'제다이' 프로젝트, MS 단일 벤더 계약은 과연 타당한가

‘제다이’(JEDI; Joint Enterprise Defense Infrastructure)는 미국 국방성이 추진하고 있는 클라우드 프로젝트로, 2019년 10월 시장 1위인 아마존을 제치고 마이크로소프트가 계약을 따냄으로써 세간의 이목을 집중시킨 바 있다. 시장의 절대적 1위로서의 프리미엄, 그리고 이미 이전에 CIA에 클라우드 서비스를 제공하고 있던 아마존 AWS가 ‘제다이’ 최종 승자가 될 것이라는 시장의 전망을 완전히 뒤집은 결정이었기에 이 배경에 대한 다양한 음모론 수준의 뒷얘기가 돌기도 했다.

워싱턴포스트의 주인이기도 한 제프 베조스와 트럼프 대통령과의 불편한 관계로 인해 이러한 음모론이 힘을 받기도 했다. 결국 10년간 100억 달러, 그리고 단일 벤더와의 계약으로 화제를 몰고 다니던 ‘제다이’는 마이크로소프트로의 품으로 가게 되었다. 나는 앞서 이 과정에 관해 정리한 바 있다.

MS는 어떻게 ‘제다이’를 품에 안았나: 100억 달러 전쟁의 내막 (윤대균, 2019. 11. 18.)

단일 벤더, 100억 달러, 10년 독점 ‘제다이 프로젝트’는 2019년 MS의 품으로 돌아갔지만, 아직 — 단일 벤더, 100억 달러, 10년 독점 ‘제다이 프로젝트’는 2019년 MS의 품으로 돌아갔는 듯 했지만, 아직 ‘제다이’의 행방이 완전히 결정됐다고 보기는 어려운 상황이다.

‘아직’ 결정되지 않은 제다이

마이크로소프트가 단일 계약 당사자로 2019년에 이미 결정되었지만, 아직도 ‘제다이’의 행방에 대해서는 아무도 확실하게 단언하기 어려운 상황이다. 마이크로소프트가 선정 된지 한 달 후에 아마존은 바로 소송을 제기했다. 자세한 소송 내용에 관해서는 알려지지 않았지만, 아마존을 탈락시키기 위해 트럼프 대통령의 입김이 작용한 것에 대한 부당함을 주장했으리라는 것이 일반적인 견해다.

이후 담당 판사는 우선 국방부와 마이크로소프트의 계약을 보류시켰고, 지난 2020년 4월에는 최종 판결을 유보해 달라는 재판부에 대한 국방부의 요청이 받아들여지기도 했다. 이 기간에 ‘제다이’ 계약과 관련해 제기된 이슈들을 검토하며 소송에 필요한 시간을 벌겠다는 뜻으로 이해된다. 그 가운데 미 국방부가 ‘제다이’ 클라우드 조달과 관련된 감사보고서를 내놓았다. 이 보고서에는 계약과 관련된 일련의 히스토리와 의혹에 관한 조사 결과가 담겨 있다.

낙찰자 선정 프로세스
오라클과 IBM이 제기한 전직 국방부 관리와 아마존 AWS 연루설
백악관의 영향력 행사설 등

미 국방부가 발표한 제다이 감사보고서 https://media.defense.gov/2020/Apr/21/2002285087/-1/-1/1/REPORT%20ON%20THE%20JOINT%20ENTERPRISE%20DEFENSE%20INFRASTRUCTURE%20(JEDI)%20CLOUD%20PROCUREMENT%20DODIG-2020-079.PDF — 미 국방부가 발표한 제다이 감사보고서

이 보고서가 나온 배경은 계약 대상 선정이 완료된 후 전반적인 절차에 대한 의례적인 감사의 일환이라기보다는 낙찰자 선정 전 제기되었던 전직 국방부 관리들의 아마존과 관련된 부적절한 행위, 오라클 및 IBM이 제기한 ‘제다이’ 추진 과정의 불공정 이슈 등에 대한 조사의 필요성 때문이라고 보는 것이 타당하다.

