클라우드 서비스 이용 확대, 보안성 충족이 우선

[wpseo_breadcrumb]

2021. 1. 19

CLIPBOARD

글. 윤현기 기자(네트워크 타임즈/데이터넷)

클라우드로 유연한 IT 자원 활용·업무 자동화 확산

컴퓨터 성능이 발전하면서 데이터센터 내부 자원을 활용하는 형태가 바뀌고 있다. 과거에는 하나의 서버에서 특정 업무 몇 개 혹은 외부 서비스 접속을 처리했지만, 현재는 데이터센터 내부 시스템끼리도 데이터를 주고받는다. 외부에서 들어오는 데이터도 많아졌으며, 내부 시스템 간 데이터 공유도 늘어났다. 성능이 좋아지면서 가상화 등을 활용해 IT 자원을 낭비 없이 효율적으로 쓸 수 있게 됐다.

클라우드 역시 가상화 기술을 기반으로 하기에 효율적인 IT 활용이 가능하다. 그러나 가상화와 차별되는 점은 업무 자동화에 있다. 데이터센터를 운영하고 관리해왔던 업무 자체가 프로그램화되면서 대부분 사람 손을 거치지 않고 동작할 수 있게 됐다는 것이다. 곧 클라우드는 데이터센터 운영 자동화로 이어진다. 그동안 IT 관리자들이 VM 배포 외 많은 업무들을 수작업으로 해왔지만 이제는 그럴 필요가 없다. 서버만이 아니라 스토리지, 네트워크 등 전체 IT 자원이 가상화되며 클라우드 포털로 연계되고, 이 모든 것들을 정책에 기반해 자동화 처리할 수 있다.

자원 확보 방식도 변하고 있다. 예전처럼 서버, 스토리지, 네트워크를 각각 구비해 설치하고 서비스를 배포하는 과정을 거치는 것 대신 공장에서 사전 구성이 끝난 어플라이언스 형태의 하이퍼컨버지드 인프라(HCI)를 활용해 바로 서비스가 이뤄지도록 한다. 이는 소프트웨어 정의 데이터센터(SDDC) 구성을 촉진시켰으며, 풀(Full) SDDC 환경이 클라우드와 연계되면서 오프라인 효과가 없어짐에 따라 진정한 의미의 디지털 혁신을 이룰 수 있게 됐다.

이로 인해 IT 관리자는 반복적인 자원 확보·배포 업무가 아니라 데이터센터 운영 절차와 정책을 보완하고 표준화시키는 등 보다 고차원적인 업무를 수행할 수 있다. 또한 데이터센터의 민첩성을 높여 새로운 기술을 빠르게 접목할 수 있는 환경도 만들 수 있다.

단일 IT 인프라처럼 운영 가능한 멀티·하이브리드 클라우드

최근 수요가 확대되고 있는 하이브리드 클라우드는 기업의 기존 IT 인프라와 퍼블릭 클라우드를 동시에 단일 IT 인프라처럼 운영할 수 있는 아키텍처를 의미한다. 글로벌 시장에서도 하이브리드 클라우드 시장규모는 지난 2018년 49조원에서 오는 2023년에는 108조원 규모로 두배 이상 성장할 것으로 보인다. 보안을 중시하는 국내 기업들에게 적합한 클라우드 상품으로 네이버, KT 등 국내 기업들이 글로벌 클라우드 기업들과의 승부에 나서고 있다.

현재 많은 기업이 자사의 데이터센터와 퍼블릭 클라우드 서비스를 동시에 사용하고 있다. 멀티·하이브리드 클라우드는 여기서 한발 더 나아가 다양한 클라우드 서비스를 사용한다 하더라도, 논리적으로 사내 IT 인프라와 통합된 하나의 기업용 IT 인프라를 만들 수 있는 구조를 말한다. 이러한 구조가 만들어질 수 있다면, 동일한 운영 및 모니터링 관점에서 전체 퍼블릭 및 프라이빗 클라우드 환경을 통합할 수 있기 때문에 높은 효율성과 유연성, 자동화를 실현할 수 있다. 이를 통해 기업의 데이터센터 용량이 한시적으로 증설돼야 할 경우에는 퍼블릭 클라우드를 이용해 용량을 확장할 수 있으며, 하나의 서비스를 만들기 위한 여러 계층의 애플리케이션 중 데이터 보안이 중요한 DB는 사내 데이터 센터에서 운영하고, 대규모의 연산이나 외부 접속을 위한 인터페이스 부분은 퍼블릭 클라우드에서 운영하는 구조를 적용할 수 있다.

