정부가 디지털플랫폼정부(DPG) 구현을 위한 핵심 인프라 'DPG 허브' 보안성 강화에 착수했다.
6일 국내 주요 클라우드 서비스 제공사(CSP)와 보안 업계에 따르면, 정부가 최근 정보기술(IT)서비스 기업과 CSP 대상으로 개최한 사업자 간담회에서 클라우드 네이티브 보안 문제가 대두됐다.
클라우드 네이티브 보안을 위해서는 클라우드 네이티브 보안 솔루션이 필요한데, 이에 관한 내용이 구체적이지 않았다는 것이다.
간담회 참여 기업 관계자는 “DPG 허브는 멀티 클라우드에 DPG 허브 기능이 같게 작동하면서도 보안성을 확보하는 것이 중요하다”면서 “하지만 보안 솔루션이 CSP로부터 데이터를 전달받아 위협을 탐지하는 'API 제공' 내용이 논의에서 빠졌다”고 말했다.
예를 들어 CSP는 보안 관련 API를 보안 기업에 제공하고, 보안 기업은 이를 바탕으로 국정원 '국가 클라우드 컴퓨팅 가이드라인'에 맞춰 보안 기능을 제공해야만 클라우드 네이티브 보안이 가능하다. 하지만 국내 CSP사 가운데 보안 API를 제공하는 기업은 네이버 클라우드 등 극소수다.
디지털플랫폼정부위원회와 관계 부처는 문제를 파악하고 관계기관에 DPG 허브 보안 허점 보완 검토를 지시했다. 국가정보원도 내용을 접수해서 보안성 검토에 돌입했다.
DPG 허브는 디지털플랫폼정부 구현을 좌우할 최상위 통합 플랫폼이다. 보안에 구멍이 생길 경우 국가 행정에 큰 혼란이 초래될 수 있어 보안의 중요성이 매우 크다. 정부가 DPG 허브 사업을 대기업참여제한 예외로 추진한 것도 이와 무관치 않다.
다만 보안성 논란은 시행착오 과정이라는 해석도 있다. 상당수 공공기관은 클라우드 서비스 보안인증(CSAP)을 획득한 CSP의 경우 클라우드 네이티브 보안에 문제가 없는 것으로 인식하는 것으로 알려졌다.
하지만 CSAP는 인프라(하드웨어) 보안에 국한된 것으로, 클라우드 네이티브 보안을 아우르지는 않는다.
클라우드 네이티브는 인프라와 애플리케이션(앱), 아키텍처까지 모든 것을 클라우드 기반으로 전환하는 것이다. 핵심 요소인 개발운영(DevOps), 지속 통합/지속 배포(CI/CD), 마이크로서비스 아키텍처(MSA), 컨테이너에 따라 크게 △자산관리 △계정 관리 △컨테이너 등 세 가지 보안이 요구된다.
업계 관계자는 “향후 유사 문제가 불거지지 않기 위해서는 정부가 표준화된 클라우드 네이티브 보안 가이드라인을 수립하는 것이 시급하다”고 말했다.
DPG 허브는 국산 멀티 클라우드로 구축된다. 현재 삼성SDS와 LG CNS, SK C&C 등 IT서비스 3사는 사업 참여 여부 검토와 함께 멀티 클라우드 전략을 위해 네이버클라우드, KT클라우드, NHN클라우드, 카카오엔터프라이즈 등 CSP들과 컨소시엄 구성을 타진 중인 것으로 파악됐다.
류태웅 기자 bigheroryu@etnews.com, 조재학 기자 2jh@etnews.com