정부기관 서버, 공평한 분배나 최저가 입찰로 리스크 줄이고 국내 클라우드 산업 살려야
[보안뉴스= 김병철 스마일서브 대표이사] 공공기관의 민간 클라우드 이용 확대를 위한 ‘클라우드 보안 인증제(CSAP) 개선’ 이슈로 관련 업계가 시끄럽다. 까마귀 날자 배 떨어진 것인지 모르겠지만 바이든 미국 대통령 방한 이후, CSAP 개선 계획이 발표됐다.
[이미지=utoimage]
지난 8월 18일 제5회 국정현안점검조정회의 자리에서 과학기술정보통신부가 정보보호 규제 개선 추진현황 및 향후계획을 발표했다. 발표에 따르면 CSAP 인증에 등급제가 도입된다. 시스템 중요도에 따라 등급을 나누고, 보안 위험이 낮은 시스템의 경우 현행보다 완화된 보안 기준을 적용한다는 것이다. 등급제 도입 배경으로 정부가 밝힌 이유는 공공 부문의 민간 클라우드 이용 확대를 위해서다. 한쪽에서는 해외 클라우드 서비스 사업자(CSP)에 공공시장을 내줄 수 있다고 우려를 표하고 있지만, 민간 클라우드 이용 확대는 바람직한 방향이 아닐까 싶다.
클라우드 전환 사업의 성과와 아쉬운 점
지금까지 정부가 추진한 행정/공공기관 정보 시스템 클라우드 전환 사업의 방향은 잘 잡았다고 생각한다. 대한민국 IT 산업 역시 다른 분야처럼 주축 인력의 고령화가 빠르게 진행되고 있다. 그 결과 만성적인 인력 부족 상황이 이어지고 있다. 이는 민간, 공공 모두 다르지 않다. 일손이 모자라다 보니 서버 관리가 제대로 안되는 곳이 많다. 이런 문제는 지방으로 갈수록 더 심한데, 서버가 방치된 경우와 함께 심지어 전산 담당자가 없는 곳도 심심찮게 볼 수 있다.
IT 인력 부족으로 유지보수가 제대로 이루어지지 않은 시스템 방치 문제는 클라우드에서 해결책을 찾아야 한다. 행정/공공기관 정보 시스템 클라우드 전환 사업은 관리해야 할 서버는 많아지는데, 사람은 없는 문제의 현실적인 해결책이 돼야 한다고 본다.
클라우드 전환에서 답을 찾는 방향에는 격하게 공감하지만 기존 IT 생태계를 배제한 사업 추진 방식에는 아쉬움이 남는다. 행정/공공기관 정보 시스템 클라우드 전환 사업의 주체가 누구일까? 클라우드 업계 시각으로 보면 주체는 시스템 통합(SI) 사업자다. SI 중심의 컨소시엄이 전환 사업을 이끌고 매니지드 서비스 기업(MSP)이 운영과 유지보수를 맡는다. CSP도 참여하지만, 주체라 하기에는 수혜 기업이 너무 한정되어 있다. 몇몇 SI가 몇몇 CSP 및 MSP와 손잡고 전환 사업을 독식하고 있다. 과연 이런 식으로 사업을 하는 것이 유일한 방법일까? SI와 MSP가 없으면 마이그레이션과 운영이 불가능할까? 개인적으로 왜 아무도 나서서 이런 질문을 하지 않는지 궁금하다. IT 업계에 몸담고 있다면 SI, MSP 없어도 충분히 사업을 할 수 있다는 것을 안다.
대한민국의 행정/공공기관 홈페이지와 프로그램은 이미 개발 회사와 유지보수 회사들이 별도로 존재하고 있다. 특히, 이명박 정부 이후 대형 SI가 배제된 프로젝트가 많았고, 이를 기회로 중소 개발사가 사이트 개발과 유지보수를 맡게 됐다. 한 마디로 정부기관의 사이트를 잘 아는 팀은 개발 회사의 유지보수팀이지만, 해당 업체들이 클라우드 전환 사업에서는 배제된 형국이다.