아마존이 제기한 소송이 진행 중인 가운데 본 리포트가 공개된 것은 마이크로소프트를 선정한 것에 대한 번복 없이 가능한 한 빨리 ‘제다이’ 클라우드 계약을 완료하겠다는 국방부의 의지가 반영된 것으로 보는 시각도 있다. 이 감사보고서를 중심으로 ‘제다이’ 현황과 전망에 대해 좀 더 들여다보고자 한다.

트럼프의 입김? vs. 아마존과 국방부의 스캔들?

‘제다이’ 계약 규모가 워낙 크고, 그리고 이런 큰 규모의 계약이 단일 벤더와 이루어진다는 측면에서 최종 낙찰자 선정 과정에서 합리성 및 공정성을 담보할 객관적인 결과보고서는 당연히 필요할 것으로 보인다. 특히 ‘제다이’ 추진 초기부터 깊이 관여한 것으로 알려진 아마존의 탈락 배경에 트럼프 대통령의 입김이 있었다는 세간의 의혹으로부터 방어하기 위한 목적도 분명 있을 것으로 필자는 판단한다.

당연히 아마존이 수주할 것으로 여겨지던 시점에 트럼프 대통령이 ‘제다이’ 진행 과정에 대한 조사 필요성을 언급했고, 마침 새로 부임한 에스퍼 국방장관의 ‘제다이’에 대한 전면 재조사로 이어지는 일련의 과정은 이런 의혹이 확대되기에 충분했다.

[dropcap font=”arial” fontsize=”33″]그러나[/dropcap] 거슬러 올라가면 전직 국방부 직원의 아마존 AWS 취업을 포함한 아마존과 국방부의 밀접한 관계가 원인이었을 수도 있다. 아마존의 잠재적 ‘제다이’ 경쟁사였던 오라클에서 정리한 아마존 스캔들 보고서가 직접 트럼프에게 전달되었다고도 한다.

트럼프의 개입? 아마존과 국방부의 부적절한 관계? (출처: 제프 베조스 2016년 당시 모습, 국방부, CC BY) — **트럼프의 부당한 개입? 아마존과 국방부의 부적절한 관계?** (출처: 제프 베조스 2016년 당시 모습, 국방부, CC BY)

오라클과 IBM이 연이어 ‘제다이’의 아마존 연루설을 제기하자 2018년 10월 공화당 하원의원인 스티브 워맥(Steve Womack)과 탐 콜(Tom Cole)이 국방부 감사관에게 이에 대한 조사를 요청하였으며 이 또한 본 보고서가 다루게 되는 주요 안건이기도 하다.

흥미로운 것은, 이런 아마존과의 연루설과 연관된 전직 국방부 관리들을 본 감사보고서에 모두 적시하고 있다는 점이다. 여기엔 제임스 매티스 전 국방장관도 포함되어 있다. 정확하게는 아마존과의 연루라기보다는 ‘제다이’ 진행 과정에서 의사결정에 참여한 주요 전직 관리들이라고 봐야 할 것이다.

보고서의 구성과 주요 쟁점

이 보고서는 크게 네 파트로 구성되어 있다.

첫 번째 파트는 개요 및 요약 부분이며, 두 번째 파트에서는 ‘제다이’ 클라우드 조달 전반에 관한 내용을 설명하고 있다. 세 번째 파트에서는 JEID 조달 내용에 대한 감사관의 검토 내용을 포함한다. 마지막 네 번째 파트에서는 ‘제다이’와 직접 연관된 전직 국방부 관리들의 도덕적 행위(ethical conduct)에 대한 조사 내용이 들어가 있다. 구체적으로 적시된 7명에 대한 조사 결과를 상당한 분량을 할애하며 언급한 것이다. 본 감사보고서는 제기되었던 핵심 쟁점들을 중점적으로 검토한 내용을 주로 다루고 있다.

주요 쟁점들은 다음과 같다.

