공공기관, 민간 클라우드 쓸까?

[김국배기자] 공공기관이 민간 클라우드 이용 시 참고할 가이드라인이 나오면서 본격적인 도입이 이뤄질 지 업계의 관심이 모이고 있다.

가이드라인은 공공기관의 자율성을 최대한 보장했다고 하나 얼만큼 효과를 발휘할 지 미지수인데다 보안 관련 부분이 빠져 등 아직까지 실효성을 가늠하기 힘든 상황이다. 또한 클라우드 보안인증제와 '시차'로 공공기관이 민간 클라우드를 이용하기까지는 시일이 더 걸릴 전망이다.

행정자치부는 6일 서울 마포구 상암동에 위치한 한국지역정보개발원에서 '공공기관 민간 클라우드 가이드라인' 설명회를 열었다.

이날 행자부 김 엽 정보자원정책과장은 "공공기관의 자율성을 보장하는 것이 이번 가이드라인의 첫 번째 원칙"이라고 강조했다.

가이드라인에 따르면 정보자원 등급 1등급을 제외한 2, 3등급은 민간 클라우드 이용이 가능한데 공공기관이 정보자원을 구분할 때 2, 3등급으로 평가할 수 있도록 기준을 제시했다는 게 행자부 측 설명이다.

2등급으로 평가한 정보자원은 클라우드 정책협의체 검토를 거쳐야 하지만 사실상 협의체는 이용 컨설팅을 제공하는 기구로 운영돼 민간 클라우드 이용을 지원한다.

김 과장은 "정책협의체는 민간 클라우드 이용의 '가부'를 결정하는 것이 아니라 컨설팅 하는 형태로 운영할 계획"이라며 "제도가 정착되면 협의체는 해체하고, 주무부처가 검토 의견을 제시한다"고 말했다.

그러나 이번 가이드라인에서 보안 관련 부분은 제외됐다. 2등급 정보자원의 경우 정책협의체 검토와 별도로 국가정보원의 보안성 검토를 받아야 한다.

김 과장은 "보안 관련 사항은 국정원에서 조만간 국가·공공기관 클라우드 컴퓨팅 보안 가이드라인을 배포할 계획으로 안다"고 말했다.

공공기관의 자율성을 보장한 효과에 의문을 표시하는 목소리도 나왔다.

이날 설명회에 참석한 클라우드산업협회 관계자는 "공공기관이 정보자원 등급을 분류할 때 자율적으로 3등급으로 하기보다는 2등급으로 구분해 정책협의체 검토를 통해 명분을 얻으려 할 수 있다"며 "정책협의 업무가 폭주할 수 있을 것"이라고 우려했다.

사고 발생 시 책임 소재를 가리는 부분도 부담으로 작용할 수 있다. 예컨대 개인정보 유출 시 1차적 책임은 공공기관이 지게 되고, 이후 원인을 분석해 잘못을 가려내야 한다.

김 과장은 "복잡한 문제에 휘말릴 수는 있다"면서도 "다만 민간 클라우드를 쓴다고 개인정보 유출이 급격히 증가한다거나 하는 것은 아니며, 클라우드 발전법에 따르면 증빙 자체는 클라우드 업체가 해야 한다"고 말했다.

가이드라인의 효력은 이미 발휘됐지만 아직까지 클라우드 보안인증을 받은 클라우드 서비스 사업자가 없기 때문에 실제 효과로 나타나기까진 시간이 더 걸릴 전망이다.

현재 클라우드 보안인증을 신청한 기업은 소수이며 그나마 가장 빨리 인증을 받는 사업자가 나오는 시점은 9월께가 될 것으로 예상된다.

공공기관이 민간 클라우드를 이용하기 위해선 공개입찰 즉, 인증을 받은 사업들이 제한 경쟁을 벌이게 되는데 인증 받은 업체가 한 곳일 경우 사실상 수의계약을 하게 된다.