행정/공공기관은 전국 각지에 있다. 그러나 한국 IT 산업 생태계는 전국 주요 도시를 중심으로 형성되어 있다. 행정/공공기관 시스템 구축과 유지보수 사업은 주로 현지 중소기업이 맡으며, 중요 솔루션 공급은 지역에 뿌리를 둔 총판이 담당한다. 규모에 차이가 있을 뿐 수도권 못지않게 탄탄한 생태계 기반이 있다. 이 생태계를 활용했다면 행정/공공기관 정보 시스템 클라우드 전환 사업 비용을 사이트에 따라서는 절반 이하로 줄일 수도 있었을 것이다.
저비용으로 고성과를 이룬 클라우드 전환 사업도 있다. 정보통신산업진흥원(NIPA)에서 민간 기업을 상대로 하는 클라우드 이용 지원 바우처 사업인데, 수요자가 클라우드 사업자를 골라서 직접 계약하고 정부에서는 지원만 하는 형태다. 이 방식을 응용해 정부기관에서 직접 CSP 사업자를 골라서 기존의 개발 회사, 유지보수 사업자와 클라우드 전환 작업을 같이한다면, SI와 MSP가 대상 기관의 시스템을 신규로 배워 전환하며 드는 고비용의 이중작업 구조를 탈피할 수 있지 않을까 싶다.
CSAP 인증제 개선 시 글로벌 기업 개방에 따른 이슈
행정/공공 부문의 클라우드 전환은 정부가 예고한 클라우드 보안 인증제 개선으로 크고 작은 변화가 예상된다. 일단 전환 사업이 앞으로도 계속 진행될지는 모르겠지만, 민간 클라우드 도입의 기회가 확대될 것은 확실해 보인다. 일각에서는 글로벌 CSP에 시장을 내줄 수 있다고 보지만, 기존 CSAP 인증의 난이도가 높아 인증받지 못한 국내 사업자에게 시장 진입의 새로운 기회가 될 수 있으리라 생각한다. 다만, 공정한 경쟁을 할 수 있는 토대가 마련됐으면 하는 바람이다.
정부가 검토 중인 개정안의 핵심은 보안의 난이도에 따라, 아마도 망의 성격에 따라 정부망이 들어오는 LEVEL 1, 별도의 망 분리가 필요한 LEVEL 2, 보안 난이도가 낮은 LEVEL 3로 나눌 것으로 예상된다. 따라서 해외 CSP 사업자에게도 개방될 것으로 예상되는 LEVEL 3을 어떻게 개방하는 게 바람직할 지 고민해 보았다.
외국의 클라우드 사업자는 자신들이 해외에서 받은 보안 인증에 대한 인정을 요구할 것으로 보인다. 과연 이를 인정할 경우 문제는 없을까? 필자가 만나본 외국계 IT 서비스 업체 관계자들은 자신들의 시스템에 대해 최상, 최강의 수식어를 달고 살며 추앙한다. 반면, 대한민국 내 사업 조직이 시스템 최상위 접근권에서 배제되어 있거나, 마케팅 법인만 별도로 만들어서 아예 아무런 관리 권한 없이 운영하고 있다는 사실은 쉬쉬한다. 이에 정부에서 해당 서비스를 이용할 때 국내 조직이 시스템 최상위 접근권이 있는지 따져보아야 하며, 문제 발생 시 책임 소재를 명확히 해야 한다. 한 마디로 대한민국에서 접근과 관리 권한이 없는, 문제 발생 시 대한민국에서 아무도 책임 지지 못하는 클라우드 서버의 대한민국 공공 부문에서의 이용은 배제돼야 한다고 생각한다.
대한민국 ISMS 보안 인증 + 클라우드 서비스 품질 인증 조합의 제안
CSAP 인증은 클라우드 서비스를 정부기관이 믿고 쓸 수 있는지에 대한 클라우드 서비스 보안인증이다. 보통 보안 인증으로 알고 있지만 기본적으로 클라우드 서비스 수준에 대한 심사가 포함돼 있어 보안 수준만 맞춰서 인증 신청을 하는 업체들은 인증을 취득하지 못하는 경우가 많다. 정부가 3단계 인증을 도입하며 가장 낮은 단계를 좀 더 완화하는 방안을 검토한다고 하는데, 그 수준이면 별도의 정부 인증보다는 국내 민간 기업에서 많이 이용되는 보안 인증인 ISMS 보안 인증의 효력을 인정해주는 건 어떨까 생각한다.
