[3줄 요약]
1. 막대한 이중화 예산에 현실적 대안으로 PPP 부상
2. 일부 전환 시작...PPP 이중화까지 구현해야
3. 제로트러스트 채택 해외 벤치마킹 필요...N2SF 역할 기대
[보안뉴스 강현주 기자] 국가정보자원관리원 화재로 민관협력형(PPP) 클라우드 활성화가 해법으로 부상하고 있다. 재발 방지를 위해 PPP 클라우드 이중화까지 구현해야 한다는 지적이 나오는 가운데, 이를 위한 보안 대책으로 ‘국가망보안체계(N2SF)’를 정교하게 적용해야 할 필요성도 제기된다.
PPP 클라우드란 정부가 서버와 스토리지 등 보안을 갖춘 클라우드 공간을 제공하고, 민간 사업자가 이를 임대해 보유한 클라우드 시스템을 구축·제공하는 방식이다. 공공기관이 보안을 유지하면서 민간 클라우드 서비스를 편리하게 이용할 수 있게 하기 위함이다. 지난해 대구센터에 PPP 클라우드를 구축했다.
1일 보안 전문가들에 따르면, 국정자원의 재해복구(DR) 체계 마련을 위해 정부 클라우드의 PPP 활성화를 넘어 PPP 클라우드 이중화까지 구현해야 한다. 이를 위해 제로트러스트와 중요도에 따른 맞춤형 보안통제를 전제로 하는 N2SF가 보안 정책으로 적합하다는 지적이다.
▲국정자원 화재로 정부 서비스 장애가 발생했다. [자료: 연합]
막대한 이중화 예산 비현실적...PPP 활성화가 답
행정안전부는 국정자원 화재 후 전소된 96개 시스템의 복구에 2~4주가 소요될 전망이라고 발표했다. 신속한 복구가 이뤄지지 못하는 이유는 재해 복구를 위한 이중화가 구현되지 않았기 때문이다.
2022년 10월 카카오 먹통 사태 이후 국정자원 클라우드 이중화 예산 250억원이 편성된 바 있다. 하지만 행안부는 이 예산을 16억원만 남기고 반환한 것으로 알려졌다. 또 부처 정보시스템 통합 운영관리 체계인 ‘엔탑스’(nTOPS)에 클라우드 재해복구(DR) 시스템을 시범 구축하기 위해 약 30억원의 예산이 배정돼 올해 실증이 시작된 것으로 알려졌다.
하지만 이 예산들이 당초 계획대로 집행됐다 해도, 이는 부분적 DR 구현에 불과하다. 전면적 구축에는 최소 1000억원 단위의 막대한 비용이 들 것이라는 게 관계자들의 설명이다.
공공 클라우드 분야 한 전문가는 “궁극적으로는 대전, 광주, 대구 센터에 복수의 가용성 존(분산운영을 통해 끊김없는 서비스가 가능한 곳)을 구축해 액티브-액티브(복수의 데이터센터가 실시간으로 데이터를 주고 받으며 운영되는 구조) 서비스를 구현해야 한다”며 “국정자원이 별도의 이중화 예산을 자체 책정 및 집행하기 어려운 구조라 그 막대한 예산 마련은 꿈도 못꿀 것이고, 결국 PPP 활성화로 가는 게 답”이라고 강조했다.
PPP 클라우드 이중화까지 필요...“N2SF로 대응해야”
현재 업계에 따르면 국정자원은 전소된 96개 업무시스템을 대구 센터에 입주해있는 PPP인 NHN클라우드로 이전하기 시작했다. 궁극적으로 대구 센터 외부의 데이터센터에 이 PPP를 이중화해 네트워크로 연결해야 만약의 사태에 빠른 복구가 가능하다.
이처럼 클라우드와 외부 망이 활용되는 환경엔 제로트러스트 보안 체계가 필수적이다. 제로트러스트는 ‘아무도 신뢰하지 않는다’는 전제로 인증과 권한관리 등을 강화한 보안 개념이다.
미국의 경우 이미 ‘클라우드 퍼스트’ 정책을 통해 정부 시스템에 AWS, 구글, MS 등 민간 클라우드를 도입해 끊김 없는 서비스를 구현했다. 미국은 바이든 정부 때 행정명령을 통해 정부 내 제로트러스트 구축을 시작하도록 명문화한 바 있다. 또 정부 클라우드 서비스에 페드램프(FedRAMP) 인증을 적용했다. 보안성과 복구 능력을 검증하는 이 인증은 데이터 중요도에 따라 차등적 보안 정책을 제공하는 내용을 담는다.