이처럼 멀티·하이브리드 클라우드의 가장 큰 장점은 필요에 따라 기업의 데이터 센터를 퍼블릭 클라우드를 이용해 확장할 수 있으며, 지리적인 제약과 퍼블릭 클라우드 사업자의 종속성에서 벗어나 다양한 기업의 비즈니스 모델과 최신 애플리케이션을 지원할 수 있다는 점이다.

현재 업계에서는 하이브리드 클라우드라는 용어가 통용되고 있지만, 하이브리드 클라우드가 명확하게 어떤 것인지 구분이 잘 안 되는 경우가 다반사다. 일부에서는 하이브리드 클라우드와 멀티 클라우드를 동일선상에 놓는 경우도 발생함으로써 혼란을 가중시키기도 한다. 그러나 일반적으로 업계에서는 하이브리드 클라우드가 되려면 기본적으로 크게 두 가지 요건을 만족해야 하는 것으로 본다.
첫 번째는 서로 다른 두 개의 클라우드를 이용하더라도 리플랫폼(Re-Platform), 리팩토링(Re-Factoring) 과정이 없어야 한다는 것이다. 워크로드 이전 시 애플리케이션에 대한 변경이 없어야 하며, 이로 인해 상호 마이그레이션도 원활해야 한다. 이는 별도의 추가 개발을 필요로 하지 않으며, 클라우드 간 데이터·워크로드의 자유로운 이동성이 보장된다.

두 번째는 서로 다른 클라우드 간 컴플라이언스 및 거버넌스가 동일하게 유지되는지의 여부다. 온프레미스를 퍼블릭 클라우드로 연장했을 때도 동일하게 적용돼야 한다. 이는 이용자가 실제로 어느 플랫폼을 사용하고 있는지 인지하지 못할 정도로 연속성이 좋다는 것을 의미할 뿐만 아니라 전반적인 시스템의 통제권도 확보할 수 있다는 이점을 제공한다.
이러한 이점 때문에 멀티·하이브리드 클라우드에 대한 수요는 지속 확대되고 있으며, 이를 지원하기 위한 클라우드 업계의 구성도 다양하게 등장하고 있다. 이러한 사실을 반영하듯 가트너는 자사 기술 트렌드 보고서인 ‘하이프사이클(Hype-Cycle)’에서 하이브리드 클라우드 컴퓨팅을 기술적 성숙 단계에 진입하고 있는 것으로 표현하고 있다.

다양한 구축 모델 등장

현재 멀티·하이브리드 클라우드를 구축하는 방법은 크게 퍼블릭 클라우드에서 온프레미스 기반 프라이빗 클라우드로의 확장과 그 반대인 프라이빗 클라우드에서 퍼블릭 클라우드로의 확장, 퍼블릭 클라우드 간 상호 연계 등으로 볼 수 있다.

퍼블릭 클라우드에서 프라이빗 클라우드로의 확장은 마이크로소프트의 ‘애저 스택(Azure Stack)’이 대표적이다. 애저 스택은 기업이 데이터센터에서 데이터를 보유하면서 MS의 퍼블릭 클라우드 애저의 기능을 이용할 수 있는 하이브리드 클라우드 플랫폼으로, 소프트웨어와 하드웨어를 결합한 어플라이언스 형태로 제공된다. 델EMC, HPE, 레노버 등 주요 하드웨어 벤더들이 이미 애저 스택 하드웨어를 출시한 상태다. 애저 스택은 애저의 IaaS와 PaaS를 온프레미스 환경에서 제공한다. 특히 PaaS에서는 기업들이 애플리케이션 서비스에만 집중할 수 있도록 서버리스 컴퓨팅과 마이크로서비스를 위한 애저 서비스 패브릭 등도 제공된다.

MS 측이 내세우는 애저 스택의 강점은 애저 클라우드와의 통합 운영으로 일체의 마이그레이션 등이 필요 없는 기업 데이터센터와 클라우드 간의 연속성이다. 프라이빗 및 퍼블릭 클라우드 간의 완벽한 호환성을 보장하기에, 퍼블릭 클라우드 환경에서 사용하던 애플리케이션과 서비스를 그대로 하이브리드 환경에서도 사용할 수 있다. 애저 스택 외에도 턴키 방식의 솔루션으로 HCI 또한 하이브리드 클라우드 구성을 위한 방안으로 각광받고 있다. 가상화 기반의 SDDC를 구축하기 쉬울 뿐만 아니라, 퍼블릭 클라우드와의 연계성도 좋아 점차 기업에서의 HCI 수요가 증가하고 있는 편이다.

