클라우드 컴퓨팅 개념에 대해서 알아보고 한국 클라우드 보안 인증제에 대해서 이해할 수 있도록 설명해 드리겠습니다. 클라우드 컴퓨팅은 디지털 전환 시대가 되면서 가장 중요한 핵심 기술 중 하나가 되었습니다. 이제는 대부분의 기업들이 클라우드 컴퓨팅을 시스템 인프라 운영 방식으로 도입하고 있습니다. 클라우드 컴퓨팅은 서비스와 스토리지와 같은 시스템 자원들을 인터넷을 통해서 실시간으로 제공 받을 수 있는 컴퓨팅 인프라 운영 방식입니다.
클라우드 컴퓨팅은 일반적으로 실시간으로 서비스가 제공되고 사용 한만큼 비용을 지불하는 구조로 되어 있습니다. 클라우드 컴퓨팅 서비스를 제공하는 글로벌 클라우드 서비스 제공 기업들은 대규모 빅테크 기업들입니다. 하지만 해당 글로벌 기업들이 우리나라의 보안인증제 때문에 많은 어려움을 겪고 있습니다. 그럼 이어서 클라우드 컴퓨팅 개념과 쟁점 사항들에 대해서 알아보고 한국 클라우드 보안인증제는 무엇인지에 대해서 자세히 알아보도록 하겠습니다.
클라우드 컴퓨팅 개념에 대해 알기
클라우드 컴퓨팅은 기업에서 최소한의 관리만 진행하고 클라우드 서비스 제공 업체의 서비스를 이용하고 상호 작용하는 것 만으로 인터넷을 통해서 네트워크와 서버, 저장 공간, 응용 프로그램, 그리고 디지털 서비스 등 가상화 된 컴퓨팅 자원에 대해서 언제 어디서나 쉽고 빠르게 접근하고 사용한 만큼 비용을 지불하는 서비스를 의미합니다. 클라우드 컴퓨팅으로 제공되는 서비스 유형은 서비스에 따라 서비스로의 소프트웨어, 서비스로의 플랫폼, 서비스로서의 인프라로 구분될 수 있습니다. 그리고 클라우드 컴퓨팅은 배포 유형에 따라 프라이빗 클라우드, 퍼블릭 클라우드, 하이브리드 클라우드로 구분할 수 있습니다.
기업 입장에서 클라우드 서비스 제공 업체의 클라우드 서비스를 이용하게 되면 기업이 많은 비용일 들여서 서버를 자체적으로 구축하고 운영할 필요가 없어지고 클라우드를 사용한 만큼만 비용을 지불하면 되게 됩니다. 또한 기업 입장에서는 필요하면 언제든지 필요한 만큼 컴퓨팅 자원을 확대하여 사용할 수 있습니다. 따라서 대규모 데이터를 다루는 기업의 경우는 특히 클라우드 서비스를 이용하는 것이 좋습니다. 빅 데이터 분석과 관련되어 있거나 머신러닝, 딥러닝, 인공지능, 자율 주행 자동차와 같은 비즈니스와 관련된 기업 입장에서는 클라우드 서비스를 이용하는 것은 이제 선택이 아닌 필수가 되었습니다. 클라우드 컴퓨팅은 디지털 경제의 핵심 인프라로 다뤄지고 있는 것입니다. 클라우드 컴퓨팅을 구현하기 위해서는 가상화 기술과 분산 처리 기술이 사용됩니다.
가상화는 물리적인 시스템 자원들을 논리적으로 구성하여 사용하는 가상 객체 기반의 기술입니다. 가상화 기술은 하이퍼바이저와 컨테이너를 기반으로 하는 서버 가상화 영역과 저장 영역과 관련된 파티션 컨트롤러 기반의 스토리지 가상화, 그리고 물리적 네트워크 리소스에 대한 논리적 분할 병합을 통해 전송과 관련된 시스템 환경을 제공해주는 네트워크 가상화로 구분될 수 있습니다. 분산 처리의 경우 대량의 데이터를 여러 대의 서버에 나누어서 처리하는 분산 컴퓨팅 기반 기술입니다. 분산 처리는 동시에 여러 개의 연산을 처리하고 진행할 수 있는 병렬 컴퓨팅과 다르게 여러 개의 컴퓨터에 나누어서 처리하는 기술입니다.
