정부가 마련하고 있는 인증이 클라우드 서비스 품질을 보장할 수 있는 방향으로 제정되는 것은 바람직하지만, 국내 기업을 과잉보호하고 글로벌 기업의 한국 진출을 막는 장애물이 되는 방향에 대해서는 재고해야 할 필요가 있다.
우리나라 공공분야 보안시장은 국내용CC, 보안적합성 검사 등을 통과한 보안제품만을 사용하도록 하고 있는데, 소스코드까지 공개해야 하는 등 매우 강력한 인증심사를 거치기 때문에 외산 솔루션은 인증을 받기가 어렵다. 외산 솔루션 중 국내 인증을 획득한 경우는, 인증심사가 필요한 모듈만 국내 제품으로 변경시키는 방법을 사용했다.
외산 솔루션의 공공 진입이 제한되고, 토종 솔루션이 공공시장을 대부분 장악하면서 국내 보안 기업들이 공공시장을 중심으로 수익을 보장받을 수 있게 됐다. 국내 기업들은 수익을 기술개발에 다시 투자하면서 제품을 고도화하는 전략을 채택한 것이 아니라, 특정 시점에 유행하는 다른 솔루션 시장으로 마구 확장하면서 외형만을 키우는 전략을 택했다. 기술을 개발하지 않고 가격으로만 승부하다보니 기술 수준은 떨어지고 잇따른 저가수주로 기업 전반의 수익성도 떨어지게 돼 시장 전체가 공멸하는 수순을 밟게 됐다.
클라우드 시장 역시 토종기업을 보호하기 위한 목적으로 규제를 제정한다면 보안시장과 마찬가지 수순을 밟게 될 공산이 크다. 특히 클라우드는 가격경쟁이 매우 치열하게 전개되는 시장으로, 규모의 경제를 이루지 못하면 수익을 보장받을 수 없다. 국내 공공시장만을 바라보고 출혈경쟁을 벌이면서 시장 규모를 키우지 못하고 오히려 축소시킨다면 국내 클라우드 기업들은 결과적으로 살아남지 못하게 될 것이며 결국 글로벌 기업의 각축전으로 마무리 될 것이라는 전망도 나오는 상황이다.
국내 기업 “성장할 수 있는 기회 달라”
이러한 지적에 국내 클라우드 기업들은 “일정 기간 동안 정부가 국내 기업을 보호해야 한다”고 항변한다. 그동안 정부가 각종 규제로 클라우드 시장 성장의 발목을 잡아왔기 때문에 글로벌 기업과 경쟁할 수 있는 기회를 갖지 못한 만큼, 정부·공공기관에서 성공적인 레퍼런스를 확보하고 기술력을 입증받을 때 까지는 국내 산업을 보호해야 한다는 주장이다.
아마존도 미국 CIA 퍼블릭 클라우드 서비스를 제공해 서비스의 안정성과 보안성을 인정받은 바 있다. 국내 클라우드 기업들도 국내 공공기관에 서비스를 수행할 수 있는 기회를 가져야 하는데, 기술력만으로 공룡 기업들과 직접 기술로 경쟁하는 상황을 맞게 되는 것은 국내기업에게 역차별이라는 지적도 나온다.
최근 정부가 국내 보안산업 보호만을 위한 규제를 개선해 글로벌 표준을 따르도록 하는 방향으로 정책을 추진하고 있어 클라우드 산업에 대한 정책을 어떻게 가져갈지 초미의 관심사가 되고 있다. 클라우드 분야에서는 국가정보원이 전자정부법, 정보통신 보호법, 국가사이버안전관리 규정에 따라 전자정부와 공공부문 정보통신망 등의 보안대책 및 조치 업무를 담당하고 있어 국정원의 지침이 어떻게 마련될지 주목된다.
클라우드 사업자-사용자 책임 범위 논쟁
클라우드 사업자와 사용자의 책임에 대해서도 논쟁할 거리가 많다. 보안사고가 발생하고, 해당 사고가 누구의 책임인지를 두고 다툴 때, 클라우드 사업자들은 보안사고 방지를 위한 노력을 보여주기 위해 국내 규제를 평소에 얼마나 성실하게 준수해왔는지 보여줄 것이다. 국내 사업자들은 국내 규제 제정에 적극적으로 참여하고 있기 때문에 국내 사업자에게 유리한 항목이 규제에 포함될 공산이 크다.