단지 ISMS 인증이 클라우드 서비스 품질을 담보하는 인증이 아니므로 정보통신산업진흥원의 클라우드 컴퓨팅 서비스 품질·성능 인증을 SDN, 스토리지 가상화, 보안 서비스 제공 수준, CDN 등의 부가서비스를 정부 이용 수준으로 업그레이드하고, 자격요건을 평가하는 기준으로 삼아서 ISMS를 보완하는 것도 좋은 방법이라고 본다.
ISMS의 CSAP 대비 장점은, 인증받는 데 있어 오픈소스 보안 솔루션을 광범위하게 사용할 수 있어 서비스 이용의 자동화가 가능하므로 별도의 존을 만들지 않더라도 정부기관이 좀 더 저렴한 비용으로 서비스를 이용할 수 있는 것이다. 실제로 AWS도 과거에 국내 ISMS 인증을 받았던 사례가 있었으므로, 그 정도의 보안 인증이면 외국계 업체들도 무난히 받아들일 수 있을 것이다.
IT 서비스 업계에서 ISMS의 효과를 말할 수 있는 사례는 많다. 최근 몇 년 사이 호스팅 기업을 노린 랜섬웨어 공격이 대표적인 사례다. 대부분의 호스팅 회사가 랜섬웨어 공격으로 타격을 입었지만, ISMS 인증 업체는 한 곳도 피해를 보지 않았다. ISMS 인증 제도가 보안 수준의 강화 효과에 비해 군더더기가 많아 유지비용이 많이 든다는 생각이지만 보안 효과는 충분히 검증됐다고 생각한다.
또한, ISMS 인증에 SAAS, DAAS, MSP, SI, 솔루션 유지 보수 사업자 등 지금까지 비교적 보안 레벨 수준을 낮게 요구했던 사업자에 인증 받는 것을 독려하는 방안도 생각해 볼 수 있다. 관련 업체 관계자들을 만나서 보안수준을 확인해 보면, 과연 이 업체에 정부기관의 중요한 데이터를 맡길 수 있을지 의문을 제기할 수밖에 없는 경우가 많다. 망 분리도 안 되어 있고, 검색 PC와 서버 접근 PC가 혼재되어 있으며, 개발자와 서버 관리자가 시도 때도 없이 이직하고 그 자리를 신입 엔지니어와 개발자로 채우는 일이 일상이다. 이러다 보니 언제 랜섬웨어에 당하고 국가지원 해커조직들이 번번히 침투한다고 해도 하나 이상하지 않은 업체가 즐비한 느낌이다.
제도적으로 보안을 강화하지 않으면 보안 사고는 도처에서 터질 수밖에 없다. 과거 랜섬웨어 공격으로 영세 호스팅 업체들이 고통받았던 것처럼, 타깃이 바뀌고 보안 레벨을 낮추면 이제 정부기관의 데이터가 주요 공격 대상이 될 수도 있다. 소 잃고 외양간 고칠 일은 정부에서 하지 않는 게 바람직하다는 생각이다.
계란을 한 바구니에 담는 리스크 방지의 고민
며칠 전 데이터센터의 화재로 서비스가 잠시 중단된 카카오의 사례는 정말 아찔한 리스크 관리의 사례이다. 화재가 배터리 실에 국한되어 전기를 내린 후 스프링클러를 동작시켰고, 배터리 실로 가는 전기를 바이패스(bypass)해 저압반에서 배전반으로 전기를 흘려보내 서비스가 재개될 수 있었다. 하지만 만약 저압반까지 화재가 진행되었다면, 그리고 그 상태에서 스프링클러가 작동됐다면, 최악의 경우 최소 한 두달은 가동을 중단해야 했을 것이다.
몇 년 전 과천 S사 데이터센터 화재 사고는 클라우드 서비스가 아니라 서버를 다른 데이터센터로 이사하는 진풍경을 연출하며 문제를 해결했다. 하지만 클라우드 서비스는 한 마디로 서버와 스토리지 모두 뜬구름 속에 분산 운영되는 관계로 재해가 났을 때는 재해 복구까지 꼼짝없이 서비스가 정지될 수밖에 없다.