클라우드 컴퓨팅 개념에 대한 세부 내용
클라우드 컴퓨팅은 디지털과 시스템 분야와 서비스의 새로운 패러다임으로 자리 잡았습니다. 과거에는 사내 네트워크 중심의 인트라넷 환경을 운영하였고 서버와 시스템 인프라를 모두 기업 내부 시스템 자원으로 직접 구축하고 운영하였습니다. 하지만 이제는 기업 입장에서 많은 비용을 들여서 서버와 시스템 인프라를 모두 내부 시스템 자원으로 구축할 필요가 없어졌습니다. 또한 기업 입장에서 필요한 만큼 인프라를 사용하고 비용을 지불하는 방식으로 변화되어 새로운 방식의 시스템 운영 패러다임이 도입된 것입니다.
클라우드 컴퓨팅 기술이 활성화되고 보편화되면서 이제는 기업이 자체적으로 구축해서 운영하던 시스템과 인프라 자원을 신뢰 할 수 있는 대기업 클라우드 사업자의 시스템과 인프라 자원을 사용하는 방식으로 바뀌고 있는 것입니다. 이제는 시스템과 인프라에 대한 가치도 소유에서 공유나 사용의 가치로 패러다임이 전환되고 있는 것입니다. 클라우드 컴퓨팅의 특징은 시스템과 관련된 하드웨어나 소프트웨어의 자원을 기업이 직접 소유하지 않고 사용한 만큼 비용을 지급하는 방식입니다.
따라서 클라우드 컴퓨팅의 장점 중 하나는 경제적이라는 포인트가 있습니다. 그리고 기업은 필요할 때 언제든지 확장할 수 있는 유연성을 가지고 있습니다. 만약 서비스에 장애가 생기면 나머지 방대한 규모의 서버를 계속해서 연속성을 유지할 수 있는 장점이 있는 것입니다. 서비스 구축 측면에서도 클라우드 사업자가 이미 사전에 공을 들여서 구축해 놓은 퀄리티가 높은 시스템을 활용하는 구조가 되기 때문에 훨씬 더 고품질의 인프라 자원을 사용할 수 있게 되고 빠르게 서비스를 도입할 수도 있습니다. 클라우드 컴퓨팅은 시스템 자원의 범위에 따라서 서비스로의 소프트웨어, 서비스로의 플랫폼, 서비스로의 인프라로 분류됩니다.
서비스로의 소프트웨어는 소프트웨어들을 인터넷을 통해 필요한 만큼 사용할 수 있도록 하는 서비스입니다. 서비스로의 플랫폼은 소프트웨어에 대한 실행과 개발 환경을 서비스로 제공하는 형태입니다. 서비스로서의 인프라는 서버나 스토리지와 같은 대부분의 컴퓨팅 리소스와 인프라를 인터넷과 네트워크를 통해서 서비스로 제공하는 방식입니다. 보안 방식과 운영 방식에 따라서도 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드로 구분됩니다. 퍼블릭 클라우드는 클라우드 사업자가 구축해 놓은 시스템에 여러 기업들이나 개인들이 서비스를 제공 받는 형태입니다.