단일 벤더와의 ID/IQ 계약 ← 이 글은 여기에 집중
‘제다이’ 클라우드 요구사항 ← 이 글은 특히 여기에 집중
낙찰자 선정과정 프로세스
낙찰자 확정 후 선정과 관련된 기밀(Proprietary) 정보 공개
‘제다이’ 클라우드 조달에 대한 백악관의 입김

이러한 쟁점들은 ‘제다이’ 계약과 관련하여 제기된 많은 논란의 내용을 포함하고 있지만, 한편 정부에서 추진하는 대규모 프로젝트에서 짚고 넘어가야 할 이슈들을 다루고 있다는 점에서 충분히 검토할 만한 가치가 있다. 본고에서는 ‘제다이’ 클라우드 요구사항과 관련된 이슈들을 중점적으로 다루어 보고자 한다. 위 언급한 다섯 가지 쟁점 중 앞의 두 부분에 대한 내용이다. 나머지 쟁점은 주로 프로세스와 컴플라이언스에 관련된 이슈들인데 기회가 되면 추후 다루어 볼 계획이다.

'제다이'는 100억 '달러'짜리 프로젝트다. — ‘제다이’는 **단일 벤더, 10년 독점, 100억 ‘달러’짜리** 프로젝트다.

‘단일 벤더’ 계약은 타당했는가

ID/IQ[footnote]ID/IQ: Indefinite Delivery/Indefinite Quantity[/footnote] 계약은 정해진 기간 내에 서비스, 자재, 기타 자원 공급 규모에 대한 제한을 두지 않는 계약을 의미한다. 이는 미국 연방정부의 조달 계약 방식 중 하나로, 주로 필요한 자원 혹은 서비스 규모의 정확한 산정이 계약 시점에선 어렵다고 판단될 때 택하는 계약 방식이다. 일반적으로 최소·최대 공급 규모를 계약 시 명시하며 대체로 5년을 넘기지 않는다고 한다. ‘제다이’의 경우엔 10년 동안 100억 달러에 달하는 규모로 정해진 것이다.

여기서, 과연 ‘단일 벤더’와의 계약이 적절한 것인가 쟁점이다.

국방부에서는 ‘제다이’ 추진을 위한 육·해·공·해병의 요구 사항 청취 및 다양한 시장 조사를 하는 한편 주요 클라우드 벤더들과의 회의를 통해 ‘제다이’에서 필요한 사항들을 수집하였다고 한다. 국방부에서 ‘제다이’를 준비하며 가장 중요하게 참고한 선행 프로젝트는 CIA의 C2S(commercial cloud services)이다. 이는 상용 클라우드 서비스를 CIA에서 본격 활용한 첫 케이스로 아마존 AWS가 단일 벤더로 참여하였다. CIA에서는 단일 벤더가 제공하는 C2S를 통해 클라우드 활용성에 대한 이해 및 향후 발전전략을 수립하는데 매우 긍정적인 효과가 있었음을 강조하며, 이를 기반으로 다음 프로젝트를 준비하고 있다고 언급했다.

CIA에서 추진하는 상용 클라우드 프로젝트 C2E(Commercial Cloud Enterprise)에서는 단일 벤더가 아닌 다수 벤더와의 계약으로 이루어질 것이라고 알려져 있다. 국방부의 관계자도 이런 CIA 선례를 따라, 아직 클라우드 도입 준비가 제대로 되어 있지 않은 상황에서 ‘제다이’는 단일 벤더와 추진하고, 이후 확장 시 다수 벤더와의 계약으로 진행하는 것이 바람직하다는 의견을 피력했다.

‘제다이’ 발주 전 실시한 비즈니스 케이스 분석에서는 국방부의 미션과 향후 비즈니스 수요를 감당할 수 없는 현재의 컴퓨팅 및 스토리지 인프라를 핵심 문제로 지적하고 있다. 국방부에서는 이 문제를 해결하기 위해 국방부 CCPO(Cloud Computing Program Office)는 다음과 같은 다섯 가지의 옵션을 놓고 검토했다.

현재 상태를 유지
국방부 데이터센터와 클라우드를 주로 활용
국방부 데이터센터와 ‘제다이’ 클라우드의 혼용(hybrid)
단일 벤더 계약을 통한 ‘제다이’ 클라우드를 주로 활용
다수 벤더 계약을 통한 ‘제다이’ 클라우드를 주로 활용

CCPO는 위 옵션들 각각이 다음 여덟 가지 목표를 달성할 수 있느냐 여부를 놓고 평가를 했다고 한다.

