기사 공유하기

2021년 11월 싱가포르 정부 기술청(GovTech; 고브테크)은 그동안 추진해 온 상용 클라우드를 이용하는 정부 서비스(GCC: Government on Commercial Cloud) 정책을 한 단계 더 개선해 정부 기관이 퍼블릭 클라우드 서비스 사용에 있어서 관리와 보안을 더 쉽게 할 수 있게 한다고 발표했다. 고브테크(GovTech)정부 기관으로 싱가포르의 공공 섹터 디지털 전환을 이끄는 조직으로, 이런 새로운 과제 추진을 위해서는 새로운 코덱스(CODEX: Core Operations Development Environment and eXchange) 팀을 구성해 책임을 맡긴다.

싱가포르 정부기관으로 싱가포르 공공 디지털 전환을 담당하는 ‘고브테크'(GovTech) 홈페이지 첫화면 갈무리

우리가 이제 민간 클라우드 중심의 정부 서비스 정책을 추진해 나가고자 하는 상황에서 싱가포르는 이미 2019년에 상용 클라우드 정부 서비스(GCC) 전략을 수립해서 추진해 왔기 때문에 이에 대한 검토와 평가는 우리에게 시사하는 바가 크며 좋은 참고 사례가 될 것이다.

싱가포르의 GCC 1.0

2018년 ‘스택 2018’ 콘퍼런스에서 발표한 싱가포르 기술청 발표는 정부 시스템 가운데서 덜 민감한 영역에는 상용 클라우드 컴퓨팅 플랫폼의 혁신과 역량을 활용하겠다는 계획이다. 이를 통해 상용 클라우드 플랫폼에 있게 되는 데이터 보호를 위해 더 견고한 사이버 보안 지표와 시스템으로 강화하겠다고 발표했다. 이 계획은 향후 2019년부터 5년 동안 추진할 예정이다.

이는 그동안 온프레미스 클라우드인 지클라우드(GCloud) 시대가 끝나고 싱가포르 정부의 많은 공공서비스를 상용 클라우드 시스템으로 이전하겠다는 계획이다. 프로젝트는 2019년 4월부터 시작했으며, 모든 정부 기관은 자신들의 업무를 2019년 말까지 GCC로 이전하도록 했다. 이 프로젝트는 AWS, 애저, GCP 세 곳의 퍼블릭 클라우드 사업자를 모두 망라하는 하이브리드 클라우드 인프라를 구축하는 것을 포함한다.

특히 아마존, 구글, 마이크로소프트의 클라우드 컴퓨팅 기술이 갖는 확장 가능성과 사용자 정의 기능을 정부 기관이 활용할 수 있게 했다. 과거 온 사이트에 하드웨어를 쌓아 놓고 관리하는 비용에 함몰되거나 복잡함을 벗어나 개발팀이 가장 잘 할 수 있는 것에 초점을 맞출 수 있게 했다. 즉, 기관 안이나 밖의 여러 이해 관계자들은 가치를 만들어내는 애플리케이션을 구축하고 이를 제공하는 것에 집중하자는 것이다. 이에 대한 추진은 이미 2017년에 500개 정도의 정부 웹사이트를 CWP라고 부르는 콘텐츠 웹사이트 플랫폼을 통해 AWS에서 구축해 본 이전 경험을 통해 사전 확인한 적이 있다.

싱가포르는 2019년부터 공공서비스의 클라우드 전환 프로젝트를 시작해 특히 아마존, 구글, 마이크로소프트의 클라우드컴퓨팅 기술이 갖는 확장 가능성과 사용자 정의 기능을 정부 기관이 활용할 수 있게 했다.

정부의 아이디어는 백엔드 서비스를 공통 플랫폼으로 제공하고, 정부 기관은 웹 콘텐츠 관리에 집중하도록 하자는 것으로, 공유하는 인프라 모델은 싱가포르 정부 테크 스택(SGTS)이라고 부른다. SGTS는 새로운 애플리케이션을 빠르게 구축하고 테스트할 수 있는 공유 소프트웨어와 인프라 서비스로 구성했다.

SGTS는 두 개의 레이어로 구성하는 구조인데, 베이스 레이어서비스 레이어가 있으며, 여기에 앱 개발 라이프사이클을 구성하는 컴포넌트를 갖고 있다. 베이스 레이어는 도구 체인, 커뮤니케이션, 런타임, 모니터링과 서비스 관리 등 5개의 컴포넌트로 구성된 표준화 레이어이며, 서비스 레이어는 빠르게 진화하고 널리 적용할 수 있는 재사용 가능 서비스 컴포넌트로 구성하는데, 앱 서비스, 데이터와 분석, ID, 인공지능과 데이터 익스체인지 등의 영역을 포함한다.