최근 국정원이 가이드라인을 공식 발표한 N2SF는 제로트러스트를 전제로 하며, 정보의 중요도에 따라 기밀(C), 민간(S), 공개(O)로 보안통제 항목을 차등 적용하고 있다. 이는 민간 클라우드를 정부 서비스에 활성화한 미국의 관련 보안 정책과도 맥을 같이한다.
공공 보안 분야 한 전문가는 “액티브-액티브 구조의 PPP 클라우드 이중화를 위해선 외부 데이터센터로의 네트워크 연결이 불가피하다”며 “이 구조가 안전하게 구현되려면 적합한 보안 모델이 필요한데, 제로트러스트와 중요도별 차등 보안통제를 세심하게 담은 N2SF가 그 모델이 될 수 있다”고 말했다. N2SF를 통해 정부 클라우드 서비스의 안전한 운영을 위한 이중화 기준을 제시하고, 민간 클라우드 기업은 이를 충족하는 역량을 갖춰야 한다는 지적이다.
임종인 고려대학교 정보보호대학원 명예교수는 “국정자원이 설령 막대한 예산을 투입해서 자체 이중화를 한다 해도 운영할 정부 인력이 턱없이 부족할 것”이라며 “미국이 AWS나 구글과 협력하는 것처럼 우리나라도 민간 클라우드와 협력하려면 페드램프 같은 원칙을 세워야 한다”고 말했다.
임 교수는 “특히 AI 3대 강국이 목표인 정부는 현재의 데이터센터를 AI 데이터센터로 바꿔야 한다”며 “이를 위해서는 제로트러스트를 앞서 도입한 나라들을 벤치마킹하며 민간의 혁신을 받아들여야 하는데, 기존 망분리나 한국화된 인증제도들로는 국제 추세나 AI 시대에 맞지 않을 수 있다”고 설명했다.
[강현주 기자(jjoo@boannews.com)]
1. 막대한 이중화 예산에 현실적 대안으로 PPP 부상
2. 일부 전환 시작...PPP 이중화까지 구현해야
3. 제로트러스트 채택 해외 벤치마킹 필요...N2SF 역할 기대
[보안뉴스 강현주 기자] 국가정보자원관리원 화재로 민관협력형(PPP) 클라우드 활성화가 해법으로 부상하고 있다. 재발 방지를 위해 PPP 클라우드 이중화까지 구현해야 한다는 지적이 나오는 가운데, 이를 위한 보안 대책으로 ‘국가망보안체계(N2SF)’를 정교하게 적용해야 할 필요성도 제기된다.
PPP 클라우드란 정부가 서버와 스토리지 등 보안을 갖춘 클라우드 공간을 제공하고, 민간 사업자가 이를 임대해 보유한 클라우드 시스템을 구축·제공하는 방식이다. 공공기관이 보안을 유지하면서 민간 클라우드 서비스를 편리하게 이용할 수 있게 하기 위함이다. 지난해 대구센터에 PPP 클라우드를 구축했다.
1일 보안 전문가들에 따르면, 국정자원의 재해복구(DR) 체계 마련을 위해 정부 클라우드의 PPP 활성화를 넘어 PPP 클라우드 이중화까지 구현해야 한다. 이를 위해 제로트러스트와 중요도에 따른 맞춤형 보안통제를 전제로 하는 N2SF가 보안 정책으로 적합하다는 지적이다.
▲국정자원 화재로 정부 서비스 장애가 발생했다. [자료: 연합]
막대한 이중화 예산 비현실적...PPP 활성화가 답
행정안전부는 국정자원 화재 후 전소된 96개 시스템의 복구에 2~4주가 소요될 전망이라고 발표했다. 신속한 복구가 이뤄지지 못하는 이유는 재해 복구를 위한 이중화가 구현되지 않았기 때문이다.
