공공이 수천억원을 투입·추진 중인 클라우드 네이티브 기반 사업에서 보안 이슈가 잇달아 제기됐다.
전문가들은 발주처의 클라우드와 보안 지식 부재를 원인으로 지목하고, 정부가 표준화된 클라우드 네이티브 보안 가이드를 만들어야 한다고 주문했다.
한국교육학술정보원(KERIS)이 발주한 '교육행정데이터관리시스템 물적기반 구축', 'AI 디지털교과서 도입과 연계한 학습데이터 활용체계 구축 사업' 제안요청서(RFP)를 분석한 결과, 클라우드 네이티브 보안 규정이 없거나 국가정보원 보안 가이드라인과 배치되는 것으로 확인됐다.
2개 사업 규모는 1300억원에 이른다. 클라우드 네이티브를 기반으로 정보시스템, 인공지능(AI)·빅데이터시스템 등을 구축하는 것이 골자다. 사업자는 클라우드 네이티브 핵심 요소인 개발운영(DevOps), 지속 통합/지속 배포(CI/CD), 마이크로서비스 아키텍처(MSA), 컨테이너 등을 기반으로 시스템을 구축해야 한다.
그러나 클라우드 네이티브 보안과 관련한 내용은 2개 사업 RFP에서 모두 제외됐다. AI 디지털교과서 사업 제안요청서는 '클라우드 보안은 클라우드 사업자가 책임이 있고, 국정원 보안 가이드 라인을 준수하라'는 문장만 추가됐다.
하지만, 국정원 '국가 클라우드 컴퓨팅 보안 가이드라인'에는 보안 책임이 '이용 기관'에 있다고 명시했다. 즉, 사업의 보안 책임은 클라우드 사업자가 아닌 KERIS에 있다는 얘기다.
보안 기업 대표는 “클라우드 네이티브 기반 사업을 추진할 경우 클라우드 서비스 제공사(CSP)와 발주처는 각각 책임 영역을 명확하게 이해하고 책임을 구분·공유하는 것이 기본 원칙”이라며 “KERIS가 CSP가 맡는 보안 영역과 자체적으로 맡아야 할 보안 영역을 구분하지 못하고, CSP가 전부 책임을 져줄 것으로 판단한 것 같다”고 말했다.
KERIS 관계자는 “사업자와 충분히 협의해 보안상 미비점을 빠짐없이 보완하겠다”고 밝혔다.
문제는 이같은 사례가 빙산의 일각이라는 점이다. 경기도·경남·광주 교육청이 구축한 클라우드 네이티브 기반 AI 학습 플랫폼에서도 보안 누락이 발견됐다. 차세대 교육행정정보시스템(나이스)과 교육행정·재정통합시스템(K-에듀파인)에서도 클라우드 보안이 일부 누락된 것으로 알려졌다.
전문가들은 클라우드 네이티브 사업을 추진 중인 대다수 공공기관이 비슷한 상황일 것이라고 우려했다. 정부가 표준화된 클라우드 네이티브 보안 가이드라인을 수립, 준수하도록 해야 한다는 목소리가 커지고 있다.
다른 보안 기업 대표는 “클라우드 네이티브 보안 컴플라이언스가 제대로 구성돼 있지 않다보니 국내 클라우드 네이티브 보안 기업도 성장을 못하고 있다”며 “차제에 정부가 명확한 가이드라인을 만들어 국내 클라우드 네이티브 보안 기업이 성장할 토대를 마련해야한다”고 조언했다.
류태웅 기자 bigheroryu@etnews.com, 조재학 기자 2jh@etnews.com
