[IT동아 남시현 기자] 지난해 7월, 행정안전부는 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진계획’을 발표하고 오는 2025년까지 행정 및 공공기관이 운영 중인 1만 9개의 모든 정보 시스템을 클라우드로 전면 전환, 통합하겠다고 밝혔다. 정부는 클라우드 전환에 따른 이용료를 초기 1년 간 지원하는 등 2025년까지 총 8600여 억 원을 투입해 공공 클라우드 확산에 나선다. 하지만 지난 3월, 참여 클라우드 기업은 클라우드 서비스 보안 인증(Cloud Security Assurance Program, 이하 CSAP)을 의무적으로 준수하라고 고지하면서 국내외 클라우드 사업자 간의 희비가 엇갈리기 시작했다.

CSAP는 국내 공공기관에 클라우드를 제공하기 위한 필수 인증으로, 소스코드와 데이터 센터의 자료를 제출해야 해 해외 클라우드 사업자들은 참여하지 않았다. 처음 청사진을 공개할 당시에는 CSAP가 의무가 아니어서 해외 클라우드 사업자들도 참여 의사를 밝혔지만, 3월에 갑자기 CSAP가 의무화하면서 국내 클라우드만 쓸 수 있게 됐다. 논란이 불거지자 정부는 CSAP를 미국의 보안 체계인 페드램프(FedRAMP)와 같이 등급제로 바꿔 해외 클라우드 사업자도 참여할 수 있도록 개정에 착수했다.

출처=셔터스톡

<이미지를 클릭하시면 크게 보실 수 있습니다>

이 과정에서 해외 클라우드 사업자가 진출하면 국내 클라우드의 산업 경쟁력이 약화하고 데이터 주권이 침해될 수 있다는 의견과 최적의 선택을 위해 모든 선택 가능성을 열어야 한다는 의견이 나뉘면서 이해관계자들이 대립하고 있다. CSAP의 근본적인 한계와 해외 기관의 클라우드 도입 사례를 토대로 문제점을 짚어본다.

공공 데이터의 클라우드화는 전 세계적 현상

CSAP는 공공 기관에 안전성과 신뢰성이 검증된 클라우드를 공급하기 위해 시작된 인증 체계다. 하지만 CSAP는 공공기관 전용 서버를 국내에 설치하고, 공공용 서버와 민간용 서버를 물리적으로 구분하며, 우리나라 기준의 암호화 기술만을 사용해야 하는 등 국제 표준보다는 국내 실정에 맞춘 인증이다. 이때문에 아마존웹서비스나 마이크로소프트, 구글 등 글로벌 클라우드 서비스 제공 업체는 현재 국내 공공기관에 서비스를 제공할 수 없으며, NHN클라우드나 네이버클라우드 등 국내 사업자가 공공 시장에 집중하고 있는 상황이다.

네이버의 두 번째 데이터센터 각 세종 조감도. 출처=네이버클라우드

<이미지를 클릭하시면 크게 보실 수 있습니다>

현행 체제로는 데이터를 클라우드로 관리하는 것 자체는 충분히 가능하지만, 그 다음 단계까지 이르기가 어렵다. 클라우드 서비스는 기본적으로 데이터를 별도로 구축된 네트워크 공간에 배치해 데이터를 자유롭게 활용하고 공유한다. 하지만 데이터 규모와 네트워크 인프라가 확장하면서 적재된 대량의 데이터를 가공하고, 더 나아가 빅데이터나 기계 학습, 자동화, 인공지능 등 더욱더 다양한 분야에 활용할 수 있게 됐다. 이미 전 세계적으로 정부 차원에서 클라우드를 활용해 공공 부문 개혁에 나선 상황이며, 여기에 해외 클라우드 사업자들이 협력해 상당한 성과를 올리고 있다.

미국 국립 중개과학 발전센터는 코로나 19의 빠른 치료법 연구를 위해 클라우드 기반 데이터 공유 및 분석 플랫폼인 ‘N3C’에 자금을 지원했다. 클라우드의 자원 덕분에 몇주 만에 100억 개 이상의 행이 있는 데이터베이스가 구축되었으며, 정부 전문가와 연구원, 기업들이 클라우드 기반 플랫폼에서 공동으로 작업을 수행했다. 아울러 미국 전역의 병원에서 진행된 임상, 진단 및 실험 데이터도 모두 클라우드로 수집돼 빠르게 치료법이 등장할 수 있었다.