클라우드 서비스는 서버가 한 곳에 모일수록 운영 효율이 높아진다. 아마도 카카오가 자체 클라우드 서비스를 한 곳으로 모은 이유가 이 때문일 것이다. 그래서 전체 서비스를 한 곳으로 모아서 비용을 최적화한 것은 어찌 보면 당연한 일이다. 그렇지만 서비스 전체를 한 클라우드에 모아 놓았을 때의 리스크는 분명하다. 장애 발생시 복구 시간이 길어질수록 전체 서비스 정지 기간도 길어진다.
여기에 대한민국의 특성도 고려해야 한다. 바로 서울이 북한의 장사정포 사거리 안에 있다는 것이다. 이게 뜻하는 바는 무엇일까? 이는 주요 데이터센터 시설도 사거리 내에 있다는 것이다. 중요 시설이 몰려있다 보니 위험이 크다고 할 수 있다.
집중에 따른 위험은 또 있다. CSAP 인증을 보유한 업체는 열 곳이 넘지만, 잘 나가는 몇 업체를 제외하면 대부분 개점휴업 상태이고 일부는 인증을 반납했다. 이유는 대부분 기관이 지명도 있는 업체나 영업력 있는 업체를 선호하기 때문에 결국 지명도 있는 한 두 곳으로 몰릴 수밖에 없으니 계란을 한 바구니에 담는 리스크를 안고 가게 된다, 정부기관 서버가 적절한 리스크 분산이 되지 않고 있는 실정이다.
그렇다면 인증을 3단계로 확대하면 어떨까? 주위 동료 호스팅 업체들 가운데 ISMS 인증을 획득한 업체가 몇 곳이 있다, 정부-NIPA의 민간 클라우드 지원 사업에 참여해서 고객을 유치하고 있는 업체들이다. 아마도 인증제가 확대되면 충분히 국내 업체에도 참여 기회가 돌아가지 않을까 싶다.
그러나 현실은 오히려 잘 나가는 외국계 업체 한 두 곳이 메이저가 되고, 국내 업체 한 두 곳이 마이너, 그리고 대부분의 클라우드 업체가 시장에서 배제되는 현실을 받아들여야 할지도 모른다. 정부는 국내 기업의 참여를 늘리고자 했고 애초에 대한민국 클라우드 사업자를 양성하겠다고 시작했지만, 외국계 업체에 대한민국 정부기관 서버의 운영과 관리를 의존하는 일이 생기고, 한 두 곳으로 서버가 몰리면 클라우드 서버의 집중에 따른 위험을 회피하기 어려울 수도 있다.
따라서 서버가 한 곳에 몰리지 않도록 하는 등 리스크 관리를 위해 정부기관 서버의 적절한 로드 밸런싱을 어떻게 할 것인가에 대한 고민이 필요하다. 대략 2가지 방법을 생각해 볼 수 있다. 자격을 가진 업체에 대한 공평한 분배 또는 절차를 간소화한 최저가 입찰이 있다. 자격을 획득했고, 업력이 있다면 공공을 위한 서비스 제공이 가능하다고 봐야 한다. 이런 업체들에 공평한 기회를 주는 것은 어떨까? 기회의 공평한 배분을 통해 선호하는 업체나 영업력 있는 업체로 고객이 몰리는 상황을 해소하는 것이 리스크를 줄이는 방법일 수 있다.
▲스마일서브 김병철 대표이사[사진=스마일서브]
공평한 분배가 현실화 되기 힘들다면? 진검승부를 할 수 있는 기회인 최저가 입찰을 투명하게 하는 것도 나쁘지 않다고 본다. 국내에는 국내 상황에 최적화된 자격과 기술력을 갖춘 업체가 많기에 가격경쟁력이 떨어지지 않는다. ‘공평한 분배 또는 최저가 입찰’, 정부가 리스크를 줄이고 국내 클라우드 산업을 살리며, 다양한 기업에 시장 참여의 기회를 보장하는 방법이 될 수 있지 않을까 싶다.