탄력적이고 높은 가용성의 서비스
글로벌 접근 가능성
중앙에서의 관리 및 분산된 세부 제어
쉬운 사용성
상용 수준의 서비스
확장 가능한 컴퓨팅, 스토리지, 그리고 네트워크 인프라스트럭처
강력한 보안
고도의 데이터 분석

분석 결과는 네 번째 옵션인 단일 벤더 계약을 통한 ‘제다이’ 클라우드 활용이 위에 열거한 여덟 가지 목표 중 일곱 가지를 충족시킬 수 있어서 가장 적합하다는 것이다. 이 경우 80%의 국방부 애플리케이션이 ‘제다이’ 클라우드로 옮겨갈 수 있고, 10%는 상용 클라우드에서 실행 가능하며, 10%만 데이터센터에서 실행될 수 있다고 덧붙였다.

이와 같은 사업적/기술적 측면뿐만 아니라 연방정부에서 제시하는 단일 계약이 필요한 조건, 그리고 그 반대로 큰 규모(1.12억 달러 초과)의 ID/IQ 계약 시 수반되는 다수계약의 예외 상황 등을 종합적으로 고려하여 단일 계약이 타당하다는 결정에 도달했다는 태도다.

오라클은 이런 결정 과정에서의 판단이 일반적인 연방정부의 계약행태에 부합하지 않고, 또 특정 벤더(AWS)에 유리한 결정이라고 제소를 하였으나 기각되었고, 감사관 역시 단일 계약으로 진행한 것에 대해서 목적과 취지가 합당하고, 조달 및 계약 표준에 어긋나지 않는다고 결론을 지었다.

‘제다이’ 클라우드 요구사항

이 감사보고서를 검토하면서 가장 실무적으로 도움이 될 수 있는 인사이트를 제시하는 부분이 바로 ‘제다이’ 클라우드 요구사항 부분이다. 중요한 고려 사항들이 9가지 요소들로 구분되어 적시되어 있으며, 중요한 기준들에 대해서는 상당히 구체적으로 요건이 정의되어 있기도 하다. 국방부의 CCPO(Cloud Computing Office)에서 제시한 RFP에 들어갈 요구사항은 다음과 같은 9가지 팩터(factor)들로 구성된다.

팩터 1: 최소 기본 통과 기준 – ‘제다이’ 클라우드 제안사로서 반드시 제공해야 기본 요건들을 제시
팩터 2: 논리적 분리 및 안전한 데이터 전송
팩터 3: 전술적 엣지 활용(Tactical Edge) – 전투기 등 전투 현장에서 필요한 컴퓨팅 파워 수요를 맞추기 위한 엣지(컴퓨팅) 활용 방안
팩터 4: 정보 보안 및 접근 제어 방안
팩터 5: 애플리케이션과 데이터 수용 및 이동성 – 속한 가상 머신 제공 및 데이터와 오브젝트 스토리지를 쉽고 빠르게 이동할 방안
팩터 6: 운영 안정성 – 신속한 이슈 대응, 리스크 및 품질 관리, 자산 및 운영 감시 체제 등 운영 전반에 대한 방안
팩터 7: 중소기업과의 시너지 – 중소기업의 비즈니스 목표 달성을 위한 지원 방안
팩터 8: 팩터 2에서 팩터 6까지 5항목에 대해 실행 데모로 보여 줄 수 있어야 함
팩터 9: 가격 제안

이 요구 사항들을 살펴보면 일단 보안에 대한 부분이 매우 강조됨을 알 수 있다. 이는 일반 기업에서도 클라우드 도입 시 가장 고민하는 부분이라 당연히 ‘제다이’에서의 주요 요구사항이라 할 수 있다. 또한, 클라우드 도입이 한 번으로 끝나는 것이 아니라 지속해서 규모와 기능이 확장될 것을 고려한 점도 엿볼 수 있다. 팩터 3 “전술적 엣지 활용”이나 팩터 5의 “데이터 이동성” 등에서도 클라우드 도입의 당위성이 강조되어야 함을 암시한다.

