[주간 클라우드 동향] 클라우드법 발목 잡은 국정원?…통과 가능성은
현재 국회에 계류 중인 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안(이하 클라우드법)’을 두고 다시 논란이 거세지고 있습니다. 관련 법안에 ‘국가정보원’이 포함돼 있기 때문인데요.
실제 법안 내용을 들여다보면, 클라우드 서비스 제공자가 국가기관과 계약을 하기 위해서는 국가정보원장이 정하는 기준에 적합한 서비스를 해야 하고, 개인정보유출 등 사고 발생시에도 국정원에 알려야 하는 등의 내용이 포함돼 있습니다.
물론 국정원이 관여할 수 있는 부분은 국가기관 등 정부 공공기관에서 클라우드 서비스를 사용했을 때입니다만, 퍼블릭과 프라이빗 클라우드가 혼용된 최근의 하이브리드 클라우드 환경에서는 이 구분이 무의미하다는 것입니다.
지난주 개최된 새정치민주연합 주최의 토론회에서 참여연대와 경실련, 진보네트워크센터 등 시민단체에서 국정원 개입과 관련해 개인정보침해에 대한 우려가 이어졌는데요.
반면 오히려 법안에 국정원의 역할을 구체적으로 명시하는 것이 더 효율적이라는 의견도 있었습니다. 어차피 클라우드법에 국정원 관련 조항을 넣지 않더라고 전자정부법나 국가사이버안전관리규정 등에 따라 공공부문의 안정성과 관련해선 얼마든지 개입이 가능하기 때문입니다.
이날 미래부에서는 “국정원과의 협의를 통해 관련 조항의 삭제도 가능할 것”이라며 “무엇보다 빠른 시일 내에 법을 통과시켜 골든타임을 놓치지 않는 것이 중요하다”고 설명했습니다.
올해 중 관련 법 통과가 가능할지, 통과 이후에 실질적인 효과가 있을지 주목됩니다.
아래는 지난주 국내에 전해진 클라우드 컴퓨팅 관련 소식입니다.
◆‘클라우드법’, 국정원 개입 조항에 시민단체 반발…미래부 “수정 검토”= 현재 국회에 계류 중인 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안(이하 클라우드법)’을 두고 다시 논란이 거세지고 있다. 논란의 핵심은 바로 ‘국가정보원(이하 국정원)’이다.
법안에 클라우드 서비스 제공자가 국가기관과 계약을 하기 위해서는 국가정보원장이 정하는 기준에 적합한 서비스를 해야 하고, 개인정보유출 등 사고 발생시에도 국정원에 알려야 하는 등의 조항이 포함돼 있기 때문이다.
29일 새정치민주연합 정책위원회와 민주정책연구원이 주관한 ‘국정원과 클라우드컴퓨팅법안, 무엇이 문제인가?’ 토론회에서는 참여연대와 경실련, 진보네트워크센터 등 시민단체에서 국정원 개입과 관련한 우려를 쏟아냈다.
클라우드법의 핵심은 제14조 공공기관이 클라우드 서비스를 이용할 수 있도록 규정하는 내용에 있다. 현재 약 1만5000여개에 달하는 국가기관 등 공공기관에서는 국정원의 보안 규정에 따라 민간 클라우드 서비스 이용이 금지돼 있다.
그러나 법이 통과될 경우, 법안의 내용대로 민간 클라우드 서비스를 사용할 수 있는 근거가 생기게 돼 국내 중소기업들에게 기회가 될 수 있을 것으로 내다보고 있다. 특히 미래부는 클라우드법 시행에 맞춰 공공부문의 민간 클라우드 서비스 이용률을 2017년 15%까지 늘리겠다고 발표한 바 있다.
이날 발제를 맡은 오길영 신경대 경찰행정학과 교수는 “2012년 방송통신위원회 입법 당시에는 ‘정부가 수행하는 정보보호 인증제도’가 존재했었는데, 수정안에는 국정원장이 새롭게 등장한다”며 “보안과 클라우드 산업의 가속화, 이용자 보호책 등 모든 측면에서 국정원의 등장은 결코 바람직하지 않다”고 비판했다.