대규모 산불이 빈번한 미국 캘리포니아 주에서는 인공지능 기반의 산불 감지 프로그램인 ‘파이어 스카우트’를 활용해 산불을 예방하고 있다. 파이어 스카우트는 국내 기업인 ‘알체라’가 아마존웹서비스를 기반으로 개발한 서비스로, 1천 대 이상의 네트워크 카메라와 인공지능을 활용해 산불을 감지한다. 해당 기술은 캘리포니아 주와 플로리다 주를 비롯해 전 세계 60여 개 국가에서 활용되고 있다.

한 스타트업이 GaaP를 통해 제공된 자료를 바탕으로 정부 메시지 서비스(GOV.UK. NOTIFY) 등을 점검하고 있다. 출처=loft27

<이미지를 클릭하시면 크게 보실 수 있습니다>

영국 정부는 2011년부터 정부 서비스를 플랫폼으로서의 정부(Government as a Platform, GaaP)화하고 있으며, 정부 최상위 포털과 공공 사용자 서비스, 교육, 전자지불 등 다양한 서비스가 클라우드 기반으로 제공되고 있다. 코로나 19 당시 대국민 전파 등을 위해 평소 6배 이상 늘어난 데이터 수요를 클라우드 기반으로 몇 시간 내 해결하기도 했고, 새로운 애플리케이션과 지불 기능 등을 담은 정부 서비스도 조달 절차 없이 클라우드 기반의 데이터로 빠르게 개발하는 성과를 보여준 바 있다.

데이터 주권과 효율성 모두 따져봐야

하지만 해외 클라우드 사업자를 선택할 수 없다면 이처럼 혁신적인 사례가 등장하기까지 더 많은 시간과 노력, 비용이 소요될 수 밖에 없다. 이미 해외 클라우드 서비스는 전 세계적으로 공유되는 퍼블릭 클라우드 생태계와 서비스를 기반으로 성과를 내고 있는데, 국내 클라우드로 한정하면 이 생태계를 활용할 수 없기 때문이다. 우리 정부가 CSAP를 등급제로 완화하면서 해외 클라우드 사업자를 끌어들이려는 이유다.

만약 CSAP 제도가 개편될 경우, 공공기관들의 클라우드 서비스 선택의 폭이 넓어지는 효과를 기대할 수 있다. 이렇게 되면 국내 클라우드 기업과 해외 클라우드 기업이 자율적으로 경쟁하게 되므로 지출 대비 효과를 더욱 끌어올릴 수 있게 된다. 또한 동일한 해외 클라우드 서비스를 활용하고 있다면 해외 사례를 국내 기관에 그대로 벤치마킹할 수 있고, 반대로 우리가 개발한 성공 사례를 외국 정부에 수출하는 것도 가능해진다.

특히 디지털 기술 표준을 준수하는 입장에서도 중요하다. 각국 정부가 클라우드 사업을 추진함에 따라 최근 인공지능과 기계학습, 사이버 보안, 데이터 거버넌스, 양자 컴퓨팅 등 다양한 신기술 분야에서 디지털 표준을 확립하기 시작했다. 싱가포르-호주 디지털경제협정(SADEA), 디지털경제동반자협정(DEPA), 인도-태평양 경제프레임워크(IPEF)를 포함한 디지털 무역 협정 체제에서 디지털 표준이 핵심 의제로 떠오르고 있으며, 우리나라 역시 DEPA와 IPEF에 가입해 디지털 경제와 기술 표준 정립에 힘을 보태고 있다.

