정부가 클라우드 발전법 시행에 맞춰 클라우드 정보보호 대책을 발표하자 보안업계는 시장 활성화를 위한 기반은 마련됐다고 밝히면서도 실제 투자가 이뤄질지에 대해서는 반신반의하는 모습을 보이고 있다. 그러나 공공시장과 별도로 민간기업에서는 클라우드 도입이 빠르게 늘어나고 있어 클라우드로 서비스되는 보안(SECaaS)에 대한 주목도가 높아지고 있다. 지능형 공격 방어를 위해 전문성이 강화된 클라우드 서비스 도입에 관심이 쏠리고 있는 것이다. 정부의 클라우드 보안 대책이 시장에 미칠 영향을 전망하고, 주목할만한 클라우드 보안 기술 및 서비스를 소개한다.<편집자>

9월 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)의 본격 시행에 맞춰 ‘클라우드 서비스 활성화를 위한 정보보호 대책’이 발표됐다. 미래창조과학부가 발표한 대책에서는 안전한 클라우드(Safe Cloud) 구현을 목표로 ▲클라우드 사업자 정보보호 수준향상 및 대응체계 구축 ▲클라우드 이용자 정보보호 기반 구축 ▲클라우드 정보보호 전문기업 육성 등의 과제들을 2019년까지 단계적으로 추진할 계획이다. 더불어 범정부 차원의 ‘클라우드 종합 발전계획을 11월까지 수립할 계획이다.

9월 발표된 클라우드를 위한 정보보호 대책의 세부 내용은 다음과 같다.

◆클라우드 서비스 사업자의 정보보호 대책

클라우드를 위한 정보보호 대책에서는 가장 먼저 클라우드 서비스 신뢰도를 높일 수 있도록 사업자의 보안 수준을 향상시킨다는 내용을 중요하게 제안했다.

이에 따르면 ▲사업자가 정보보호를 위해 준수해야 할 관리적·기술적 조치를 포함한 정보보호 기준을 마련해 시행 ▲사업자의 정보보호 조치 현황을 자율적으로 공개하도록 권고 ▲정보보호 수준을 전문기관에서 진단하고 컨설팅할 수 있도록 지원할 계획이다.

더불어 클라우드 침해사고가 발생하지 않도록 예방체계로서 클라우드 정보공유분석센터를 구축·운영하고, 침해사고 발생시 피해를 최소화하기 위해 침해사고대응팀을 운용할 계획이다. 이 센터는 인터넷침해대응센터(KISC)와 연계해 운영한다.

◆클라우드 이용자 보호

클라우드 이용자를 보호할 수 있는 대책을 마련해 이용자를 위한 안전한 서비스 환경을 조성한다. 이를 위해 클라우드 발전법 상의 이용자 정보보호 조항이 차질 없이 시행될 수 있도록 시행령을 제정할 계획이다.

클라우드 발전법 상의 이용자 정보보호 조항은 ▲이용자의 동의 없이 제3자에게 정보 제공 금지 ▲정보 유출 등 사고발생시 이용자에게 통지 ▲서비스 종료시 이용자 정보의 반환 및 파기 ▲손해배상 등이 포함된다.

서비스의 갑작스런 중단으로 인한 클라우드 이용자의 정보 손실을 방지하기 위해 이용자 정보를 제3의 기관에 보관하는 임치제도 도입을 추진하고, 이용자가 사업자를 변경할 경우, 정보가 안정적으로 다른 사업자에게 이동할 수 있도록 클라우드 서비스 간 상호운용성 확보도 추진된다.

클라우드 서비스 이용관계에서 이용자가 피해를 보지 않도록 표준계약서를 제정・보급하고 이용자가 서비스 품질을 보장받을 수 있도록 ‘클라우드 서비스 품질·성능에 관한 기준’을 마련하며, 사고 발생시 이용자의 피해를 보상할 수 있도록 사업자가 보증보험을 가입하도록 유도하고, 장기적으로는 보증보험 가입을 제도화하는 방안도 검토한다.