이어 그는 “특히 제19조 제3항의규정에 따르면, 공공부문의 클라우드 서비스 침해사고 발생시, 서비스 제공자는 국정원장에게 통지하도록 규정돼 있다”며 “이는 마치 구글이나 아마존웹서비스(AWS)가 클라우드 서비스 장애가 나면 미국정보국(CIA)에 보고하는 것과 마찬가지”라고 말했다.
특히 현재 많은 기업이 퍼블릭클라우드와 프라이빗클라우드를 혼용한 ‘하이브리드클라우드’를 제공하고 있는데, 이 조항은 민간부문에 대해 국정원이 직접 관여할 수 있는 근거조항으로 기능하게 된다는 지적이다.
즉, 민간부문에 대한 사고가 발생했다고 하더라고 만약 클라우드 서비스 제공자가 공공부문에도 서비스를 제공하고 있는 상황이라면, 국정원에서 신고를 해야 한다는 것이다. 또한 국정원이 나선다고 하더라고 현실적으로 무엇인가를 해볼 수 있는 상황이 아니라고 설명했다.
그러나 굳이 클라우드법에 국정원 관련 조항을 넣지 않더라고 국정원이 관여할 수 있는 여지는 충분하다. 이미 전자정부법나 국가사이버안전관리규정 등에 따라 공공부문의 안정성과 관련해 얼마든지 개입이 가능하기 때문.
토론회에서는 이보다는 오히려 국정원의 역할을 구체적으로 명시해 적극 참여시키는 것이 현실적이라는 지적도 제기됐다.
장유식 참여연대 행정감시센터소장(변호사)는 “이미 국정원법과 전자정부법 등에 따라 공공부문의 보안에 대한 국정원의 개입은 자연스러운 것인데, 과연 관련 문구를 삭제한다고 해서 (국정원의 개입이) 불가능하진 않을 것”이라며 “그러나 국정원의 개입이 이용자 보호 측면에서 바람직하지 않다는 것은 분명하다”고 말했다.
이창범 녹색소비자연대 이사도 “차라리 국정원의 역할을 구체적으로 명시하는 것이 더 나을 수도 있을 것”이라며 “현재 보안제품에 적용된 국제상호인정협정(CCRA) 등의 모델을 적용하는 것도 좋은 방안”이라고 설명했다.
서성일 미래창조과학부 소프트웨어융합과장은 “(법 제정의) 골든타임을 놓치지 않게 해달라”며 “국정원 및 유관 부처와의 조율을 통해 관련 조항을 삭제하는 것을 검토하겠다”고 말했다.
국내업체와 해외업체 간의 입장 차이도 드러났다. 법 통과가 될 경우, 미래부가 국내 중소 기업 육성 차원에서 관련 기업의 클라우드 서비스나 솔루션을 채택할 가능성이 높기 때문.
이나루티앤티, 틸론 등 국내 중소 클라우드 업체들은 “현존 법에 막혀 국내 좋은 제품이 시장에 진입하지 못하는 상황이 많다”며 “(조그마한 풀장이라도 만들어주면 수영이라도 할 수 있듯이) 정치논리학적으로 법이 만들어지면 기회가 생길 것으로 기대하고 있다”고 말했다.
반면 이날 참석한 한국HP 관계자는 “클라우드와 같은 신기술을 법에 적용시킨다는 것은 무리가 있다”며 “차라리 클라우드 산업 촉진을 위해선 세제혜택이나 연구개발단지조성 등의 구체적인 실행책이 있어야 한다”고 지적했다.
◆수서고속철도, SAP HANA 엔터프라이즈 클라우드 국내 첫 도입=SAP코리아(www.sap.com/korea 대표 형원준)는 SR(구. 수서고속철도주식회사)에 자사의 HANA 엔터프라이즈 클라우드(HEC)를 공급했다고 30일 밝혔다.
