미국의 클라우드 전략:
‘클라우드 퍼스트’에서 ‘클라우드 스마트’로
미 연방 정부는 2019년 6월 24일에 연방 CIO인 수젯 켄트가 작성한 ‘연방 클라우드컴퓨팅 전략’ 보고서를 작성했다. 이 보고서에는 전반적인 클라우드 컴퓨팅에 대한 현황, 2장에서 보안을 위한 ‘신뢰할 수 있는 인터넷 연결, 지속적인 데이터 보호와 인지, 그리고 FedRAMP’의 역할을 정리하였고, 3장에서는 조달 과정을 설명하며, 4장에서 인력에 대한 전략 방향을 제시했다.
‘클라우드 스마트’란 무엇인가
가장 중요한 점은 그동안 클라우드컴퓨팅의 전략 중심을 ‘클라우드 퍼스트’에서 새로운 전략인 ‘클라우드 스마트’로 전환하는 것이며 이를 통해 각 기관의 클라우드 기반 솔루션 채택을 좀 더 가속화하겠다고 선언했다. 클라우드 퍼스트 정책은 2010년 오바마 행정부에서 추진한 것인데, 7년 뒤엔 2017년에 연방 IT 현대화에 대한 대통령 보고서를 통해 예산 관리국(OMB)이 오래전에는 클라우드가 새로운 개념이었지만, 이제는 연방 정부도 충분히 학습했고, 산업의 역량도 발전했기 때문에 새로운 정책을 수립해야 한다고 선언했었다.
클라우드 스마트 전략은 정부 미션을 위해 실용적인 구현 가이드를 제공해 클라우드 기반 기술이 제시하는 가능성과 잠재성을 충분히 실현하면서 사려 깊은 행동을 보장하고, 실용적 현실을 반영하고자 한다는 의지이다. 이 전략에서는 보안, 조달, 인력 세 가지의 핵심 기둥을 성공적인 클라우드 채택의 기반으로 간주했다.
추가적으로 모든 연방 기관은 연방 클라우드 채택을 드라이브하는 애플리케이션 포트폴리오를 개선하도록 했고, 이 과정에는 애플리케이션 포트폴리오를 축소하는 것도 포함한다. 즉, 애플리케이션의 요구와 사용을 평가하고, 오래되고 중복적인 또는 지나치게 자원을 많이 필요로 하는 것을 제거하는 것을 말한다.
이런 합리화 노력을 지원하기 위해 CIO 위원회는 베스트 사례와 다른 자원을 개발할 것이며, 향후 18개월 동안 초기 클라우드 스마트 작업 계획이 진행될 것이지만, 액션은 지속적으로 변화하는 클라우드 시장과 떠오르는 새로운 기술에 대응하면서 변화할 것이라고 말했다.
일단 메모에서는 산업계 파트너, 정부 기관 간의 워킹 그룹, 개별 기관이 클라우드 솔루션 채택을 위해 광범위한 행동을 추천해 연방 정부 전체의 가이드로 사용했지만 아직도 기관의 구현과 최상의 사례에 대한 정보 공유가 부족하다고 지적한다.
기본적으로 클라우드에 대한 정의는 국립 표준 기술 연구소(NIST)가 정의한 것을 따르지만, 실제로 많은 벤더에서 제공하는 것이 그렇게 잘 정의된 경계를 반드시 따르는 것이 아니기 때문에 다음에 다섯 가지 필수적인 특성을 갖는 솔루션을 의미한다고 한다.
- 온 디맨드 서비스
- 브로드 네트워크 접속
- 자원 통합
- 빠른 탄력성
- 측정할 수 있는 서비스
또한, 상용 마켓플레이스에서 판매하는 여러 유형의 클라우드서비스에 대한 기본 정보를 얻기 위해서도 여러 정보 소스를 검색해야 하며, 기존의 정부 차원의 계약을 통해 가능한 서로 다른 제공 사항이나 주어진 요구 조건에 가장 적합한 접근 방안을 평가하는 최상의 방식이 무엇인지 알기 위해서도 서로 다른 검색을 해야 한다는 점을 지적하고 있다.
클라우드 스마트의 다양한 원칙을 정하면서 정부 기관에서는 보안과 프라이버시 고려를 구매 노력의 최전방에 놓으며, 특정 벤더에 의존되는 것을 피하고, 어떤 새로운 솔루션에 대한 비즈니스 프로세스 의존성을 평가해야 한다고 제시했다. 또한, 비즈니스 지속성과 장애 회복 계획 등에 대해서도 업데이트를 받아야 함을 지적한다.
보안의 영역에서는 데이터 차원의 보호와 함께 현대적 가상화 기술에 대한 완전한 이점 활용을 강조하고 있다. 중요한 정책 방향은 신뢰할 수 있는 인터넷 연결, 지속적인 데이터 보호와 인지, 그리고 리스크와 권한 부여 관리 프로그램(‘페드램프’; FedRAMP)이다. 페드램프(FedRAMP)는 클라우드서비스에 대한 보안 평가, 권한 승인, 지속적인 모니터링을 위한 표준화된 정부 전반의 접근을 제공한다.