프라이빗 클라우드에서 퍼블릭 클라우드로의 확장은 ‘VM웨어 클라우드 온 AWS(VMware Cloud on AWS)’ 등을 들 수 있다. VM웨어 클라우드 온 AWS는 AWS 클라우드 상에 VM웨어의 엔터프라이즈급 SDDC를 구현해 온프레미스 환경과 동일한 아키텍처와 운영 경험을 제공함으로써 기업의 디지털 트랜스포메이션을 지원한다.

데이터센터에서 클라우드까지 일관된 인프라와 간소화된 운영 환경을 제공해 클라우드로의 매끄러운 이전과 주문형(On-demand) 방식의 확장성, 차세대 애플리케이션 전략을 지원하기에, 기존 VM웨어 고객들은 부담 없이 AWS 클라우드로 이전과 확장이 가능하다. 이를 통해 클라우드 마이그레이션, 데이터센터 확장, 재해 복구 환경 구성 등을 할 수 있다. VM웨어 클라우드 온 AWS와 같은 모델은 VM웨어의 중요한 클라우드 전략으로, AWS 외에도 IBM, KT, 네이버 비즈니스 플랫폼(NBP) 등과도 체결함으로써 진정한 의미의 크로스 클라우드를 지원함을 강조하고 있다.

퍼블릭 클라우드 간 연계로는 MS와 오라클의 클라우드 서비스 제휴가 있다. 양사는 클라우드의 네트워크 연결을 통해 고객이 MS와 오라클의 서비스를 매끄럽게 연결해 이용할 수 있도록 했다. 이를 통해 고객은 MS 애저 클라우드에서 오라클의 ERP를 구동하면서 오라클 자율운영 DB는 오라클 클라우드에서 실행할 수도 있다.

클라우드 이용 활성화만큼 신뢰구축 필요

최근 코로나 팬데믹으로 인해 비대면 업무 환경 구축을 위한 수단으로 클라우드가 선호되고 있다. 하지만 불과 몇 년 전만 해도 국내 기업들의 클라우드 선호도는 그리 높지 않았다. 기존에 보유하고 있던 인프라를 모두 버리고 클라우드로 옮겨 가기가 결코 쉽지 않았기 때문이기도 했지만, 규제 또는 내부 데이터의 외부 위탁을 꺼리는 기업 문화와 더불어 클라우드에 저장된 데이터가 유출되는 사고 등은 기업들이 클라우드로 향하는 발목을 번번이 잡았다.

이후 클라우드 효용성이 많은 기업들에 의해 입증되고, 4차 산업혁명 시대를 맞아 디지털 기반의 비즈니스 구축 필요성이 높아지면서 기업과 국가경쟁력 강화를 위해 클라우드 사용이 권장됐다. 우리나라 정부도 이 같은 클라우드의 효용성에 대해 파악하고 클라우드 사용률을 높이고자 지난 2015년 9월 ‘클라우드 컴퓨팅 발전과 이용자 보호에 관한 법률(이하 클라우드 컴퓨팅 발전법)’을 시행하기도 했다.

그러나 클라우드 이용을 활성화하고 관련 산업을 육성하기 위해서는 이용자들에게 클라우드를 안전하게 이용할 수 있다는 신뢰감을 심어줄 필요가 있었다. 그도 그럴 것이 국내에서는 크고 작은 데이터 유출 사고가 끊임없이 발생해왔기에, 모든 데이터와 서비스가 집중되는 클라우드 환경에 대한 불안감이 팽배해 있었기 때문이다.

클라우드 선진국들의 안정성 확보 방안

클라우드 선진국으로 평가되는 해외 사례를 보면 어떻게 클라우드 사용을 확산시켰는지 확인할 수 있다.
미국은 지난 2010년부터 공공부문의 클라우드 우선도입 정책을 추진해왔으며, 안전한 클라우드 환경을 담보하기 위해 보안 정책인 페드램프(FedRAMP)를 통해 공공부문의 민간 클라우드 이용 활성화를 이뤄왔다. 페드램프는 클라우드 서비스의 보안 평가·인증 관련 모든 사항을 통합, 연방정부의 민간 클라우드 도입을 위한 보안성 평가 항목을 규정하며, 클라우드 서비스에 특화된 사항을 더해 총 17개 분야 325개의 보안 통제기준을 제시한다.