2022년 10월 카카오 먹통 사태 이후 국정자원 클라우드 이중화 예산 250억원이 편성된 바 있다. 하지만 행안부는 이 예산을 16억원만 남기고 반환한 것으로 알려졌다. 또 부처 정보시스템 통합 운영관리 체계인 ‘엔탑스’(nTOPS)에 클라우드 재해복구(DR) 시스템을 시범 구축하기 위해 약 30억원의 예산이 배정돼 올해 실증이 시작된 것으로 알려졌다.
하지만 이 예산들이 당초 계획대로 집행됐다 해도, 이는 부분적 DR 구현에 불과하다. 전면적 구축에는 최소 1000억원 단위의 막대한 비용이 들 것이라는 게 관계자들의 설명이다.
공공 클라우드 분야 한 전문가는 “궁극적으로는 대전, 광주, 대구 센터에 복수의 가용성 존(분산운영을 통해 끊김없는 서비스가 가능한 곳)을 구축해 액티브-액티브(복수의 데이터센터가 실시간으로 데이터를 주고 받으며 운영되는 구조) 서비스를 구현해야 한다”며 “국정자원이 별도의 이중화 예산을 자체 책정 및 집행하기 어려운 구조라 그 막대한 예산 마련은 꿈도 못꿀 것이고, 결국 PPP 활성화로 가는 게 답”이라고 강조했다.
PPP 클라우드 이중화까지 필요...“N2SF로 대응해야”
현재 업계에 따르면 국정자원은 전소된 96개 업무시스템을 대구 센터에 입주해있는 PPP인 NHN클라우드로 이전하기 시작했다. 궁극적으로 대구 센터 외부의 데이터센터에 이 PPP를 이중화해 네트워크로 연결해야 만약의 사태에 빠른 복구가 가능하다.
이처럼 클라우드와 외부 망이 활용되는 환경엔 제로트러스트 보안 체계가 필수적이다. 제로트러스트는 ‘아무도 신뢰하지 않는다’는 전제로 인증과 권한관리 등을 강화한 보안 개념이다.
미국의 경우 이미 ‘클라우드 퍼스트’ 정책을 통해 정부 시스템에 AWS, 구글, MS 등 민간 클라우드를 도입해 끊김 없는 서비스를 구현했다. 미국은 바이든 정부 때 행정명령을 통해 정부 내 제로트러스트 구축을 시작하도록 명문화한 바 있다. 또 정부 클라우드 서비스에 페드램프(FedRAMP) 인증을 적용했다. 보안성과 복구 능력을 검증하는 이 인증은 데이터 중요도에 따라 차등적 보안 정책을 제공하는 내용을 담는다.
최근 국정원이 가이드라인을 공식 발표한 N2SF는 제로트러스트를 전제로 하며, 정보의 중요도에 따라 기밀(C), 민간(S), 공개(O)로 보안통제 항목을 차등 적용하고 있다. 이는 민간 클라우드를 정부 서비스에 활성화한 미국의 관련 보안 정책과도 맥을 같이한다.
공공 보안 분야 한 전문가는 “액티브-액티브 구조의 PPP 클라우드 이중화를 위해선 외부 데이터센터로의 네트워크 연결이 불가피하다”며 “이 구조가 안전하게 구현되려면 적합한 보안 모델이 필요한데, 제로트러스트와 중요도별 차등 보안통제를 세심하게 담은 N2SF가 그 모델이 될 수 있다”고 말했다. N2SF를 통해 정부 클라우드 서비스의 안전한 운영을 위한 이중화 기준을 제시하고, 민간 클라우드 기업은 이를 충족하는 역량을 갖춰야 한다는 지적이다.
임종인 고려대학교 정보보호대학원 명예교수는 “국정자원이 설령 막대한 예산을 투입해서 자체 이중화를 한다 해도 운영할 정부 인력이 턱없이 부족할 것”이라며 “미국이 AWS나 구글과 협력하는 것처럼 우리나라도 민간 클라우드와 협력하려면 페드램프 같은 원칙을 세워야 한다”고 말했다.
임 교수는 “특히 AI 3대 강국이 목표인 정부는 현재의 데이터센터를 AI 데이터센터로 바꿔야 한다”며 “이를 위해서는 제로트러스트를 앞서 도입한 나라들을 벤치마킹하며 민간의 혁신을 받아들여야 하는데, 기존 망분리나 한국화된 인증제도들로는 국제 추세나 AI 시대에 맞지 않을 수 있다”고 설명했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)