기사 공유하기

국내 클라우드 시장에서 외국 사업자의 시장점유율이 2018년 기준 67%를 기록하고 있고, 기존의 아마존웹서비스(AWS) 3개소, 마이크로소프트 3개소, 아이비엠 1개소, 오라클 1개소, 어도비 1개소였던 해외 사업자들의 국내 클라우드 센터가 2020년 구글이 아시아·태평양 지역의 8번째 구글 클라우드 플랫폼 데이터센터를 서울에 개설할 예정이라고 밝힘에 따라 국내 클라우드 시장에서 외국 사업자의 시장점유율은 더욱 상승할 전망이다.

국내 클라우드 시장 점유율
국내 클라우드 시장 점유율

이에 아직까지는 국내 클라우드 사업자들이 경쟁력 우위를 보이고 있는 공공 클라우드 시장에 대한 관심이 증대됨에 따라 국내 클라우드 시장, 특히 공공 클라우드 시장 관련 현황과 제도에 대해서 알아보고자 한다.

클라우드 서비스 보안인증제 

2018년 7월 23일 과학기술정보통신부와 행정안전부는 공공 부문의 클라우드 서비스(SaaS) 이용 활성화와 보안 필요성 등을 종합적으로 고려하여 클라우드 서비스 보안인증제 개선방안을 마련하여 시행한다고 발표했다. 그 주된 내용은 다음과 같다.

  1. 현행 3년인 보안인증 유효기간을 5년으로 확대하고,
  2. 전자결재, 인사, 회계 관리, 보안서비스, 개인정보영향평가 대상 서비스 등을 제외한 서비스에 대해서 기존의 표준등급이 아닌 간편 등급을 신설하여 78개 인증항목 중 30개 인증항목만 통과하면 보안인증을 받을 수 있도록 하며,
  3. 이미 행정·공공기관에서 이용 중인 클라우드 서비스 32개에 대해서는 2020년 12월 31일까지 유예하여 동 기간 중에 인증제 신청과 서비스 이용이 가능하도록 배려하였다.

클라우드 서비스 보안인증

이 외에도 사업자들이 보안인증 신청 전에 반드시 받아야 했던 사전 준비기준을 없애고, 향후 보안운영명세서 간소화, 제출서류 정형화, 타 인증제와의 중복항목을 조정·폐지하여 현재 인증신청 접수에서 인증 완료시까지 5개월이 걸리던 기간을 3.5개월 이내로 단축할 수 있도록 할 계획이다.

클라우드 보안 인증제는 공공기관이 민간 클라우드를 이용할 수 있도록, 2017년 7월 시행한 제도다. 이전에는 공공기관의 민간 클라우드 이용이 허용되지 않았으나, 관계부처 협의를 통해 과학기술정보통신부가 민간 클라우드의 보안성을 인증하면 공공기관이 인증된 민간 클라우드를 이용할 수 있도록 개선한 것이다.

공공기관에 민간 클라우드 서비스를 제공하고자 하는 사업자가 자사 클라우드 사업자에 대한 보안인증을 요청하면 과학기술정보통신부에서 고시한 정보보호 기준을 바탕으로 한국인터넷진흥원이 준수 여부를 평가하여 인증하는 제도로 공공기관의 수요가 높은 IaaS 부문의 117개 항목에 대해서 인증이 이루어지는 제도이다.

클라우드 서비스 보안인증 제도 (출처: 한국인터넷진흥원) https://isms.kisa.or.kr/main/csap/intro/index.jsp
클라우드 서비스 보안인증 제도 (출처: 한국인터넷진흥원)

클라우드 서비스 보안 인증제는 그 후속 단계로 클라우드 보안 인증을 확보한 클라우드 서비스 위에서 제공되는 SaaS 서비스에 대해 2018년 7월 도입된 제도로 클라우드 보안 인증제의 117개 항목 중 물리적 보안 등 39개 항목을 제외하고, 정보보호 정책, 인적보안, 침해사고 관리, 준거성 등 관리적 보호조치 32개, 가상화 보안, 접근 통제, 네트워크 보안, 데이터 보호 등 기술적 보호 조치 39개, 공공기관용 추가 보호조치 7개를 포함한 78개의 필수항목에 대해 한국인터넷진흥원에서 인증하는 제도이다. 금번 조치는 일부 클라우드 서비스에 한해서 이 중 30개 인증항목에 대해서만 인증을 받을 수 있는 간편 등급을 신설하는 것이다.

국내 공공 클라우드 컴퓨팅 시장 현황

2015년 3월 제정·공포된 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률은 클라우드컴퓨팅의 발전만을 목적으로 제정된 법률로는 세계 최초라고 할 수 있다. 법이 제정되고 그해 11월에 발표된 기본계획에 따르면 목표는 3년 내 공공기관의 민간 클라우드 사용률을 40%까지 끌어올리는 것이었고, 이에 따라 국내 민간 클라우드 시장에 활력을 줄 수 있는 것으로 기대되었다.

