국가정보자원관리원 대전 본원 화재를 계기로 공공부문도 민간 클라우드 도입을 확대해야 한다는 목소리가 커지고 있다. 화재·지진 등 재난 상황에서 대체 수단으로 가동할 수 있는 재난복구(DR·Disaster Recovery) 체계를 갖춘 민간 클라우드를 함께 활용했다면 서비스 복구가 빨라졌을 것이란 이유에서다. 우리나라도 행정·공공기관의 클라우드 전환 사업을 추진 중이지만, 이를 뒷받침하는 클라우드 보안인증제도의 실효성이 떨어져 민간 클라우드 도입이 지연되고 있다는 지적이 나온다.
1일 정부와 업계에 따르면 민간 클라우드 사업자(CSP)가 공공기관에 클라우드 서비스를 공급하려면 과학기술정보통신부가 관할하는 클라우드 보안인증(CSAP)을 받아야 한다. 지난 2023년 도입된 CSAP는 상·중·하 3개 등급으로 나뉜다. '상' 등급은 국가 안보·외교 등 민감 정보를 포함한 내부 행정 운영 시스템, '중' 등급은 비공개 업무자료를 다루는 시스템, '하' 등급은 개인정보가 포함되지 않은 공개 데이터를 운영하는 시스템에 적용된다.
등급제는 정보 중요도와 민감도에 따라 클라우드 시스템의 보안 요구 수준을 달리하는 게 골자다. '하' 등급은 해외 사업자들도 참여할 수 있도록 '물리적 망 분리' 외 '논리적 망 분리'까지 허용한다. 물리적 망 분리는 업무망과 인터넷망을 엄격히 분리하고 서버가 반드시 국내에 있어야 하는 반면, 논리적 망 분리는 클라우드 서버를 물리적 공간이 아닌 가상의 공간에 조성해도 된다. 해외 사업자는 이 가운데 '하' 등급만 획득할 수 있는데, 현재까지 아마존웹서비스(AWS)와 구글클라우드, 마이크로소프트가 '하' 등급을 받았다.
그러나 상·중 등급의 세부 기준을 담은 고시 개정이 미뤄지면서 민간 클라우드 전환도 늦어지고 있다는 지적이 나온다. 당초 과기부는 지난해 9월까지 상·중 등급 평가 기준을 담은 고시를 마련할 계획이었으나, 국가정보원이 '국가 망 보안체계(N2SF)'를 추진하면서 중복 규제 우려가 제기되자 개정을 1년 가까이 연기했다.
국정원이 관할하는 N2SF는 공공기관 전산망을 업무 중요도에 따라 기밀(C)·민감(S)·공개(O) 등급으로 분류해 차등 보안을 적용하는 체계다. 국정원은 지난달 30일에야 N2SF 가이드라인 정식판을 공개했고, 과기부는 이에 맞춰 CSAP 등급 기준을 보완한다는 입장이다.
공공 클라우드 정책 권한을 행정안정부, 과기부, 국정원이 각각 나눠서 관여를 하고 있어 운영 일관성이 떨어지고 국정자원 화재와 같은 사고 발생시 수습이 느려질 수밖에 없다는 비판이 나온다. 현재 우리나라 전자정부 체계는 과기부는 CSAP, 국정원은 N2SF, 행안부는 민관협력형 클라우드(PPP)를 담당하고 있다. 전문가들은 이런 칸막이식 구조가 민간 클라우드 시장 활성화를 저해하고 기존 시스템을 땜질식으로 유지하게 해 사고 위험을 키웠다고 지적했다.
PPP는 정부와 민간이 협력해 공공기관 전용 클라우드 인프라를 구축·운영하는 방식으로, 정부가 운영을 통제하는 게 핵심이다. 정부는 국정자원 대전 본원 화재로 전소된 96개 시스템을 대구센터 PPP로 이전 중이다. 지난해 구축한 대구센터 PPP에는 국정원 보안 인증 '상' 등급을 확보한 삼성SDS, KT클라우드, NHN클라우드가 입주해 있다. 3사는 정부 요청에 따라 전소된 업무 시스템 재설치 작업에 참여할 전망이다.
전문가들은 재난 상황에도 전산망이 마비되지 않는 DR 환경을 구축하려면 칸막이식으로 흩어진 클라우드 정책부터 재정비해야 한다고 입을 모은다. 지금처럼 정책 권한이 부처별로 나뉘어 있으면 공공기관이 민간 클라우드 도입에 속도를 내기 어렵기 때문이다. 당장 CSAP 인증 상·중 등급 제도가 구체적으로 마련되지 않은 상태에서는 국내 클라우드 사업자들도 공공 클라우드 시장에 참여하는 데 한계가 있다.
화재 이후 '칸막이 전자정부'를 둘러싼 비판이 커지자, 이재명 대통령은 "거버넌스를 포함한 구조적 문제 해결 방안을 신속히 보고하라"며 "지금이라도 이중 운영 체계가 필요하고 필요시 민간과 협업해서라도 시스템을 새로 짜야 한다"고 주문했다.
이에 국가AI전략위원회는 'AI인프라 거버넌스·혁신 TF'를 구성하고 국가 디지털 인프라에 대한 근본적인 구조개선 방안을 담은 종합대책을 11월까지 마련해 발표할 계획이다.