[글_ 김병철 스마일서브 대표이사]
[보안뉴스= 김병철 스마일서브 대표이사] 공공기관의 민간 클라우드 이용 확대를 위한 ‘클라우드 보안 인증제(CSAP) 개선’ 이슈로 관련 업계가 시끄럽다. 까마귀 날자 배 떨어진 것인지 모르겠지만 바이든 미국 대통령 방한 이후, CSAP 개선 계획이 발표됐다.
[이미지=utoimage]
지난 8월 18일 제5회 국정현안점검조정회의 자리에서 과학기술정보통신부가 정보보호 규제 개선 추진현황 및 향후계획을 발표했다. 발표에 따르면 CSAP 인증에 등급제가 도입된다. 시스템 중요도에 따라 등급을 나누고, 보안 위험이 낮은 시스템의 경우 현행보다 완화된 보안 기준을 적용한다는 것이다. 등급제 도입 배경으로 정부가 밝힌 이유는 공공 부문의 민간 클라우드 이용 확대를 위해서다. 한쪽에서는 해외 클라우드 서비스 사업자(CSP)에 공공시장을 내줄 수 있다고 우려를 표하고 있지만, 민간 클라우드 이용 확대는 바람직한 방향이 아닐까 싶다.
클라우드 전환 사업의 성과와 아쉬운 점
지금까지 정부가 추진한 행정/공공기관 정보 시스템 클라우드 전환 사업의 방향은 잘 잡았다고 생각한다. 대한민국 IT 산업 역시 다른 분야처럼 주축 인력의 고령화가 빠르게 진행되고 있다. 그 결과 만성적인 인력 부족 상황이 이어지고 있다. 이는 민간, 공공 모두 다르지 않다. 일손이 모자라다 보니 서버 관리가 제대로 안되는 곳이 많다. 이런 문제는 지방으로 갈수록 더 심한데, 서버가 방치된 경우와 함께 심지어 전산 담당자가 없는 곳도 심심찮게 볼 수 있다.
IT 인력 부족으로 유지보수가 제대로 이루어지지 않은 시스템 방치 문제는 클라우드에서 해결책을 찾아야 한다. 행정/공공기관 정보 시스템 클라우드 전환 사업은 관리해야 할 서버는 많아지는데, 사람은 없는 문제의 현실적인 해결책이 돼야 한다고 본다.
클라우드 전환에서 답을 찾는 방향에는 격하게 공감하지만 기존 IT 생태계를 배제한 사업 추진 방식에는 아쉬움이 남는다. 행정/공공기관 정보 시스템 클라우드 전환 사업의 주체가 누구일까? 클라우드 업계 시각으로 보면 주체는 시스템 통합(SI) 사업자다. SI 중심의 컨소시엄이 전환 사업을 이끌고 매니지드 서비스 기업(MSP)이 운영과 유지보수를 맡는다. CSP도 참여하지만, 주체라 하기에는 수혜 기업이 너무 한정되어 있다. 몇몇 SI가 몇몇 CSP 및 MSP와 손잡고 전환 사업을 독식하고 있다. 과연 이런 식으로 사업을 하는 것이 유일한 방법일까? SI와 MSP가 없으면 마이그레이션과 운영이 불가능할까? 개인적으로 왜 아무도 나서서 이런 질문을 하지 않는지 궁금하다. IT 업계에 몸담고 있다면 SI, MSP 없어도 충분히 사업을 할 수 있다는 것을 안다.
대한민국의 행정/공공기관 홈페이지와 프로그램은 이미 개발 회사와 유지보수 회사들이 별도로 존재하고 있다. 특히, 이명박 정부 이후 대형 SI가 배제된 프로젝트가 많았고, 이를 기회로 중소 개발사가 사이트 개발과 유지보수를 맡게 됐다. 한 마디로 정부기관의 사이트를 잘 아는 팀은 개발 회사의 유지보수팀이지만, 해당 업체들이 클라우드 전환 사업에서는 배제된 형국이다.