하지만 법의 제4조(다른 법률과의 관계)에서 “이 법은 클라우드컴퓨팅의 발전과 이용 촉진 및 이용자 보호에 관하여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보 보호에 관하여는 『개인정보보호법』, 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 등 관련 법률에서 정하는 바에 따른다.”고 규정되어 있어 공공기관, 비영리단체 등은 개인정보보호법이 적용되고, 일반 기업들이 제공하는 클라우드 서비스의 경우 정보통신망법이 적용된다.

국내 클라우드 사업자의 입장에서 가중 중요한 사항 중 하나는 이에 따라 공공부문에 클라우드 서비스를 제공하고자 하는 기업들은 한국인터넷 진흥원이 과학기술정보통신부의 위탁을 받아 수행하는 클라우드 보안 인증을 받으면, 공공기관에 클라우드 서비스를 제공할 수 있는 근거가 마련되었다는 것이다.

클라우드 보안 인증 기준의 “2.4.1 보호구역 지정”에 따르면, 물리적·환경적 위험으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역·제한구역·접근구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립·이행해야 하고, “2.10.3 공개서버 보안”을 위하여 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집·저장·공개 절차 등 강화된 보호 대책을 수립·이행하여야 한다. 즉, 공공기관에 클라우드 서비스를 제공하기 위해서는 공공기관을 위한 별도의 물리적 구역과 망 분리를 제공해야 한다는 것이다.

클라우드 서비스 기업의 입장에서는 제한된 공공 클라우드 시장에 진입하기 위해서 현재로서는 수요가 낮은 별도의 물리적 구역과 망 분리를 제공하기 위해서 추가 비용을 부담해야 한다는 의미였고, 국내 클라우드 시장에서 강세를 보이고 있는 해외 사업자의 입장에서는 별로 매력적인 투자가 아니었다. 이에 따라 2019년 8월까지 클라우드 보안 인증을 받은 서비스형 인프라(IaaS) 부문 기업은 KT, 네이버 비즈니스 플랫폼(NBP), NHN엔터테인먼트, 가비아, LG CNS, 코스콤 등 6곳이며, 서비스형 소프트웨어(SaaS) 분야에선 NBP의 웹시큐리티체커 및 시스템시큐리티체커 등 보안관련 2개 서비스만이 인증을 받았다.

특히 2018년 폐지된 『정보자원 중요도에 따른 클라우드 우선 적용 원칙』에 따르면, 중앙행정기관과 지자체는 민간 클라우드 도입을 검토할 수 있는 수준이었고, 공공기관만 정보자원 중요도가 “하”인 경우에 민간 클라우드를 우선적으로 적용하도록 되어 있어, 공공클라우드 시장의 규모가 제한되는 결과를 야기했다.

클라우드

 

2019년 전망

2019년 국내 클라우드 서비스 산업은 단기적인 호재와 중장기적인 악재가 혼재하는 모습이다.

위에서 언급한 바와 같이 『정보자원 중요도에 따른 클라우드 우선 적용 원칙』이 폐지됨에 따라 중앙행정기관과 지자체를 포함한 공공 영역의 민간 클라우드 적용이 활성화되어 시장 확대를 예상할 수 있고, 그에 따라 국내 공공 클라우드 시장이 확대될 것이라 기대할 수 있다.

또한, 2019년 1월 개정된 전자금융감독규정에 따르면, 금융 분야 클라우드에서 개인 신용정보와 고유 식별정보 등 기존에는 금융사 자체 데이터센터에서만 처리할 수 있었던 중요 신용 정보를 민간 클라우드 서비스에서 처리할 수 있도록 변경됨에 따라, 관련 인증을 취득하고자 하는 국내 클라우드 서비스 사업자의 움직임이 활발해졌다. 공공 클라우드 부분에서의 경험을 살려 별도의 전용 인프라를 제공하고, 고객 맞춤형 서비스를 제공함으로써 시장을 선점하려는 국내 클라우드 서비스 업체 입장에서는 또 하나의 호재를 만난 셈이다.금융 클라우드

다만, 동일한 개정에서 기존 공공 분야에서 요구했던 과학기술정보통신부 주관 클라우드 보안 인증(CSAP) 외에도 이에 준하는 해외 인증을 획득하면 클라우드 서비스의 안정성을 평가하는 항목 중 109개의 기본 보호조치 평가를 생략할 수 있도록 하고, 금융 분야 특화 기준인 32개 추가 보호조치에 대해서는 별도의 안정성 평가를 받도록 함에 따라, 공공 클라우드 시장보다 훨씬 매력적인 금융 클라우드 시장에 진입하고자 하는 해외 클라우드 기업들의 움직임이 확인되고 있다. 즉, 금융 클라우드 시장은 국내 클라우드 서비스 기업들만의 블루오션으로 남기는 어려울 것으로 판단된다.

이와는 별도로 해외 인증을 인정하는 추세가 공공 클라우드 분야로 확대되거나, 해외 클라우드 기업들도 금융 클라우드 시장 진입을 위해서 별도의 전용 인프라를 확보하여 공공 클라우드 시장에서 경쟁이 가능하게 된다면, 중장기적으로는 국내 클라우드 서비스 기업들이 보다 경쟁이 심화된 시장 환경을 맞이하게 될 것이다.

[divide style=”2″]

[box type=”note”]

본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.

[/box]

관련 글