유럽 연합은 일반 데이터 보호 규정(GDPR)을 통해 데이터 주권을 규정하고 있다. 출처=유럽위원회

<이미지를 클릭하시면 크게 보실 수 있습니다>

한편 데이터 주권 및 안보에 대한 우려의 목소리도 상당하다. 데이터 주권은 데이터의 수집, 저장, 활용 등에 있어 국가가 주권을 행사하는 국가적 차원과 개인이 자신과 관련된 데이터에 결정권을 가지는 개인적 차원의 주권으로 나뉜다. 여기서 우려되는 문제는 국가적 차원의 데이터 주권이며, 데이터를 보관하는 물리적인 데이터 서버가 국외에 있고, 외국 법률을 적용받는 회사가 관리하면서 발생한다. 데이터의 보관과 활용을 신뢰할 수 있더라도, 외국 정부가 법률에 따라 데이터에 접근할 가능성을 배제할 수 없어서다.

지난 2016년, 영국 국방부는 마이크로소프트 클라우드를 도입하기 위해 아일랜드 더블린이나 암스테르담의 데이터 서버를 활용할 수 있었지만, 마이크로소프트 UK 데이터 센터가 가동될 때까지 기다린 전례가 있다. 중국 정부는 데이터 주권 차원에서 해외 클라우드 서비스 제공업체가 자체 데이터 서버를 소유하고 운영하는 것을 허락하지 않는다. 또한 중국 내에서 생성된 데이터는 중국 내에 저장해야 하고, 정부가 협조를 요청할 시 데이터를 제공해야 한다.

데이터 주권은 데이터 주체가 적절하게 관리할 수 있도록 권리를 행사하는 개념이다. 클라우드 사업자의 국적이나 서비스의 품질을 떠나서 국내 법이 통용되는 공간에 데이터를 둬야 안심이라는 뜻이다. 다만 데이터 현지화 요건을 강조하다 보면 데이터 보안이나 컴퓨터 자원의 효율적 운영이 어렵고, 자연재해나 테러 등 유사시 국가 중요 정보를 보호하기가 까다롭다는 한계가 있다.

실리와 명분의 대립, 최적의 효율 강구해야

해외 클라우드 주요 사업자들. 출처=IT동아

<이미지를 클릭하시면 크게 보실 수 있습니다>

공공 기관의 클라우드 전환은 디지털 정부 완성을 위한 핵심 절차다. 즉, 데이터를 디지털로 옮기는 것에 그치지 않고 이를 활용해 대한민국의 국가적 이익을 극대화하는 게 목적이다. 그런 시각에서 데이터 주권만 놓고 해외 클라우드 사업자를 배제하는 것은 공정한 경쟁을 저해하며, 글로벌 표준에서 벗어나 자체적인 생태계에 빠지는 갈라파고스화로 이어질 수 있다. 그래도 CSAP가 등급제로 전환되면 데이터의 중요성에 따라 국내 사업자와 해외 사업자의 클라우드를 차등별로 활용할 수 있게 되므로 두 마리 토끼를 모두 잡을 수 있게 될 것으로 보인다.

비슷한 사례로 네덜란드 정부는 이번 달 초, 해외 클라우드 서비스를 정부 차원에서 활용할 수 있도록 국가 클라우드 정책을 수정했다. 알렉산드라 반 후펠렌(Alexandra van Huffelen) 디지털화 장관은 “퍼블릭 클라우드 서비스는 혁신적이고 투명하며, 유연하고, 효율적인 디지털 정부 개발을 위한 매력적인 관점을 제공하며, 퍼블릭 클라우드 기업의 서비스 보안 투자가 정부의 투자 의사보다 더욱 확실하다”라며 긍정적인 해석을 내놨다. 그러면서도 국가 기밀과 국방부의 정보는 클라우드에 저장되지 않으며, 문제가 생길 시 즉시 데이터를 반환받고 계약이 소멸하는 과정도 덧붙였다. 데이터 주권은 양보하지 않으면서 국제화에 발을 맞춘 결과다.

여러 사례를 종합해볼 때, 해외 클라우드의 공공기관 진출은 거스를 수 없다. 데이터 주권 차원에서 양보할 수 없는 분야는 있지만, 데이터 효율성이나 활용 가능성을 높이기 위해서라도 모든 클라우드에게 기회를 제공하는 게 맞다. 가능한 국민이 이득을 보는 방향을 선택해야 한다.

글 / IT동아 남시현 (sh@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)