팩터 1: 최소 통과 기준 관련 이슈

팩터 1 최소 통과 기준에서는 좀 더 구체적으로 클라우드컴퓨팅이 지향해야 할 바를 적시하고 있다. 팩터 1은 제시한 요건 중 하나라도 요건을 충족시키지 못하면 제안 요건조차 갖추지 못하게 되므로 매우 임팩트가 크다고 할 수 있다. 이 중 논란이 된 부분들은 다음과 같다.

팩터 1.1: 탄력적(elastic) 활용성

클라우드 활용의 기본적인 목적인 용이한 확장성을 담보해야 함을 의미한다. 여기서 특기할 만한 것은 ‘제다이’에서 필요로 하는 클라우드 규모가 제안사에서 상업용으로 제공하는 전체 클라우드 규모의 50퍼센트가 넘어서는 안 된다고 구체적으로 명시한 것이다. IaaS(Infra as a Service) 관점에서의 수용 가능 최대 규모를 기준으로 산정하는 것으로 판단된다. 총 100억 달러에 달하는 ‘제다이’ 클라우드 규모를 고려하면 벤더의 서비스 규모가 상당한 수준에 있어야 함을 의미한다. 오라클에서 제시한 “특정 벤더에 유리한 요구사항” 중 하나가 여기에 해당한다. 이 정도 규모의 클라우드 서비스를 제공할 수 있는 기업이 아마존 AWS밖에 없다는 주장이다. 감사보고서에서는 오라클의 이러한 주장에도 불구하고 팩터 1.1의 요구사항은 타당하다고 판단했다.

팩터 1.2: 고가용성 및 장애조치

‘제다이’에서 적시하고 있는 클라우드 서비스는 주로 IaaS와 PaaS(Platform as a Service)에 해당한다. RFP에서는 IaaS와 PaaS의 고가용성 및 장애조치에 대한 기본 요건을 구체적으로 제시하고 있다. 이에 의하면, 제안사는 범용 클라우드 서비스를 제공하는 데이터센터가 미국 내 최소 세 개를 보유하고 있어야 하며 각 데이터센터는 최소 150마일 이상 떨어져 있어야 한다.

또한, 각 데이터센터는 모두 IaaS와 PaaS를 제공해야 하며 연방정부의 보안 요구사항(FedRAMP)을 충족시켜야 한다. 오라클은 이 요구사항이 필요 이상으로 과하며 팩터 1.1과 마찬가지로 많은 제안사를 배제시킬 수밖에 없는 불공정한 요건이라고 이의를 제기하였다. 감사보고서에서는 팩터 1.2가 결코 무리한 요구사항이 아니라고 결론을 내렸다.

팩터 1.6: 상용 수준의 클라우드 서비스 마켓플레이스

컴퓨팅 자원이 필요할 때 별도의 직접 사람이 개입하여 서비스 받을 필요 없이 자동으로 필요한 만큼 자원을 할당받고 이에 합당한 비용 청구·지불 체계를 갖추고 있어야 함을 의미한다. 이는 사용자 경험 측면에서 상용 퍼블릭 클라우드를 사용할 때와 같은 방식으로 ‘제다이’ 클라우드를 활용할 수 있는 수준을 요구하는 것이다.

또한, 제 3자가 개발한 클라우드 기반 애플리케이션 혹은 플랫폼 서비스가 유통될 수 있는 마켓플레이스가 필수적으로 수반되어야 한다는 것이다. 오라클에서는 팩터 1.6도 ‘제다이’에서는 불필요한 요건이며 대부분 클라우드 서비스 벤더들이 일반적으로 제공하고 있지 않다는 이유로 요구사항에 대한 이의를 제기했으나, 최종 제안서에는 제안사 모두 해당 요건을 포함한 것으로 알려졌다. 감사보고서에서 역시 문제없다는 판단을 내렸다.