정보유출, 침해사고 등 클라우드 사고발생시 이용자가 신속히 신고할 수 있도록 이용자 보호 창구를 개설하고, 안전한 클라우드 이용방법, 정보유출 등에 대한 피해 구제방법 등을 담은 ‘클라우드 안전 이용 가이드’를 제작, 배포한다.

정보보호 우려로 클라우드 이용을 주저하고 있는 중소기업 등을 대상으로 취약점 점검과 컨설팅을 지원하고, 이용자 보호 관련 정책을 개발하고 이용자 편익 증진 방안을 강구하기 위해 이용자 보호협의체를 구성, 운영할 계획이다.

◆클라우드 정보보호 핵심기술 개발

클라우드 컴퓨팅이 미래성장동력 중 하나로 꼽히고 있는 만큼, 클라우드 환경에서의 정보보호 핵심기술을 개발하고 전문인력을 육성하는데에도 지원할 계획이다. 이를 통해 국내 클라우드 서비스의 정보보호 역량을 강화한다.

클라우드에 대한 사이버 공격에 실시간 대응하고 안전한 서비스가 제공될 수 있도록 클라우드 보안 기술 개발에 집중 투자하고 개발된 우수기술의 적용, 확산을 위해 시범사업 및 실증사업 등을 지속 추진한다.

정보보호 특성화 대학 등을 활용해 클라우드와 정보보호 기술의 전문성을 동시에 보유하는 고급인력이 배출될 수 있도록 추진하고, 기존 정보보호 전문인력을 대상으로 클라우드 기술 재교육을 실시한다.

나아가 클라우드를 기반으로 정보보호 서비스를 제공하는 전문기업이 성장할 수 있도록 기술개발, 성장 및 글로벌 진출까지 체계적으로 지원한다.

IT 통한 경제질서 혁신, 클라우드 중심으로 이뤄져

정부가 클라우드 컴퓨팅 산업 육성을 위해 발벗고 나선 것은 기나긴 경기침체를 극복할 수 있는 IT 산업이 클라우드 컴퓨팅이라고 판단했기 때문이다. 현재 세계 경제는 금융과 IT를 주축으로 시장질서가 재편되고 있으며, IT는 새로운 질서를 만드는 기준이 되고 있다. 클라우드, 사물인터넷(Io), 빅데이터, 핀테크, 모바일 등 IT 분야의 메가트렌드가 그 핵심을 이루고 있으며, 이 모든 화두의 중심에는 클라우드 컴퓨팅이 기본 인프라가 되고 있다.

미국을 비롯한 주요 선진국들은 ‘클라우드 퍼스트’ 정책을 펼치면서 민간기업은 물론이고 정부·공공기관에서도 클라우드 서비스를 이용하고 있다. 국방분야 정부기관, 주요 정보기관 등 매우 민감한 정보를 다루는 조직에서도 아마존웹서비스(AWS)와 같은 퍼블릭 클라우드 서비스를 이용해 정보의 유연성을 극대화하고 있는 상황이다.

우리나라에서는 IT에 대한 소유욕이 높아 클라우드 전환이 더딘편이지만, 경기불황 극복을 위한 비용절감과 비즈니스 경쟁력 향상을 위한 민첩성·유연성이 중요한 과제로 떠오르면서 클라우드 도입에 속도가 붙고 있다.

정부도 클라우드 도입을 촉진하기 위해 클라우드 발전법을 마련, 공공기관에서도 퍼블릭 클라우드를 우선적으로 사용하도록 했다. 이번에 발표된 정보보호 대책은 클라우드 도입의 가장 큰 걸림돌인 ‘보안’ 문제를 해결해 클라우드 도입을 가속화 하기 위한 것이다.

윤승원 모니터랩 상무는 “클라우드 컴퓨팅 도입의 가장 큰 걸림돌이 보안과 규제였다. 특히 공공기관은 IT 시스템과 정보를 외부에 두지 못하도록 한 규제때문에 클라우드 도입이 불가능했다. 클라우드 발전법과 클라우드 정보보호 대책으로 이러한 문제가 해결돼 정부·공공기관의 클라우드 도입이 가속화 될 것”이라며 “공공시장에서 클라우드 도입이 활성화되면 자연스럽게 민수시장으로도 확산될 것으로 기대한다”고 말했다.