행정/공공기관은 전국 각지에 있다. 그러나 한국 IT 산업 생태계는 전국 주요 도시를 중심으로 형성되어 있다. 행정/공공기관 시스템 구축과 유지보수 사업은 주로 현지 중소기업이 맡으며, 중요 솔루션 공급은 지역에 뿌리를 둔 총판이 담당한다. 규모에 차이가 있을 뿐 수도권 못지않게 탄탄한 생태계 기반이 있다. 이 생태계를 활용했다면 행정/공공기관 정보 시스템 클라우드 전환 사업 비용을 사이트에 따라서는 절반 이하로 줄일 수도 있었을 것이다.
저비용으로 고성과를 이룬 클라우드 전환 사업도 있다. 정보통신산업진흥원(NIPA)에서 민간 기업을 상대로 하는 클라우드 이용 지원 바우처 사업인데, 수요자가 클라우드 사업자를 골라서 직접 계약하고 정부에서는 지원만 하는 형태다. 이 방식을 응용해 정부기관에서 직접 CSP 사업자를 골라서 기존의 개발 회사, 유지보수 사업자와 클라우드 전환 작업을 같이한다면, SI와 MSP가 대상 기관의 시스템을 신규로 배워 전환하며 드는 고비용의 이중작업 구조를 탈피할 수 있지 않을까 싶다.
CSAP 인증제 개선 시 글로벌 기업 개방에 따른 이슈
행정/공공 부문의 클라우드 전환은 정부가 예고한 클라우드 보안 인증제 개선으로 크고 작은 변화가 예상된다. 일단 전환 사업이 앞으로도 계속 진행될지는 모르겠지만, 민간 클라우드 도입의 기회가 확대될 것은 확실해 보인다. 일각에서는 글로벌 CSP에 시장을 내줄 수 있다고 보지만, 기존 CSAP 인증의 난이도가 높아 인증받지 못한 국내 사업자에게 시장 진입의 새로운 기회가 될 수 있으리라 생각한다. 다만, 공정한 경쟁을 할 수 있는 토대가 마련됐으면 하는 바람이다.
정부가 검토 중인 개정안의 핵심은 보안의 난이도에 따라, 아마도 망의 성격에 따라 정부망이 들어오는 LEVEL 1, 별도의 망 분리가 필요한 LEVEL 2, 보안 난이도가 낮은 LEVEL 3로 나눌 것으로 예상된다. 따라서 해외 CSP 사업자에게도 개방될 것으로 예상되는 LEVEL 3을 어떻게 개방하는 게 바람직할 지 고민해 보았다.
외국의 클라우드 사업자는 자신들이 해외에서 받은 보안 인증에 대한 인정을 요구할 것으로 보인다. 과연 이를 인정할 경우 문제는 없을까? 필자가 만나본 외국계 IT 서비스 업체 관계자들은 자신들의 시스템에 대해 최상, 최강의 수식어를 달고 살며 추앙한다. 반면, 대한민국 내 사업 조직이 시스템 최상위 접근권에서 배제되어 있거나, 마케팅 법인만 별도로 만들어서 아예 아무런 관리 권한 없이 운영하고 있다는 사실은 쉬쉬한다. 이에 정부에서 해당 서비스를 이용할 때 국내 조직이 시스템 최상위 접근권이 있는지 따져보아야 하며, 문제 발생 시 책임 소재를 명확히 해야 한다. 한 마디로 대한민국에서 접근과 관리 권한이 없는, 문제 발생 시 대한민국에서 아무도 책임 지지 못하는 클라우드 서버의 대한민국 공공 부문에서의 이용은 배제돼야 한다고 생각한다.
대한민국 ISMS 보안 인증 + 클라우드 서비스 품질 인증 조합의 제안
CSAP 인증은 클라우드 서비스를 정부기관이 믿고 쓸 수 있는지에 대한 클라우드 서비스 보안인증이다. 보통 보안 인증으로 알고 있지만 기본적으로 클라우드 서비스 수준에 대한 심사가 포함돼 있어 보안 수준만 맞춰서 인증 신청을 하는 업체들은 인증을 취득하지 못하는 경우가 많다. 정부가 3단계 인증을 도입하며 가장 낮은 단계를 좀 더 완화하는 방안을 검토한다고 하는데, 그 수준이면 별도의 정부 인증보다는 국내 민간 기업에서 많이 이용되는 보안 인증인 ISMS 보안 인증의 효력을 인정해주는 건 어떨까 생각한다.