만일 보안사고가 발생했다면 국내 규제를 더 완벽하게 만족하는 서비스가 소송에서 유리할 것이며, 국내 서비스 사업자가 상대적으로 유리한 위치에 설 수 있다.
아직 시행령에 대한 구체적인 방향이 마련되지 않은 상황인 만큼 이와같은 우려는 기우에 불과할지 모른다. 클라우드 인프라를 활용해 국내 기업들이 고부가가치의 서비스 사업에 성공한다면 어느나라 클라우드 서비스를 사용하는지는 중요한 일이 아닐 수 있다. 특히 글로벌 진출을 원하는 기업들은 해당 국가의 클라우드 서비스 혹은 글로벌 클라우드 서비스를 활용하기 때문에 국내 산업을 보호하기 위한 규제는 의미 없는 일이 될 수 있다.
글로벌 기업, 서비스 안정성 앞세워 시장 공략
국내에서 서비스를 진행하고 있는 해외 클라우드 서비스 사업자들은 이 시장의 향후 발전 가능성에 대해 반신반의하고 있는 상황이다. 공공시장에 도입되는 서비스 사업인 만큼 우리나라 정부가 국내 사업자를 보호하기 위한 방향으로 정책을 결정할 가능성이 있으며, 국내 기업들은 국내 환경에 맞춤형으로 대응할 수 있는 유연성이 있기 때문에 해외 서비스 사업자보다 유리한 면이 있다.
그러나 세계적으로 인정받은 서비스 안정성의 면에서 본다면 해외 서비스 사업자들이 확실히 유리하다. 이들은 전 세계 주요 정부기관에 서비스를 제공하면서 기술력을 입증 받았으며, 많은 클라우드 사용자를 확보하고 있어 확실한 경쟁우위에 있다고 자신한다.
이건복 한국마이크로소프트 개발자플랫폼 사업부 이사는 “클라우드 서비스 사업자들은 보안과 관련된 국제 인증을 획득하고 있기 때문에, 해당 서비스를 사용하면 쉽게 컴플라이언스를 만족할 수 있다. 예를 들어 신용카드 정보와 관련된 PCI-DSS 인증이 필요한 서비스를 제공하는 기업이 기업이 해당 규격을 맞추기 위해 노력하지 않고, 인증을 획득한 애저 서비스를 이용하면 된다”며 “클라우드는 비즈니스 유연성과 효율성을 높여줄 뿐 아니라 컴플라이언스에도 매우 유리한 환경을 만들어 줄 수 있다”고 말했다.
클라우드 이용하는 공격자 차단할 수 있나
한편 최근 사이버 범죄자들이 클라우드 서비스를 공격의 근거지로 삼고 있기 때문에 서비스 사업자들이 사이버 범죄를 차단하는 노력을 기울여야 한다는 요구도 나온다. 클라우드 서비스는 쉽고 간편하고 저렴하게 IT 인프라를 사용할 수 있으며, 공격경로를 클라우드 서비스 사업자로 숨길 수 있다. 또한 공격이 끝난 후 서비스를 중단하면 공격에 이용된 인프라가 삭제되기 때문에 흔적을 남기지 않고 도망가는 것도 수월하다.
클라우드 사업자가 고객의 데이터를 들여다 볼 수 없기 때문에 고객이 자사 인프라를 이용해 범죄를 저지르는지 여부를 직접 알 수는 없다. 다만 비정상적으로 많은 IP로 단발성 트래픽이 발생하거나 지나치게 많은 트래픽이 한곳에 집중되는 경우, 블랙IP와의 통신이 이뤄지는 경우 등 트래픽 이상행위를 모니터링할 수 있으며, 보안사고 정보를 수집하는 중립적인 기관과 정보공유를 하는 방법으로 사이버 범죄를 막을 수 있다.