감사보고서에서 각 요구 사항의 타당성 검증을 위해 자주 인용한 문건으로 NIST(National Institute of Standards and Technology)에서 출간한 “Evaluation of Cloud Computing Services Based on NIST SP 800-145”을 눈여겨볼 필요가 있다. 이 문서는 NIST에서 정의한 클라우드컴퓨팅 및 서비스 카테고리 기준에 따라 조사 대상의 클라우드컴퓨팅 서비스가 부합하는지 명확하게 평가하기 위한 용도로 활용된다. 위 팩터 1.1과 팩터 1.6 요구사항의 타당성을 평가할 때에도 본 NIST 문건을 참고했다고 감사보고서에서 언급하고 있다.

팩터 1.1과 팩터 1.6 요구사항의 타당성을 평가할 때 참고한 NIST의 문건 (출처: NIST) https://www.nist.gov/publications/evaluation-cloud-computing-services-based-nist-sp-800-145 — 팩터 1.1과 팩터 1.6 요구사항의 타당성을 평가할 때 참고한 NIST의 문건 (출처: NIST)

보안 관련 이슈

보안 인증 요구사항에 대한 이슈도 논란이 되었다. 국방부의 클라우드 서비스 모두 일정 수준의 보안 레벨(IL-6: Impact Level 6)이 필요한데 RFP가 공개된 2018년 12월 시점에 이 보안 레벨을 획득한 벤더는 아마존 AWS밖에 없다는 것이 문제가 된 것이다. 그러나 이는 앞서 소개한 팩터 1 기본요건에 해당하지 않고, 계약된 후 6개월 이내 획득하면 되는 것이기 때문에 이 요건이 AWS에만 특혜를 부여하는 것은 아니라는 것이 당시 설명이었다. 실제로, 10월에 계약당사자로 선정된 마이크로소프트는 이후 12월에 IL-6를 획득한 바가 있다.

다양한 등급의 보안등급 권한은 DISA(Defense Information System Agency)가 SRG(Security Requirements Guide)에 따라 부여하고 있다. 앞서 이슈로 언급한 IL-6도 DISA가 부여하는 권한이다. 관련하여 또 다른 제안사인 IBM이 제시했던 이슈는 ‘제다이’에서 상당 수준의 보안(IL-5, IL-6) 권한을 요구하지만, 막상 상용 클라우드에서는 이런 보안 수준 애플리케이션을 수용할 수 없는 모순을 지니고 있다는 것이다. 다시 말해 IL-5, IL-6는 국방부나 연방정부 클라우드에서밖에 운용될 수 없다는 얘기다.

이는 현재 보안 정책과 ‘제다이’ 요구사항이 어떻게 해석하느냐에 따라 상호 호환되지 않는 부분을 적시한 것이다. 이에, 상용 클라우드를 활용하자는 ‘제다이’의 기본 철학을 지키면서도 현재의 보안 정책도 수용할 수 있는 방식의 대안이 제시되었고, 이 이슈는 더 문제시되지 않은 것으로 보인다. 여기에서 대안이란, 보안 수준 요건 준수를 위해 기존 상용 클라우드 서비스에 최소한의 수정을 적용할 경우, 이 역시 상용 서비스로 보는 데 문제가 없다는 것으로, 상용 서비스에 대한 확대 해석을 한 것이라고 볼 수 있다.

요구사항을 도출하는 과정에서는 수많은 의사결정 단계를 거치게 된다. ‘제다이’의 경우에도 매티스 전 국방장관이 가지고 있던 클라우드 비전부터 시작하여, 요구 사항 하나하나가 구체화하는 과정에서 의사결정에 참여한 주요 오피스, 정부 에이전시, 관료들이 있다. 본 감사보고서에서는 이런 이 과정에서의 투명성을 매우 중요시하고 있다.

또한, 클라우드 분야에서의 상당한 전문성이 요구된다. 아무리 기존에 완벽한 매뉴얼을 만들어 놓았다고 하더라도 이를 프로젝트 목표에 맞게 적용하는 데에는 해당 분야의 전문성이 절대적으로 필요하다. 우리나라의 경우 공공 클라우드 요구사항을 제대로 도출하기 위해 참조해야 할 매뉴얼이 제대로 갖추어져 있는지부터 살펴볼 필요가 있다.