단지 ISMS 인증이 클라우드 서비스 품질을 담보하는 인증이 아니므로 정보통신산업진흥원의 클라우드 컴퓨팅 서비스 품질·성능 인증을 SDN, 스토리지 가상화, 보안 서비스 제공 수준, CDN 등의 부가서비스를 정부 이용 수준으로 업그레이드하고, 자격요건을 평가하는 기준으로 삼아서 ISMS를 보완하는 것도 좋은 방법이라고 본다.
ISMS의 CSAP 대비 장점은, 인증받는 데 있어 오픈소스 보안 솔루션을 광범위하게 사용할 수 있어 서비스 이용의 자동화가 가능하므로 별도의 존을 만들지 않더라도 정부기관이 좀 더 저렴한 비용으로 서비스를 이용할 수 있는 것이다. 실제로 AWS도 과거에 국내 ISMS 인증을 받았던 사례가 있었으므로, 그 정도의 보안 인증이면 외국계 업체들도 무난히 받아들일 수 있을 것이다.
IT 서비스 업계에서 ISMS의 효과를 말할 수 있는 사례는 많다. 최근 몇 년 사이 호스팅 기업을 노린 랜섬웨어 공격이 대표적인 사례다. 대부분의 호스팅 회사가 랜섬웨어 공격으로 타격을 입었지만, ISMS 인증 업체는 한 곳도 피해를 보지 않았다. ISMS 인증 제도가 보안 수준의 강화 효과에 비해 군더더기가 많아 유지비용이 많이 든다는 생각이지만 보안 효과는 충분히 검증됐다고 생각한다.
또한, ISMS 인증에 SAAS, DAAS, MSP, SI, 솔루션 유지 보수 사업자 등 지금까지 비교적 보안 레벨 수준을 낮게 요구했던 사업자에 인증 받는 것을 독려하는 방안도 생각해 볼 수 있다. 관련 업체 관계자들을 만나서 보안수준을 확인해 보면, 과연 이 업체에 정부기관의 중요한 데이터를 맡길 수 있을지 의문을 제기할 수밖에 없는 경우가 많다. 망 분리도 안 되어 있고, 검색 PC와 서버 접근 PC가 혼재되어 있으며, 개발자와 서버 관리자가 시도 때도 없이 이직하고 그 자리를 신입 엔지니어와 개발자로 채우는 일이 일상이다. 이러다 보니 언제 랜섬웨어에 당하고 국가지원 해커조직들이 번번히 침투한다고 해도 하나 이상하지 않은 업체가 즐비한 느낌이다.
제도적으로 보안을 강화하지 않으면 보안 사고는 도처에서 터질 수밖에 없다. 과거 랜섬웨어 공격으로 영세 호스팅 업체들이 고통받았던 것처럼, 타깃이 바뀌고 보안 레벨을 낮추면 이제 정부기관의 데이터가 주요 공격 대상이 될 수도 있다. 소 잃고 외양간 고칠 일은 정부에서 하지 않는 게 바람직하다는 생각이다.
계란을 한 바구니에 담는 리스크 방지의 고민
며칠 전 데이터센터의 화재로 서비스가 잠시 중단된 카카오의 사례는 정말 아찔한 리스크 관리의 사례이다. 화재가 배터리 실에 국한되어 전기를 내린 후 스프링클러를 동작시켰고, 배터리 실로 가는 전기를 바이패스(bypass)해 저압반에서 배전반으로 전기를 흘려보내 서비스가 재개될 수 있었다. 하지만 만약 저압반까지 화재가 진행되었다면, 그리고 그 상태에서 스프링클러가 작동됐다면, 최악의 경우 최소 한 두달은 가동을 중단해야 했을 것이다.
몇 년 전 과천 S사 데이터센터 화재 사고는 클라우드 서비스가 아니라 서버를 다른 데이터센터로 이사하는 진풍경을 연출하며 문제를 해결했다. 하지만 클라우드 서비스는 한 마디로 서버와 스토리지 모두 뜬구름 속에 분산 운영되는 관계로 재해가 났을 때는 재해 복구까지 꼼짝없이 서비스가 정지될 수밖에 없다.