SGTS의 베이스 레이어

2020년 스택 콘퍼런스에서 코덱스(CODEX) 국장인 케빈 응(Kevin Ng)에 따르면, 20개 기관, 80개 시스템의 900명의 사용자가 클라우드 위에서 서비스나 애플리케이션을 구현하기 위해 SGTS의 혜택을 받았다고 한다.

하이브리드 클라우드 구조는 보안에서 네트워킹까지 많은 도전을 해야 할 주제이다. 이는 다각적인 시각을 통해서 접근할 수밖에 없는데, 인프라, 규정 준수, 인증 및 보안 조치 충족 등을 확인하기 위해 네 가지 트랙의 프로젝트를 시작했다.

  • ID와 인증 서비스: 온프레미스에서 클라우드로 액티브 디렉터리 ID 동기화
  • 네트워킹: 온프레미스 자산과 클라우드 자산 간의 네트워크 도달 가능성 설정
  • 공통 서비스: 공통 서비스 연결(예를 들어, 규정 준수와 CASB(클라우드 접근 보안 브로커))
  • 클라우드 관리 포털: 고객 구획 설정

ID와 인증 프로젝트에서는 클라우드 기반 ID를 설정하는 것인데 애저 AD를 사용해 포괄적인 ID 및 인증 프레임워크를 개발해 고객이 CSP 서비스뿐만 아니라 SaaS 애플리케이션에 안전하게 접근할 수 있게 했다.

네트워킹은 VPN 허브를 사용해 온프레미스에서 CSP로 전용 네트워크 연결을 설정했으며, 클라우드 워크로드는 많은 공통 서비스에 연결해 규정 준수 관리, 원격 관리, 중앙 로깅 집중 여부 등을 확인한다. 클라우드 관리 포털은 사용자 온보딩을 위해 셀프서비스 관리 포털을 제공하는데, 클라우드 ID 관리, VPN 액세스 관리, 원격 관리, 계정·구획 온보딩, 빌링 등을 제공한다.

이런 상용 클라우드로 마이그레이션은 성공적으로 진행되어 2019년 4월 24일(인터넷)과 2019년 6월 15일(인트라넷)에 AWS와 애저 클라우드 기반을 출시했고, 2019년 9월 2일에는 GCP를 출시했다. 현재 GCC는 700개 이상의 계정과 1,600개 이상의 구획을 지원한다.

앞에서 언급했듯이 이 과제의 중심이 된 조직이 코덱스(CODEX)이다. 코덱스는 싱가포르의 스마트 네이션 비전을 달성하기 위한 국가 전략 과제이면서 팀을 말하는데 이 팀이 GCC와 SGTS 제품 사용을 보안 감사와 규정 준수를 따르면서 모든 제품이 정부 전체 플랫폼(WOG: Whole of Government) 개발 환경에서 사용할 수 있도록 드라이브한다. 이를 통해 정부는 협력적 환경에서 재사용 소프트웨어 컴포넌트 사용을 극대화해서 전반적인 운영경비를 줄일 수 있다고 기대한다.

출처: 스마트 네이션 싱가포르

정부 기술청은 GCC 파운데이션 트레이닝을 제공해 정부 관련 개발자들이 GCC 위에 시스템을 호스트하고 적절한 GCC 서비스(GCCS)를 선택하고 사용하는 능력을 갖추도록 했다. 이 학습 과정에는 각 GCCS의 목적, 가입하고 관리하기, 클라우드 관리 포털 둘러보기, GCC 호스팅 프레임워크, 온보딩, 셋업, 운영체제 등에 대한 교육을 포함한다. 흥미로운 건 교수 방법이 유데미(www.udemy.com; 세계 최대 오픈교육 플랫폼, ‘유데미’는 ‘당신의 학교’라는 뜻의 ‘The Academy of You’의 줄임말)를 통한 이러닝 방식이라는 점이다.

GCC 2.0

이번에 발표한 GCC 2.0이라고 부르는 최신 정책에서는 새로운 사용자가 자신의 요구사항을 성공적으로 실행할 수 있게 만드는 사용자 온보딩과 보안 문제를 다른 영역보다 우선하여 개선하겠다고 한다. 이는 GCC 사용자들의 피드백과 서비스 관리에서 나온 것이라는 점을 정부 기술청이 ‘Stack-X’ 컨퍼런스에서 밝혔다.