또한, 조달 구매 과정에서 갖추어야 하는 비용에 효과적이고 안전한 조달 과정을 보장할 수 있는 공통의 실천 가이드를 제시하고 있다. 실천 가이드의 주요 주제는 카테고리 관리, 서비스 수준 협약서, 계약에 대한 보안 요구 사항을 적시하고 있다.
카테고리 관리
정부가 중복 구매 감소, 입찰과 제안서 계약 행정에 들어가는 비용 절감을 위해 산업계와의 비즈니스 프로세스를 단순화하기 위해서도 필요하다. 또한 연방 정부 마켓플레이스에서 이미 증명된 클라우드 수단 채택을 증가시키고, 새롭게 나타나는 요구 사항을 반영하기 위한 새로운 수단을 개발하는 데에도 필요하다.
이를 위해 예산관리국(OMB)에서는 카테고리 관리 원칙과 공통의 계약 솔루션을 위한 가이드를 발행했다. 이를 통해 기업이 정부와 사업을 하는 과정에서 중복된 계약을 없애고, 제안, 입찰, 계약 관리에 들어가는 비용을 절감하도록 했다.
서비스수준협약서(SLA)
클라우드 스마트에서는 SLA 사용 개선을 통해 클라우드 구매와 사용을 좀 더 스마트하게 하기 위한 2트랙 접근을 제안한다. 첫째, 연방 취득 규정(FRA)에서 상용 아이템에 적용하는 표준 조항을 포함시키는 것이 중요하다. 여기에는 상용 아이템의 취득에 적용할 수 있는 법률 제공을 구현하기 위한 조항이 필요하며, 그 조항은 일반적으로 관례적인 상업 관행과 일치해야 한다. 이러한 생각을 기반으로 클라우드 기반 사용 제품에 특정화된 항목과 계약 조건을 정부 차원의 리뷰와 선정 과정에서 SLA의 효과적인 사용을 지원하는지 지속적으로 추적해야 한다.
두 번째는 계약자가 운영하는 시스템에 대해서도 기관의 수장이 책임을 가져야 한다. 상용 클라우드서비스 제공자와의 관계를 통해 효과적인 위기관리를 촉진하려면, 기관은 세부적인 역할과 책임을 명시하고, 성능 기준을 명확하게 수립하며, 원칙에 맞지 않을 경우 이를 치유하기 위한 계획을 구현해야 한다. 즉, 거버넌스, 구조, 운영의 명료성을 보장해야 하며 이를 SLA에 정확히 반영해야 한다.
계약에 대한 보안 요구 사항
정부 기관은 클라우드 조달과 채택 결정에서 정보와 미션 서비스 보안과 프라이버시 리스크 관리를 고려하는 것은 매우 핵심적인 사항이다. 이를 위해 연방 CIO는 고급 가치 자산(High Value Asset)에 대한 메모를 업데이트했으며, 하이브리드 환경에서 리스크 관리를 위한 고려 사항은 추가했다.
정부 기관들은 계약이 기관의 HVA에 미치는 영향을 클라우드에서 관리되거나 운영되는 것을 포함해 이러한 자산이 지속적으로 가시성을 갖도록 하는 요구 사항을 보장해야 한다. 여기에는 보안과 프라이버시 디자인 원칙, 안전한 코딩 기술, 신뢰할 수 있는 컴퓨팅 방식을 제대로 통합하는 것을 목표로 추진해야 한다.
[divide style=”2″]
캐나다 정부의 클라우드 컴퓨팅 도입 전략
캐나다 연방 정부 GC(Government of Canada)의 클라우드 정책은 2011년 데이터 센터, 네트워크, 이메일을 Shared Services Canada(SSC)로 통합하였고, 2012년 캐나다 정부 전체의 IT 노화 상태에 대한 보고서를 발행하면서 시작되었다고 볼 수 있다. 이어서, 2013년에 발행한 ‘Blueprint 2020’에서 정부 서비스를 월드 클래스 공공 서비스가 되어야 함을 강조했으며, 민첩성, 협력, 기술에 대한 스마트 사용을 중심 주제로 삼았다.
2014년 여름에 캐나다 정부는 GC 클라우드 채택 전략에 대해 IT 산업계의 의견을 받았고, 이때 60개 이상의 조직이 참여했다. 이 결과는 2015년 10월 17일에 ‘산업계 참여 이벤트 공지: 클라우드컴퓨팅 솔루션 자문’이라는 보고서로 발행했다.