제임스 매티스(James N. Mattis) 전 미 국방장관(제26대, 출처: Monica King, 2017년 미군 공식 사진, 퍼블릭 도메인)

‘제다이’의 미래 그리고 시사점

이 감사보고서가 나온 시점이 공교롭게도 아마존이 제기한 소송 판결을 연기해 달라고 국방부에서 재판부에 요청한 시점과 매우 근접해 있다. 8월까지는 어쨌든 재판 결과가 유보된 만큼 마이크로소프트가 최종적으로 ‘제다이’ 계약을 완료할 수 있을지는 단정적으로 말하기 어렵게 되었다.

이 감사보고서의 내용을 종합해 보면 ‘제다이’ 클라우드 조달 전반에서 마이크로소프트 선정을 뒤엎을만한 이슈나 쟁점은 없다는 것이다. 이 보고서에서 아마존을 배제하기 위한 백악관의 입김 부분을 파악하기 위해 실시한 에스퍼 국방장관을 포함한 수많은 관련 인사들과의 인터뷰를 소개하고 있지만, 낙찰 대상자를 선정하는 과정에서 영향을 끼친 증거는 찾을 수 없었다는 것으로 결론을 내렸다.

물론 몇 가지 권고 사항들을 제시하였는데, 이를테면 그 권고 사항들은 다음과 같다.

아마존이 소송을 제기한 후 마이크로소프트 기밀정보나 선정과정에 참여했던 팀의 개인정보 등이 부적절하게 공개된 것에 대한 시정이 필요하다는 점.
1.12억 달러를 초과하는 규모의 과제에 대해서는 좀 더 강화된 수준의 선정과정의 투명성, 법적 검토 등을 담은 문서를 작성해야 한다는 것 등.

국방부가 재판부에 판결을 약 4달간 유보해달라고 요청한 배경에는 감사 결과에서 문제가 되었던 부분들을 보완하는 것을 포함 최종 판결 전 전반적인 ‘제다이’ 클라우드 조달 과정에서의 정당성을 뒷받침할 만한 근거를 준비하려는 의도가 있는 것으로 보인다. 또한, 마이크로소프트를 단독 계약사로 선정한 것이 부적절하다는 법원 판결이 나올 경우를 대비한 시나리오를 준비하려는 것일 수도 있다. 이 경우 탈락한 제안사들도 포함한 다수 벤더 계약이 성사될 가능성도 있다.

미 국방부는 법원에서 MS의 단독 계약이 부적절하다는 판결이 나올 경우를 대비하는 것으로 보인다.

CIA의 C2E

이와 함께 눈여겨볼 필요가 있는 것은 CIA의 C2S(Commercial Cloud Service)에 이은 C2E(Commercial Cloud Enterprise) 계약이다. C2E는 CIA가 아마존 AWS와 단독으로 계약 진행한 6억 달러짜리 클라우드 계약의 후속 프로젝트이다. C2E도 ‘제다이’에 버금가는 100억 달러 규모의 계약이 될 것이라는 전망이 있는 가운데, 그 반사작용으로 ‘제다이’에 대한 부정적인 시각이 대두되고 있는 양상이다.

아마존과의 소송으로 계속 지연되고 있는 ‘제다이’를 차라리 포기하고, CIA가 추진하는 C2E에 편승하는 것이 국방부 입장에서는 현명한 선택이라고 강조하는 목소리도 나오고 있다. 이미 C2S를 통해서 C2E로 발전하고 있는 CIA의 클라우드 전략을 다시 반복 답습하지 말라는 얘기이기도 하다.

그러나 CIA와 국방부가 한배를 탈 가능성은 매우 희박하다고 보며, 어쨌든 ‘제다이’ 계약은 진행될 것으로 전망된다. 그 시점도 올해 안에는 이루어질 것으로 본다. 또한, 앞서 언급했듯이 기존 참여했던 제안사도 포함된 다수 벤더 계약도 조심스럽게 점쳐 볼 수 있을 것 같다.

[divide style=”2″]

[box type=”note”]

본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.

[/box]