클라우드 서비스는 서버가 한 곳에 모일수록 운영 효율이 높아진다. 아마도 카카오가 자체 클라우드 서비스를 한 곳으로 모은 이유가 이 때문일 것이다. 그래서 전체 서비스를 한 곳으로 모아서 비용을 최적화한 것은 어찌 보면 당연한 일이다. 그렇지만 서비스 전체를 한 클라우드에 모아 놓았을 때의 리스크는 분명하다. 장애 발생시 복구 시간이 길어질수록 전체 서비스 정지 기간도 길어진다.
여기에 대한민국의 특성도 고려해야 한다. 바로 서울이 북한의 장사정포 사거리 안에 있다는 것이다. 이게 뜻하는 바는 무엇일까? 이는 주요 데이터센터 시설도 사거리 내에 있다는 것이다. 중요 시설이 몰려있다 보니 위험이 크다고 할 수 있다.
집중에 따른 위험은 또 있다. CSAP 인증을 보유한 업체는 열 곳이 넘지만, 잘 나가는 몇 업체를 제외하면 대부분 개점휴업 상태이고 일부는 인증을 반납했다. 이유는 대부분 기관이 지명도 있는 업체나 영업력 있는 업체를 선호하기 때문에 결국 지명도 있는 한 두 곳으로 몰릴 수밖에 없으니 계란을 한 바구니에 담는 리스크를 안고 가게 된다, 정부기관 서버가 적절한 리스크 분산이 되지 않고 있는 실정이다.
그렇다면 인증을 3단계로 확대하면 어떨까? 주위 동료 호스팅 업체들 가운데 ISMS 인증을 획득한 업체가 몇 곳이 있다, 정부-NIPA의 민간 클라우드 지원 사업에 참여해서 고객을 유치하고 있는 업체들이다. 아마도 인증제가 확대되면 충분히 국내 업체에도 참여 기회가 돌아가지 않을까 싶다.
그러나 현실은 오히려 잘 나가는 외국계 업체 한 두 곳이 메이저가 되고, 국내 업체 한 두 곳이 마이너, 그리고 대부분의 클라우드 업체가 시장에서 배제되는 현실을 받아들여야 할지도 모른다. 정부는 국내 기업의 참여를 늘리고자 했고 애초에 대한민국 클라우드 사업자를 양성하겠다고 시작했지만, 외국계 업체에 대한민국 정부기관 서버의 운영과 관리를 의존하는 일이 생기고, 한 두 곳으로 서버가 몰리면 클라우드 서버의 집중에 따른 위험을 회피하기 어려울 수도 있다.
따라서 서버가 한 곳에 몰리지 않도록 하는 등 리스크 관리를 위해 정부기관 서버의 적절한 로드 밸런싱을 어떻게 할 것인가에 대한 고민이 필요하다. 대략 2가지 방법을 생각해 볼 수 있다. 자격을 가진 업체에 대한 공평한 분배 또는 절차를 간소화한 최저가 입찰이 있다. 자격을 획득했고, 업력이 있다면 공공을 위한 서비스 제공이 가능하다고 봐야 한다. 이런 업체들에 공평한 기회를 주는 것은 어떨까? 기회의 공평한 배분을 통해 선호하는 업체나 영업력 있는 업체로 고객이 몰리는 상황을 해소하는 것이 리스크를 줄이는 방법일 수 있다.
▲스마일서브 김병철 대표이사[사진=스마일서브]
공평한 분배가 현실화 되기 힘들다면? 진검승부를 할 수 있는 기회인 최저가 입찰을 투명하게 하는 것도 나쁘지 않다고 본다. 국내에는 국내 상황에 최적화된 자격과 기술력을 갖춘 업체가 많기에 가격경쟁력이 떨어지지 않는다. ‘공평한 분배 또는 최저가 입찰’, 정부가 리스크를 줄이고 국내 클라우드 산업을 살리며, 다양한 기업에 시장 참여의 기회를 보장하는 방법이 될 수 있지 않을까 싶다.
[글_ 김병철 스마일서브 대표이사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