예를 들어 사용자가 AWS, 애저, GCP 같은 민간 클라우드에 접속하고 관리하고 보호받기 위해서는 다중의 계정을 가져야 하는 것이 GCC의 기본 원칙이었다. 클라우드 계정, 포털 계정, VPN 계정이 있고 단지 로그인이나 시스템 관리를 위해서는 호스트 계정까지 필요했다.

이 문제를 해결하기 위해 테크패스(TechPass)라는 ‘싱글 사인온’ 기술을 통해 단순화했으며 이를 이용해 클라우드 관리 포털, 퍼블릭 클라우드서비스, 싱가포르 정부 테크 스택(SGST)의 엔지니어링 도구를 사용하는데 하나의 아이디로 로그인할 수 있게 했다.

테크패스는 SEED(Security Suite for Engineering Endpoint Device)라고 부르는 더 넓은 개념의 보안 제품군의 일부분으로 제로 트러스트 개념을 적용하고, 클라우드 기반 접근 제어에서 안전한 엔드포인트 장치 플랫폼을 확인한다. 이를 통해 안전하고 인증받은 장치만 정부 클라우드 애플리케이션을 개발하거나 관리하는데 사용할 수 있음을 보장한다.

GCC 2.0의 또 다른 보안 관련 개선은 하이퍼스케일 클라우드 기업이 제공하는 클라우드 네이티브 점프 호스트 서비스를 사용하도록 전환한 것이다. 점프 서버라고도 하는 점프 호스트는 관리 업무를 수행하기 위해 가상 네트워크 인프라에 있는 다른 가상 머신에 대한 접근을 제공하는 데 사용한다.

예를 들어 마이크로소프트 애저의 바스천(Bastion)보안 제어와 제로 데이 패칭 기능을 갖고 점프 호스트를 공고히 한다(참고로 제로 데이 패칭은 소프트웨어 취약점이 아직 밝혀지지 않은 시점에 이루어지는 제로 데이 공격에 대응하는 패치를 말한다). 점프 서버는 일반적으로 로그인하면 모든 관리 작업을 위해 가상 네트워크 인프라의 다른 가상 머신으로 이동할 수 있다. 애저 바스천은 가상 네트워크에서 점프 서버 배포를 간소화하는 관리형 네트워크 가상 어플라이언스이다.

마이크로소프트 애저 바스천 (출처: 마이크로소프트)

반면 AWS 시스템 매니저는 관리 제어를 AWS 내부 네트워크와 에이전트로부터 분리해서 구성을 최소화한다. 사실 퍼블릭 클라우드를 사용하면서 네이티브 서비스를 사용하는 것이 근본적으로 나은 이유는 보안 문제를 클라우드 사업자가 관리하고 그게 더 비용 대비 효과적이기 때문이다. 보안의 입장에서는 더 적은 구성을 요구하는 것이 더 보안이 우수할 수 있다.

정부 기술청(GovTech)은 GCC 2.0에서 일부 AWS 워크로드에 대한 파일럿 테스트를 했고 2022년 상반기에 일반 공개할 예정이다. 애저와 구글 클라우드 작업으로도 파일럿 실행을 했으며 2022년 3/4분기에 애저 서비스를 2023년에는 구글 클라우드서비스 기반을 일반 공개할 예정이다.

GCC 2.0으로 개선은 단지 온프레미스 하드웨어 인프라의 다른 실현이 아니라 클라우드를 코드와 소프트웨어로 생각하게 하는 사고의 전환이다. 정부의 많은 조직이 클라우드를 하드웨어 일부로 생각해서 아키텍처 다이어그램을 리뷰하기를 원하는데 이를 코드와 배포로 생각하게 하는 것이 더 유용하다는 것이 정부 기술청 코덱스 국장인 케빈 응의 이야기다.

 

[divide style=”2″]

[box type=”note”]

본 글은 한국지능정보사회진흥원의 지원을 받아 작성되었으며, 디지털서비스 이용지원시스템에 동시 게재합니다.

[/box]

카이스트에서 인공지능을 전공하고 현재 컴퓨터과학과 인문사회학을 결합한 각종 이슈에 대해 글을 쓰고 있다. 테크 칼럼니스트로 활동 중이며, 사업전략 컨설팅, 정책 자문을 하고 있다.

관련 글