프라이빗 클라우드는 기업 전용 환경을 구축해서 컴퓨팅 리소스를 기업이 원하는 형태로 유연하게 이용할 수 있도록 하는 방식입니다. 프라이빗 클라우드는 보다 기업 전용의 인프라를 제공하는 형태입니다. 하이브리드 클라우드는 퍼블릭 클라우드와 프라이빗 클라우드의 장점들과 특징들을 적절하게 혼합 시킨 방식입니다. 대표적인 클라우드 사업자로는 2006년 부터 서비스를 시작한 아마존 웹 서비스가 있습니다. 아마존 웹 서비스에서는 가장 인기 있는 클라우드 컴퓨팅 서비스 제공 업체입니다. 그 외에 마이크로소프트 기업의 애저와 구글 기업의 구글 클라우드가 있습니다.
우리나라에서도 네이버에서 클라우드 서비스를 제공하고 있습니다. 클라우드 컴퓨팅은 사용자가 원격으로 존재하는 컴퓨터 시스템의 자원을 인터넷을 통해 온라인 상태에서 바로 사용할 수 있는 서비스이기 때문에 매우 훌륭한 기술입니다. 클라우드 컴퓨팅은 이제 보편화되어 있고 기업 뿐만 아니라 개인도 클라우드 서비스를 사용하고 있습니다. 특히, 많은 클라우드 서비스를 제공하는 기업들은 개인에게는 무료로 제공하는 형태를 보이고 있습니다. 이에 따라 개인 사용자들은 개인이 가지고 있는 자료들을 전자 기기에 담지 않고 클라우드 서버에 저장해 놓게 됩니다.
클라우드 컴퓨팅 개념과 쟁점 사항 설명
클라우드 컴퓨팅은 직접 공유된 정보 통신 기기와 정보 통신 설비, 소프트웨어 등 정보 통신 자원들을 기업의 요구나 수요의 변화에 따라 정보 통신망을 통해서 유연하게 사용할 수 있도록 하는 정보처리 체계를 말합니다. 클라우드 컴퓨팅 서비스는 클라우드 컴퓨팅을 활용하여 상용화한 것으로 다른 기업에게 정보통신 자원을 서비스 제공하는 것을 의미합니다. 일반적으로 아마존, 구글, 마이크로소프트와 같은 글로벌 빅테크 기업들이 클라우드 컴퓨팅 서비스를 제공하고 있습니다. 클라우드 서비스는 이제 국경을 넘어서 서비스가 제공됩니다. 이는 인터넷을 통해 전세계 어디서든 서비스를 제공할 수 있기 때문입니다.
다만, 클라우드 서비스에 대해서 어떻게 분류 해야 하는지에 대해서는 아직 과제로 남아 있습니다. 클라우드 컴퓨팅 서비스에 대해서 어떤 서비스로 분류해야 하는지에 따라서 특정 국가의 서비스 시장 개방 수준과 직접적으로 연결되는 문제이기 때문에 매우 민감한 사항일 수 있습니다. 미국과 유럽에서는 클라우드 서비스라는 것 자체가 기존에 존재하고 있었던 오프라인 형식의 데이터 접속 서비스나 소프트웨어 사용 서비스에 대해서 온라인으로 이동 시킨 것에 불과하기 때문에 서비스 분류는 컴퓨터 서비스에 해당한다고 보고 있습니다. 하지만 중국과 같은 국가에서는 완전히 새로운 서비스이기 때문에 현재 시장 개방이 되지 않는 서비스로 바라 보고 있습니다.
클라우드 컴퓨팅은 다양한 유형의 서비스를 인터넷을 통해 효과적으로 제공하는 하나의 새로운 수단이 되기 때문에 클라우드를 새로운 하나의 최종 생산물로 간주되어 기존의 서비스와 동일하게 분류하기 어렵다는 것입니다. 클라우드 서비스 공급 업체는 일반적으로 글로벌 빅테크 대기업들입니다. 글로벌 클라우드 서비스 공급 업체들은 규모의 경제를 달성하기 위해서 전 세계 주요 거점에 위치한 대규모 데이터 센터를 구축하거나 활용하여 전 세계적으로 서비스를 제공하고 있는 형태로 운영됩니다. 따라서 최종 소비자가 클라우드 서비스를 원활하게 사용하고 활용할 수 있도록 하기 위해서는 국가 간 데이터에 대한 자유로운 이전이 필수적으로 필요합니다. 하지만 다양한 이유 때문에 데이터의 해외 이전을 제한하는 각종 데이터 규제 사항들 때문에 클라우드 산업은 제한 받고 있는 부분도 있습니다.