이는 지난 6월 LG CNS 부산 데이터 센터에 구축한 SAP HEC 센터를 기반으로 국내 기업에 처음으로 SAP HANA엔터프라이즈 클라우드를 공급하게 된 사례다.
SAP HANA 엔터프라이즈 클라우드는 SAP의 인메모리 플랫폼 SAP HANA를 각 고객에 특화된 프라이빗 클라우드 환경에서 제공하는 전사적자원관리(ERP) 서비스의 클라우드 솔루션이다.
SR이 도입한 SAP HANA 엔터프라이즈 클라우드 모델은 매니지드 클라우드 서비스와 인프라를 LG CNS가 공급하는 형태다. 오는 2016년 개통을 준비 중인 SR은 이번 인사와 회계, 재무 등의 분야에서 저비용 고효율 시스템을 구축해 운영 효율성을 높이게 됐다고 설명했다.
형원준 SAP 코리아 사장은 “SAP 코리아는 앞으로도 경쟁력 있는 솔루션을 바탕으로 기업 운영의 혁신을 모색하는 국내 기업들과 긴밀하게 협력해 나갈 것”이라고 말했다.
◆찬밥 신세였던 IBM x86, 레노버 만나 ‘귀하신 몸’ 될까= 기존 IBM의 x86 서버 사업이 마침내 국내에서도 ‘레노버’ 브랜드를 달고 본격화된다. 앞서 레노버와 IBM은 미국투자위원회(CFIUS) 승인 절차 등을 포함한 모든 규제 요건과 계약 청산 조건을 만족해 10월 1일을 기준으로 공식적인 인수 절차를 완료한다고 밝힌 바 있다.
이에 따라 한국 역시 모든 이관 절차를 완료하고 1일 x86 서버 사업부가 공식 출범한다. 기존 IBM x86 서버사업팀은 레노버의 엔터프라이즈비즈니스그룹(EBG)으로 소속되며, 한국의 경우 EBG를 이끌 박완호 상무를 포함해 IBM 인력 총 49명이 합류한 것으로 전해졌다.
그동안 IBM x86 서버 사업은 유닉스(파워시스템), 메인프레임(시스템z) 등에 밀려 하드웨어 사업부 내에서도 우선순위에서 밀려왔던 것이 사실이다. 유닉스나 메인프레임에 비해 업체 간 기술 격차가 적은 x86 서버 사업은 특히 가격 경쟁이 심화되면서 수익성 측면에서 어려움을 겪고 있다.
물론 IBM의 브랜드 인지도를 바탕으로 충성도 높은 고객군을 보유하고 있지만, 유닉스나 메인프레임에 비해 회사의 전폭적인 지원을 기대하기 힘든 분야였다. 비유하자면 큰 형님(메인프레임)이나 둘째 형님(유닉스)에게 무엇이든 양보해야 하는 막내 동생의 입장인 셈이다. 실제 한국IBM의 x86 서버 시장 점유율은 몇 년 간 지속적으로 하락, 델코리아에 2위를 넘겨준 이후 줄곧 3위에 머물러 있다. 지난 2분기에도 IBM은 판매대수 기준으로는 약 14%, 매출 기준 10%의 점유율에 그쳤다.
반면 새로운 성장 동력이 필요했던 레노버는 PC플러스(+) 전략을 통해 새로운 비즈니스로 영역을 넓히고 있다. 지난 2005년 IBM으로부터 PC사업을 넘겨받아 결국 전세계 PC 판매 1위 업체 타이틀을 거머쥔 것처럼 엔터프라이즈에서도 이를 이어나가겠다는 야심이다.
특히 레노버는 IBM 브랜드를 인수 완료 이후 5년 간 사용할 수 있고, PC와 태블릿 사업을 바탕으로 부품 공급에서의 가격 경쟁력도 높일 수 있을 것으로 보인다.
