"민간 클라우드 서비스 안전성 검증체계 마련 시급"


서광규 상명대 교수 "신뢰 담보할 보안인증 등 가이드라인 필요"

[김국배기자] '클라우드 발전법'이 난항 끝에 이달 초 국회를 통과한 가운데 클라우드 서비스의 신뢰를 담보할 후속조치로 안전성 검증 체계 마련이 시급하다는 주장이 나왔다.

'클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)'이 제정됨에 따라 공공부문에서 클라우드 컴퓨팅 서비스를 도입할 근거는 생겼지만 보안 문제 등에 대한 '가이드라인'이 없다면 확산은 어렵다는 이유에서다.

클라우드 컴퓨팅이란 하드웨어(HW), 소프트웨어(SW) 등 정보기술(IT) 자원을 직접 구축·운영하지 않고 네트워크에 접속해 이용하는 기술을 말한다.

서광규 상명대 교수는 18일 서울 송파구 정보통신산업진흥원(NIPA)에서 열린 '사물인터넷-클라우드 산업 활성화 방안' 토론회에서 "클라우드 발전법 최종안에는 안전성 확인 부분이 삭제되고 이용 노력으로 변경됨에 따라 도입방안에 대한 재논의가 필요하다"고 말했다.

당초 클라우드 발전법에는 공공기관에서 도입하는 민간 클라우드 서비스의 적합성 여부를 국정원장이 정하도록 한 조항이 포함됐으나 '국정원 개입' 논란을 낳으며 국회 통과과정에서 빠졌다.

그는 공공기관의 클라우드 도입을 촉진하기 위해서는 보안에 관한 세부 가이드라인을 마련해야 한다고 했다.

그의 말에 따르면 이미 해외는 클라우드 보안 인증제도를 운영하고 있다. 미국의 '페드램프(FedRAMP)', 싱가포르 'MTCS', 일본 'ASP.SaaS'가 대표적이다. 국내에도 민간 주도의 한국클라우드서비스인증제도(KACI)가 있지만 보안성보다는 서비스 성능과 품질에 초점을 두고 있다.

따라서 공공기관의 클라우드 도입을 위한 보안 인증이나 KACI의 개선이 필요하다는 것이다. 그는 "공공기관의 민간 클라우드 서비스 도입 시 보안점검과 침해대응 방안을 마련하기 위해선 미래부·행자부·국정원 등 범 정부 차원의 합의를 통한 지침 개발이 필요하다"고 했다.

김국배기자 vermeer@inews24.com







포토뉴스