페드램프 인증을 획득한 클라우드 서비스는 추가 인증절차 없이 모든 연방기관에서 이용 가능하며, 정보보호 수준 제고는 물론 위험관리 비용 절감에도 기여했다는 평가를 받고 있다. 이에 미국에서는 다양한 정부부처에서 100여 개가 넘는 클라우드 서비스를 이용하고 있으며, 민간 클라우드 서비스 이용률도 상당하다. 최근 알려진 것처럼 미 국방부의 ‘합동방어인프라(JEDI)’ 사업은 마이크로소프트(MS)가 맡는다.

싱가포르도 민간 클라우드 서비스 제공자에 대한 안전성 확보를 위해 MTCS(Multi-tier Cloud Security) 인증을 도입·운영 중이다. MTCS는 자율 인증이나 공공 클라우드 입찰 시 필수 요건이며, 유효기간은 인증 취득 후 3년으로 제한된다.
MTCS는 국제표준(ISO 27001:2005)을 바탕으로 총 19개 분야 117개 통제항목을 제시한다. 항목별 보안등급을 ▲보안 수준이 낮은 일반적인 서비스(시험 및 개발, 웹 사이트 등) ▲일반적으로 기업에서 요구하는 서비스(이메일, CRM, 개인식별정보 등) ▲특정 기업에서 요구하는 서비스(금융, 민감한 정보를 요구하는 헬스케어 시스템 등)의 3단계로 구분하고 있다.
이 밖에도 일본은 일본정보감사협회(JASA)에서 클라우드 정보보안 감사 제도를 운영하고 있으며, 영국은 정부 기관에서 이용하는 클라우드 서비스 G-클라우드의 안전성 확보를 위해 ‘클라우드서비스 보안원칙’ 준수여부를 인증하고 있다. 호주는 정부 기관에서 아웃소싱하는 모든 클라우드 서비스에 대해 보안인증(ASD 인증)을 수행하고, 인증목록을 이용자에게 공개(CCSL)하도록 하고 있다.
이처럼 해외 주요 클라우드 선진국들은 안전한 클라우드 이용을 위한 정보보호 제도 등을 통해 공공분야의 클라우드 이용을 촉진시키고 있으며, 이를 바탕으로 클라우드 시장을 확대해 나가고 있다.

공공 주도 클라우드 시장 확대 도모

국내에서도 클라우드에 대한 인식이 개선되면서 점차 그 수요가 확대되고 있다. 시장이 커질 기미가 보이자 아마존웹서비스(AWS), MS, 구글, IBM, 오라클 등 글로벌 클라우드 사업자들은 국내에 데이터센터를 건립해 신속한 서비스와 더불어 데이터 보호 규정을 해결한 서비스를 제공하면서 시장 영향력을 높이려 하고 있다.
국내 기업들의 움직임도 분주하다. KT, 네이버클라우드, 가비아, NHN, 코스콤, LG CNS 등은 민간 시장에서 글로벌 기업들과 경쟁 혹은 협력하는 한편, 한국인터넷진흥원(KISA)의 클라우드 보안인증을 획득하면서 공공시장 진출도 서두르고 있다.

클라우드 서비스 보안인증제는 클라우드 서비스 제공자가 제공하는 서비스에 대해 ‘클라우드컴퓨팅 발전법’ 제23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관에 요청하는 경우 인증기관이 이를 평가·인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 하는 제도다. 이는 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고, 객관적이고 공정한 클라우드 서비스 보안 인증을 실시해 이용자의 보안 우려를 해소하는 한편, 클라우드 서비스 경쟁력을 확보하고자 하는 목적으로 시행된다.
클라우드 서비스 보안 평가·인증체계는 역할과 책임에 따라 정책기관, 평가/인증기관, 인증위원회, 공공기관 기술자문기관, 신청기관, 이용자로 나뉜다. 정책기관은 과학기술정보통신부, 평가/인증기관은 KISA, 공공부문 기술자문기관은 국가보안연구소가 맡는다.

클라우드 전환 더딘 중소기업

클라우드 시장 초기에는 인프라 구축을 위해 IaaS 위주로 성장했지만, 이후 애플리케이션 서비스가 늘어나면서 SaaS 시장이 성장하고 있다. 이미 세일즈포스, SAP 등 글로벌 기업들의 서비스가 국내에서 활발하게 이용되고 있으며, 티맥스, 영림원소프트랩 등 국내 중소기업들도 SaaS 모델을 내놓고 시장 공략에 나섰다.
클라우드 사용 확대에 따라 국내 SaaS 시장이 1조 원 규모를 형성할 것이라는 시장조사기관들의 전망도 나오고 있지만, 정작 소프트웨어 기업들의 SaaS 비즈니스 전환은 더디게 이뤄지고 있다. 그 이유는 크게 세 가지로 요약된다.