여기에 IBM의 일부 스토리지 및 소프트웨어 포트폴리오 중 일부 제품을 주문자상표부착생산(OEM)으로 판매하는 한편 스마트 클라우드, 일반 병렬 파일 시스템(GPFS), 플랫폼 컴퓨팅 솔루션 등도 공급할 수 있는 제휴를 맺음에 따라 보다 포괄적인 엔터프라이즈 솔루션을 제공할 수 있게 됐다는 입장이다.
관련 업계에서는 레노버가 x86 서버 사업에서도 기존 PC사업에서처럼 광범위한 제품 포트폴리오를 기반으로 로엔드와 메인스트림, 프리미엄 등 각 카테고리별 시장 공략에 초점을 둘 것으로 예상하고 있다.
특히 IBM의 기존 인력과 파트너, 고객 등을 그대로 물려받게 된 레노버에게 x86 서버 시장은 반드시 시너지를 내야 하는 시장인 만큼, 당분간 공격적인 영업을 벌일 것으로 예상된다.
한국레노버 EBG 관계자는 “현재 공략 대상으로 삼고 있는 시장이 있지만, 올해 말까지는 돌아가는 상황을 본 이후, 내년부터 구체적인 전략을 짤 수 있을 것”이라고 말했다.
레노버의 회계연도가 4월에 시작되는 만큼, 올해까지는 시장 상황을 가늠하는 기간이 될 것으로 보인다.
서버 업계 역시 레노버를 계속해서 예의주시하겠다는 입장이다. 레노버 브랜드로의 전환에 따른 고객 이탈을 기대하고 있지만, 실제 출범 이후 어느정도의 가시적인 변화가 있을지는 미지수다.
◆브로케이드, SDN·NFV 지원하는 개방형 ‘네트워크 컨트롤러’ 상용제품 11월 출시=브로케이드가 소프트웨어정의네트워킹(SDN)·네트워크기능가상화(NFV)를 구현하는 핵심 기술인 ‘브로케이드 비아타 컨트롤러’를 발표하고, 개방형 네트워킹 플랫폼 구현을 가속화한다.
개방형 커뮤니티의 협력 프로젝트인 오픈데이라이트 결과물을 기반으로 상용화한 ‘비아타 컨트롤러’는 추가로 브로케이드가 발표할 SDN 애플리케이션과 함께 11월 중순 정식 출시, 공급될 예정이다.
브로케이드는 ‘비아타 컨트롤러’가 기존의 ‘오픈플로우 컨트롤러’나 특정업체가 자사 제품 지원 중심으로 개발·제공하는 SDN 컨트롤러와 차별성을 부각하고 있다. 그 점에서 ‘비아타 컨트롤러’는 물리적 네트워크 장비와 SDN·NFV 등 가상화 장치, 이기종 업체기술(멀티벤더)을 모두 지원하는 확장된 개방형 ‘네트워크 컨트롤러’라고 정의했다.
김현수 브로케이드코리아 상무는 “기존 네트워크를 효율적으로 바꾸기 위해 SDN이 대두됐고, SDN 역시 지난 2~3년간 변화가 요구됐다”며 “오픈플로우 컨트롤러라고 명명됐던 것에서 이제는 오픈플로우를 포함해 오버레이터널링, REST API, NETCONF, YANG 등 새로운 프로토콜을 아우르는 네트워크 컨트롤러가 필요하다. 브로케이드 컨트롤러는 우후죽순 발표된 자사 중심의 타 컨트롤러 제품과는 달리 개방형 아키텍처를 표방하는 ‘오픈데이라이트’ 기반으로 물리적 장비와 NFV화된 가상디바이스, 멀티벤더를 모두 지원해 차별성이 있다”고 말했다.
◆한국HP, 30년 영욕의 역사…“유닉스·PC부터 문샷, 더머신까지”=올해 창사 30주년을 맞이한 한국HP가 컨버지드시스템, 문샷, 더 머신 등 컴퓨팅 혁신을 통해 클라우드와 보안, 모빌리티, 빅데이터 등 주요 이슈에 적극 대응한다는 전략을 밝혔다.
