews.com 2. www.etnews.com 3. www.law.go.kr 4. www.legaltimes.co.kr 5. m.ddaily.co.kr 6. www.digitaltoday.co.kr 7. www.mk.co.kr 8. isms.kisa.or.kr 9. www.koit.co.kr 10. www.gcsa.or.kr 11. www.datanet.co.kr 12. www.sedaily.com |
글 ㅣ LG CNS Cloud Innovation팀 이겸기 책임
*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
출저 : https://blog.lgcns.com/2853?category=515093
'IT NEWS > 보안' 카테고리의 다른 글
[ 보안 ] 유튜브 해킹 Youtube Vanced 해킹 ( 유튜브 슈퍼챗 피싱 / 신용카드 피싱) (0) | 2022.07.30 |
---|---|
[LG CNS] [보안동향] 안전한 소프트웨어 개발, 보안 취약점 점검이 답이다! (0) | 2022.05.17 |
[ LG CNS ] [보안동향] 신용카드IC칩까지 공격하는 부채널 분석, 그 해법은? (0) | 2021.10.01 |
[LG CNS] 산업현장 해킹? 프로토콜 알아야 ICS 보안 지킨다! (0) | 2021.09.14 |