글로벌 클라우드 서비스 공급 업체들은 데이터에 대한 각 국가들의 현지화 조치를 포함하여 해외 시장 진출을 가로 막고 있는 다양한 조치들에 대해서 지적하고 있습니다. 우리나라의 경우는 클라우드 보안인증제가 대표적입니다. 우리나라에는 클라우드 컴퓨팅 발전과 이용자 보호에 대한 법률이 존재합니다. 해당 법률은 우리나라 클라우드 컴퓨팅 산업의 발전과 성장을 촉진하고 클라우드 서비스를 사용하는 이용자들에 대한 권익을 보호하기 위해서 만들어진 법률입니다. 클라우드 컴퓨팅 법률에서는 클라우드 서비스 제공자의 의무와 책임을 규정하고 있고 보안인증제도를 도입하여 클라우드 서비스에 대한 신뢰성을 향상 시키기 위해서 노력하고 있습니다.
동시에 클라우드 컴퓨팅 환경을 보다 안정적으로 운영되고 서비스가 제공될 수 있도록 법 차원에서도 보호 장치를 마련하고 있는 것입니다. 미국에서도 클라우드 법이 존재합니다. 미국에서는 미국 클라우드 기업이 해외 서버에 저장되어 잇는 메일이나 문서, 그리고 기타 통신 자료 등의 데이터를 미국 수사 기관들이 법원의 압수 수색 영장 없이 조회하거나 열람할 수 있도록 권한을 부여하고 있는 것이 특징입니다. 이 부분에 대해서는 국가적인 차원에서 국외 소재 서버에 저장되어 있는 올바르지 못한 파일들에 대해서 문제가 발생하면 안정적으로 확보하기 위해서 제정된 법률입니다. 해당 법률로 인해서 국가 간 논쟁이 발생하고 있기도 합니다. 개인정보보호 측면에서는 문제가 될 수 있는 부분이 있기 때문입니다.
우리나라는 민간 클라우드 산업을 활성화 시키고 공공 부문에서 선도적으로 클라우드 컴퓨팅 서비스를 적극적으로 활용하기 위해서 공공 기관들의 행정 시스템에도 클라우드 전환과 통합을 추진하고 있습니다. 우리나라 공공 기관들의 노후화 된 행정 시스템과 정보 자원에 대해서 작은 규모로 개별적인 전산실에서 운영하고 있는 정보 시스템들을 클라우드 기반의 운영 환경으로 전환하고 공공과 민간 클라우드 센터로 전환하고 통합하고자 하는 시도를 진행하고 있습니다. 국내 클라우드 서비스 공급 업체 뿐만 아니라 글로벌 클라우드 서비스 제공 업체는 국가적인 차원에서 진행하고 있는 해당 사업에 대해서 큰 관심을 보이고 있습니다. 하지만 글로벌 클라우드 서비스 제공 업체 입장에서는 클라우드 보안인증제를 획득해야 하는 부분이 있기 때문에 진입 장벽으로 작용하고 있습니다.
클라우드 보인인증제 개념에 대한 설명
클라우드 보안인증제는 클라우드 컴퓨팅 기술을 활용하여 정보 시스템의 인프라와 응용 프로그램, 그리고 개발 환경 중 하나 이상을 제공하는 민간 클라우드 서비스에 대해서 인증 기관이 정보 보호 기준의 준수 여부를 평가하고 인증하여 국내 사용자들과 기업들이 안심하고 클라우드 서비스를 이용할 수 있도록 하는 국내 제도입니다. 클라우드 서비스의 경우 개인이나 기업이 보유하고 있는 중요한 데이터에 대한 저장 위치가 자신이 운영하는 인프라와 스토리지가 아니라 다른 외부 업체의 인프라와 스토리에 저장되는 구조이기 때문에 클라우드 컴퓨팅 서비스 제공 업체 만을 신뢰할 수 밖에 없는 구조입니다.