1일 한국HP가 개최한 연례 기술 컨퍼런스인 ‘HP테크놀로지 앳(@) 워크 2014’에서 이 회사 함기호 대표는 “앞으로도 다양한 컴퓨팅 혁신을 통해 사용자가 손쉽고 안전하게 최신 IT기술을 제공하는 새로운 IT스타일로 업계를 주도할 것”이라고 강조했다.
여기서 말하는 새로운 IT스타일은 현재 HP가 집중하고 있는 클라우드 플랫폼이자 서비스인 오픈스택 기반의 ‘힐리온’과 현재 연구 개발이 진행 중인 새로운 컴퓨팅 아키텍처 ‘더 머신’ 등으로 구체화되고 있다.
특히 현재 개발 중인 ‘더 머신’은 기존 컴퓨터 아키텍처의 근간을 바꾼 새로운 컴퓨팅 아키텍처로 범용 프로세서 대신 특수 목적의 코어 클러스터와 D램, S램을 하나의 유니버셜 메모리 풀로 대체한 멤리스터라는 신기술을 기반으로 하고 있다
계산과 저장 역할을 하는 디스크와 메모리 간의 데이터 이동 없이 하나의 메모리 풀에서 처리되는 만큼 성능 및 전력 효율성 향상이 특징이다. 또한 데이터 고속 전송을 위해선 빛을 이용하는 포토닉스 기술을 채용했다.
HP 본사 소속 SC 최 부사장은 “이는 스팍칩 기반의 슈퍼컴퓨터 후지쯔 K컴퓨터와 비교해 6배 높은 성능에 1/80의 전력 효율성을 기록하고 있다”고 강조했다.
한편 한국HP는 지난 1984년 삼성휴렛패커드(HP)라는 합작법인을 통해 국내에 진출했다. 이듬해 안양공장을 설립하고, 사무용 컴퓨터인 HP 3000을 국내에 생산 공급하면서 본격적인 사업에 나섰으며, 이후 한글 프린터(에스티)와 한글터미널(아리랑 터미널), 32비트 유닉스 컴퓨터인 HP9000 840을 출시하며 한국시장에 유닉스 서버를 본격 공급하게 된다.
2002년 HP 칼리 피오리나 회장의 주도로 컴팩과의 합병이 이루어진 이후에는 PC 시장을 확대했으며, 유닉스 및 x86 서버에서도 선두를 차지했다.
2010년 통합인프라 개념인 ‘컨버지드 인프라스트럭처(CI)’를 출시한 이후, 지난해부터는 저전력 서버인 ‘문샷’을 비롯해 클라우드 브랜드인 ‘힐리온’, 컨슈머 제품 가운데는 크롬북, 엘리트패드, e프린트 등을 선보였다.
◆보안·생산성 저하시키는 SaaS 계정관리, ‘클라우드 페더레이션’으로 해결=기업의 비즈니스 민첩성과 생산성을 높이고 경제적인 효과까지 더해지면서 기업의 클라우드 서비스 사용이 확대되고 있다.
클라우드 기반으로 구현되는 서비스방식의 소프트웨어(SaaS)는 기업이 직접 구매하거나 설치, 유지 관리할 필요가 없어 비용효율성이 높다는 이점을 제공한다. 가입자 기반으로 제공되기 때문에 내부 시스템에 구축하는 상용 소프트웨어보다 라이선싱 비용도 더 적게 들어간다. 사용자가 언제 어느 위치에 있건 다양한 기기를 통해 서비스에 접속할 수 있다는 점도 장점이다.
하지만 기업 외부 서비스제공업체가 제공하는 SaaS 애플리케이션 이용이 다양화되면서 오히려 직원들의 생산성이 저하되고 보안이 취약해진다는 우려가 커지고 있다.
