클라우드법 고시, ‘과도한 규제’ vs ‘불안감 여전’

Photo Image
지난 22일 서울 양재동 엘타워에서 열린 클라우드 공청회에서 서성일 미래부 SW진흥과장이 품질 및 성능, 정보보호 기준을 설명하고 있다.

정부가 클라우드 산업 확산을 위한 품질 및 성능, 정보보호 기준을 마련했다. 개화를 앞둔 공공 클라우드 시장 진입에 필수요건이라는 점에서 업계 관심이 쏠렸다. 기업은 과도한 규제라는 이유로 아쉬움을 표했다. 공공기관은 다양한 안전장치에도 불안하다는 입장이다.

지난 22일 미래창조과학부는 서울 양재동 엘타워에서 공청회를 개최하고 클라우드 관련 고시안을 발표했다. 추운 날씨에도 업계 관계자는 주최 측이 마련한 200석을 가득 메우며 뜨거운 관심을 나타냈다.

공청회는 지난해 9월 시행된 ‘클라우드컴퓨팅 발전과 이용자 보호에 관한 법률’ 후속조치로 클라우드 관련 품질·성능과 정보보호 기준을 마련하고자 열렸다. 고시안은 공청회에서 업계 의견을 수렴하고, 관계부처 협의, 규제심사 등을 거쳐 오는 4월 확정된다.

Photo Image
클라우드 정보보호 기준안(자료: 미래부)

미래부는 클라우드 확산 걸림돌이던 ‘보안’을 강화하고자 관리적, 물리적, 기술적 보호조치와 공공기관이 추가로 요구하는 사항 등 14개 부문 118개 통제항목을 고시안에 넣었다.

공공기관이라는 특수성을 감안해 클라우드 시스템과 데이터 물리적 위치를 국내로 한정했다. 공공과 민간 클라우드 서비스 영역은 물리적으로 분리해야 한다. 클라우드 서비스 구축에 필요한 솔루션은 CC인증을 받는다. 주요 장비 이중화, 백업체계 구축도 포함됐다.

정보보호 기준 준수여부를 확인하는 ‘보안인증제’도 추진한다. 공공기관이 안심하고 민간 클라우드 서비스를 이용하는 안전장치다. 한국인터넷진흥원에서 시험·평가한 뒤 클라우드 스토어에 공개한다.

Photo Image
클라우드 서비스 품질, 성능 기준 세부항목

클라우드 서비스 품질·성능을 평가하고자 가용성, 응답성, 확장성, 신뢰성, 서비스 지속성, 서비스 지원, 고객 대응도 등 일곱 가지 기준을 마련했다. 측정절차, 방법 등 세부기준을 확정해 안내서를 배포한다. 정보통신산업진흥원, 한국클라우드산업협회 등이 평가하고 결과를 공개한다.

서성일 미래부 SW진흥과장은 “클라우드 서비스가 보안, 성능 우려 때문에 시장 확산이 더뎠다”며 “신뢰하는 최소 장치를 마련했다”고 말했다.

업계는 ‘과도한 규제’를, 공공기관은 여전히 ‘불안감’을 이유로 개선을 요구했다.

Photo Image
지난 22일 서울 양재동 엘타워에서 열린 클라우드 고시 공청회에서 정부, 학계, 업계 관계자가 모여 패널 토론을 하고 있다.

중소 IDC 업체 관계자는 “클라우드 서비스 구축에 필요한 솔루션은 CC인증 받은 제품에 한정한 것은 과도한 규제”라며 “경쟁력 있는 솔루션을 활용해 클라우드 서비스를 제공하는데 CC인증 제품만 사용하라는 것은 장비를 다시 구매하라는 얘기”라고 주장했다.

또 다른 클라우드 업계 관계자는 “정보보호 기준이 기존 정보보호관리체계(ISMS)와 유사한 부분이 많다”며 “ISMS 받은 기업 입장에서 클라우드 관련 고시에서 정한 보안인증제를 받는 것은 이중규제에 해당한다”고 지적했다.

공공과 민간 클라우드 시스템은 물리적으로만 분리하고 서비스 지속성을 평가 시 재무상태, 기술보증 제출 조항 등도 진입장벽이 된다고 업계는 주장했다.

수요자 공공기관도 발표 기준에 의문이다.

한국고용정보원 관계자는 “수많은 업체가 다양한 클라우드 서비스를 제공하고 품질평가가 자율적으로 이뤄진다”며 “결과가 천차만별일 가능성이 높은데 이를 신뢰할 수 있는가”라고 우려했다.

서 과장은 “클라우드 스토어에 정보보호뿐만 아니라 품질·성능 기준을 공개할 예정”이라며 “기관과 기업이 우려하는 사항은 관계 부처와 협의해 개선하도록 노력하겠다”고 말했다.


정용철 의료/SW 전문기자 jungyc@etnews.com


브랜드 뉴스룸