이후 클라우드 채택과 정책 개발에 대해 많은 과제가 수행되었고, 각 부처의 서로 다른 부문별로 클라우드 채택에 대해 이루어졌다. 2017년 11월에 캐나다 정부는 ‘상업용 클라우드서비스의 안전한 사용에 대한 방향: 보안 정책 구현 공지’와 ‘전자 데이터 소재(residency)를 위한 방향’ 보고서가 나왔으며, ‘Protected B 데이터가 퍼블릭 클라우드에 저장될 수 있도록 허용했다.
2016년부터 SSC(Shared Services Canada)가 기밀이 아닌 데이터 저장을 위한 클라우드서비스 공급자를 경쟁 구매 프로세스로 시작했다. 이에 따라, 2018년 봄에 26개의 계약이 이루어졌으며, 여기에는 8개의 퍼블릭 클라우드서비스 제공 업체가 포함되어 있다.
2018년 2월 7일 GC Cloud First Day에서 GC(Government of Canada)는 안전한(PROTECTED) 클라우드서비스를 위한 조달 프로세스를 론칭하겠다고 선언했다. 전략 프로세스 구현은 지속적으로 진화했으며, 초기 버전의 ‘올바른 클라우드 전략’은 ‘클라우드 퍼스트’ 전략으로 진화되었고, 이제 IT 딜리버리를 위해서는 클라우드가 우선되며 퍼블릭 클라우드가 클라우드 채택에 선호하는 모델이 되었다.
GC 엔터프라이즈 아키텍처 리뷰 위원회는 클라우드에 관한 결정에 핵심 역할을 하며, PSPC(Public Services and Procurement Canada)와 SSC는 클라우드서비스를 구매하는데 협력해야 한다.
캐나다 정부의 클라우드 조달을 위한 주요 과정
캐나다 정부 클라우드서비스 수단으로 SSC의 조달 과정의 첫 번째 단계로 ‘The Invitation to Quality(ITQ)’가 제시되었다. 이 ITQ에는 공급자가 ITQ의 계약 조건 사항에 부응하는 사전 자격 검사를 받도록 초대되며, 이를 통해 다음 단계에 적격한 응답자(Qualified Respondents)가 된다. 현재 26개 적격 응답자가 선정되어 있으며, 적격한 응답자만이 전체 구매 과정에서 이루어지는 후속 요청에 관한 입찰에 참여할 수 있다.
캐나다 정부의 공고(tender) 안내와 부여, 요청에 관련된 문서와 부록 문건은 공고를 위한 ‘공식 웹페이지’에서 무료로 제공되며 어떤 등록도 필요하지 않다. 공고 안내와 부여 또는 요청에 대한 자료는 제3의 디스트리뷰터를 통해서 얻을 수 있으며, 캐나다 정부는 공식 웹페이지에 직접 접근해서 얻지 않은 어떤 문서와 부록에 대해서는 책임지지 않는다.
캐나다 정부의 공고 안내와 낙찰 결과는 그 사용이 ‘열린 정부 라이선스-캐나다'(‘Open Government License-Canada’)에 있는 라이선스를 적용한다. 이 라이센스는 누구나 복제, 수정, 출간, 번역, 채택, 배포 등을 할 수 있지만, 정보 소스를 밝혀야 하고, 여기에는 ‘열린 정부 라이선스-캐나다’에 의해 허가된 정보를 포함하고 있다는 것을 밝혀야 한다. 또한, 허가되지 않는 사항은 개인정보, 정보 제공자가 허가하지 않은 제3자의 권리, 정보 제공자의 이름, 문장, 로고, 공식 기호를 사용할 수 없으며, 특허, 상표나 공식 마크를 포함한 지적 재산권에 대한 정보는 사용할 수 없다.
2020년 2월 13일에 발행한 RFP 2020-TF-004 ‘서비스로서의 컨택트 센터(Contact Centre as a Service)’ RFP를 보면 이번 공고에 관심을 갖는 공급자 리스트, 페이지 뷰나 유니크 페이지 뷰 등이 공개적으로 나타나며, 연방 기관인 팜 크레딧 캐나다(FCC)에 대한 소개, RFP 범위 등에 대한 개요가 나온다. 여기에서 왜 컨택트 센터를 SaaS 모델로 선택했는지(CCaaS), 클라우드 기반 고객 경험 솔루션임을 명시하고 있다. 기업들의 문의는 1주일 기간인 2월 21일까지 허용되며, RFP 마감은 3월 9일로 명시된다. 이 공고는 RFP를 받고자 하는 기업은 procurement@fcc-fac.ca를 통해서 받도록 되어 있다.
모든 공고에는 연방 정부의 상품과 서비스 확인 번호인(GSIN)이 붙어서 이에 따라 관련 입찰 공고를 묶어서 볼 수 있는데, GSIN은 2020년 내에 유엔의 표준 제품과 서비스 코드인 UNSPSC로 바뀔 예정이다.
[divide style=”2″]
[box type=”note”]
본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.
[/box]