SaaS는 자체적으로 사용자 계정, 비밀번호, IAM(계정접근관리) 시스템을 제공하고 있다. SaaS를 이용하려면 사용자들은 기존에 기업 내부별도의 계정과 암호를 부여받아야 한다. 기업의 데이터센터와 통합 운영되지 못하기 때문에 데이터 관리, 애플리케이션 보안, 계정 및 접근관리 측면에서 기업의 관리 대상 범위를 넘어선다. 이는 애플리케이션의 수가 늘어날수록 사용자 피로나 혼란이 가중되고 업무 생산성 저하로 이어지게 된다. 내부 IAM와 별도(silo)로 운영되면 기한이 만료된 계정 삭제가 지연되는 등 적절한 계정 수명주기관리가 이뤄지지 않아 보안위험에 노출될 수 있다.
F5네트웍스의 조사에 따르면, 53%의 IT전문가는 SaaS 애플리케이션 배포의 안정성을 걱정하고 있다. 또 46%의 조직은 10개 넘는 애플리케이션을 사용하고 있으며, 43%는 현재 사용중인 SaaS 애플리케이션의 생산성에 의구심을 갖고 있다.
51%의 IT 전문가는 SaaS 공급자가 제공하는 접근관리 및 인증 시스템을 신뢰하지 않거나 어느 정도만 신뢰하고 있는 것으로 나타났다.
SaaS 제공업체가 제공하는 데이터 보호나 계정 보안 수준은 기업의 사내 데이터센터와 마찬가지로 매우 높은 편이다. 하지만 직원들이 별도로 발급된 계정과 암호를 사용할 경우 낮은 암호 수준을 적용하거나 똑같은 암호를 다양한 계정에 동시에 사용할 수 있다는 점이 문제다. 이 경우엔 데이터 유출 공격 표적이 되기 십상이다.
직원들의 PC에 소프트웨어를 설치하는 것은 아니지만 SaaS 이용을 위해 계정을 발급하고 환경을 구성하는 작업도 역시 일정 시간이 필요하다. 또 서비스를 이용하기 위해 매번 계정과 암호를 입력하는 과정은 더욱 많은 시간이 요구된다. 결국 사용자들의 암호 피로도(Password fatigue)가 쌓이게 되면 보안성이 저하될 뿐만 아니라 생산성을 높이기도 쉽지 않게 된다.
이같은 문제를 해결하기 위해 외부의 SaaS 시스템에도 사용자가 사내에 구축된 싱글사인온(SSO) 시스템을 사용하는 것과 동일한 사용자 경험을 제공하는 ‘클라우드 페더레이션’이 제안되고 있다. IAM ‘클라우드 페더레이션’은 SaaS 제공업체의 서비스와 가입자가 소유·관리하는 IAM 기술을 간소화된 방식으로 통합해 신뢰관계를 구축한다.
예를 들어 F5가 제공하는 클라우드 페더레이션 솔루션의 경우 SaaS 애플리케이션이나 내부 시스템에 관계없이 사용자들에게 일관된 인증(SSO, 싱글사인온)을 구현함으로써 개별 사용자 계정을 관리할 필요성을 제거한다. 아울러 2중요소(2factor) 인증, IP 위치정보 활용, 장치 검사 등으로 보안성이 강화된 다단계 인증 시스템 구축도 지원한다.
<정리=백지영 기자>jyp@ddaily.co.kr
[尹정부 ICT점검] ‘디지털정부 1위’ 성과 이면에 장애대응·격차해소 과제로
2024-11-16 10:39:44임종훈 대표, 한미사이언스 주식 105만주 매각… 상속세 납부 목적, 이면에 불가피한 속사정?
2024-11-15 18:04:20최윤범 고려아연 회장 “이사회 의장직 내려놓겠다”… 삼성∙보잉 사례 참고했나
2024-11-15 17:19:23[DD퇴근길] 네이버 밴드, 美 MAU 600만 돌파…IT서비스업계, 연말인사 포인트는
2024-11-15 16:53:04비트코인이 불지른 가상화폐 ‘불장’… 금융당국, '이상거래' 모니터링 강화
2024-11-15 16:20:20