이에 따라 우리나라는 국가적인 차원에서 공공 부문에 대한 안전성과 신뢰성이 갖춰지도록 검증된 민간 클라우드 서비스를 공급하는 클라우드 컴퓨팅 서비스 제공 업체를 인증하기 위해서 객관적이고 공정한 클라우드 서비스 보안 인증을 실시하여 사용자들의 보안에 대한 우려를 해소 시켜 주고 있습니다. 클라우드 보안인증제의 취지는 우리나라 개인과 기업들을 보호하기 위해서 고안된 제도적 장치입니다. 사실 우리나라 뿐만 아니라 미국에서는 연방 위함과 인증 관리 프로그램을 운영하고 있고 일본은 정보 시스템 보안 관리와 평가 프로그램을 운영하고 있으며 싱가포르의 경우 다계층 클라우드 보안과 같은 공공 부문 클라우드 서비스 보안 제도를 운영하고 있습니다.
다만, 현재 글로벌 클라우드 서비스 제공 업체가 소속된 소프트웨어 연합에서는 우리나라의 클라우드 보안인증제에 대해서 다른 주요 국가들의 공공 부문 클라우드 서비스 보안 제도와 다르다고 보고 있습니다. 왜냐하면 공공 기관 용 클라우드 서버와 민간 용 클라우드 서버를 물리적으로 분리해야 하는 물리적 망 분리 요건과 데이터와 서버의 위치를 국내로 한정하고 있는 데이터 현지화 요건 때문입니다. 글로벌 클라우드 업체의 경우 이미 최첨단 보안 기능들이 갖춰져 있고 효율적으로 운영할 수 있는 대규모 데이터 센터를 해외에서 보유하고 있습니다.
하지만 만약 한국 공공 기관 만을 위한 클라우드 서버와 관련된 인프라를 한국 영토 안에 새롭게 배치해야 한다면 글로벌 클라우드 서비스 공급 업체 입장에서는 활용도가 낮은 설비에 대해서 중복 투자가 발생하고 결국 최종 소비자들에게 비용 부담으로 이어질 수 있다는 점을 강조하고 있는 것입니다. 또한 우리나라에서 인증 받은 암호화 기술 만을 사용해야 한다는 국가 표준 암호화 기술 요건도 문제로 지적되고 있습니다. 이 부분에 대해서는 강력한 암호화 기술을 채택하고 있다면 외부로부터 데이터 침해가 이루어지는 것을 차단할 수 있기 때문에 좋은 취지입니다. 하지만 문제는 국제적으로 인정 받은 암호화 기술을 배제하고 우리나라에서 인증한 특정 암호화 기술 만을 사용하도록 강제하는 접근 방식은 올바르지 못하다는 것입니다.
우리나라에서 주로 사용되는 표준 암호화 기술 대신 최첨단 고급 암호화 표준을 활용하고 있는 글로벌 클라우드 서비스 제공 업체 입장에서는 우리나라의 클라우드 보안인증제를 획득하기 어렵기 때문에 결과적으로 사실상 우리나라 클라우드 조달 시장에 참여가 차단되는 효과가 있습니다. 우리나라의 클라우드 업계에서는 정부 조달 예외는 허용될 수 없고, 안보 상 예외도 허용될 수 없으며, 데이터 주권과 국내 산업 보호 측면에서 클라우드 보안인증제를 고집하고 있습니다. 해당 논란은 계속 이어질 것으로 예상되는 영역입니다.