첫 번째는 아직 시장이 무르익지 않았다고 보기 때문이다. 비록 국내에서 클라우드 도입이 확산되고 있다 하나 여전히 IaaS 도입이 큰 비중을 차지한다. 이들은 IaaS를 활용해 신규 서비스를 신속하게 개발·배포하기 위한 목적이 크기 때문에 SaaS 솔루션까지 도입할 계획이 없는 경우가 많다.

두 번째는 과금 체계 마련이다. 패키지 소프트웨어는 기존 단가가 정해져 있지만, 구독형 모델일 경우에는 어느 정도로 가격을 설정해야 하는지 결정하기가 어렵다. 신규 고객일 경우는 별 문제가 되지 않겠지만, 기존 패키지 라이선스 고객을 구독형 비즈니스로 전환시키려면 납득시킬 만한 가격 체계가 상당히 중요하기 때문이다.

세 번째는 규제다. 정부기관이 이용하는 공공 클라우드 보안인증이 SaaS까지 확대되면서 이를 충족해야 하는 까다로움이 있다. 공공 서비스에 적용되려면 그에 맞는 보안 수준을 갖춰야 한다는 명분이 있지만, 그동안 국내 시장에서 GS인증, CC인증 등 다양한 인증을 받기 위해 들여야 했던 시간과 비용은 중소 소프트웨어 기업들에게 부담으로 작용할 수밖에 없다.
특히 CC인증은 해외에서 통용되는 인증과 달리 국내에서만 효력이 인정되며, 클라우드 환경에 제대로 대응하지 못할 뿐 더러 심사 기간도 오래 걸리는 등 문제점이 많아 제도 자체를 근본적인 부분에서 검토해야 한다는 목소리도 나오고 있다.

규제 완화·지원사업 통해 클라우드 시장 확대

지적이 잇따르자 과학기술정보통신부와 행정안전부는 공공 부문의 SaaS 이용 활성화와 보안 필요성 등을 종합적으로 고려해 클라우드 서비스 보안인증제를 개선하는 방안을 내놨다.
우선 클라우드 서비스 사업자의 부담을 완화하고자 현행 3년인 보안인증 유효기간을 5년으로 확대하고, 기존의 표준등급 외에 간편등급을 신설했다. 기존 표준등급은 78개 인증항목의 심사를 받고 있으나, 전자결재, 인사, 회계관리, 보안 서비스, 개인정보영향평가 대상 서비스 등을 제외한 서비스에 대해 간편등급을 적용해 30개 인증항목만 통과하면 보안인증을 받을 수 있도록 한 것이다.
행정절차도 합리적으로 개선했다. 클라우드 서비스 사업자들이 보안인증 신청 전에 반드시 받아야 했던 사전 준비기준을 없애고, 향후 보안운영명세서 간소화, 제출서류 정형화, 타 인증제(정보보호 관리체계 인증 등)와의 중복항목도 조정·폐지한다. 이를 통해 인증신청 접수에서 인증 완료까지 5개월이 걸리던 기간이 3.5개월 이내로 단축될 것으로 기대된다.
앞서 행안부는 그동안 공공부문의 민간 클라우드 서비스 이용을 저해하던 ‘공공기관의 민간 클라우드 이용 가이드라인’을 완전 폐지하고, 공공기관뿐만 아니라 중앙부처와 지자체에서도 민간 클라우드 서비스를 이용할 수 있도록 했다.

한편, 과기정통부와 정보통신산업진흥원(NIPA)은 국내 중소기업과 소상공인의 정보화 수준 향상 및 클라우드 시장 확산을 위해 공급기업과 수요기업을 매칭해 클라우드 서비스 이용을 지원하는 ‘중소기업 클라우드서비스 적용확산 사업’을 수행해오고 있지만, 지난 국정감사에서 공급기업으로 참여한 254개 기업 중 15개 기업에서 개인 정보 유출, 악성코드 감염 등 총 27건의 보안사고 이력이 확인돼 논란이 됐다. 이는 공모 선정 과정에서 클라우드 보안성에 대한 평가가 이뤄지지 않았기 때문에 발생한 것으로 보이며, 향후 이를 보완할 수 있는 절차가 마련돼야 한다는 목소리에 힘이 실릴 것으로 전망된다.