학계-업계 "의식 전환 필요", 정부 "망분리 의무화 폐지 시기상조"
“계륵.. 계륵이다” 삼국지연의에서 조조가 유비와 한중 땅을 놓고 전투 하던 중 내뱉은 말이다. 닭의 갈비인 계륵은 먹기도 별로지만 버리기도 아까운 부위다. 결국 조조는 한중 땅 점령을 포기하고 후퇴하고 만다.
정부가 클라우드 산업 활성화를 위해 관련 법을 도입 및 개정하며 안간 힘을 쓰고 있지만 최근 업계에서는 ‘망분리 의무화’ 정책이 클라우드 산업 성장의 걸림돌이 되고 있다고 지적한다. 망분리 의무화가 보안을 위해서는 놓칠 수 없고, 클라우드 성장에는 걸림돌이 되는 조조의 계륵 같은 존재가 된 것이다.
■ '망분리 의무화'로 공공기관 '퍼블릭 클라우드' 대신 '프라이빗 클라우드' 구축
망분리란 기업 또는 공공기관 내부의 네트워크와 외부 네트워크를 완전히 분리시키는 것으로 외부의 사이버테러로 인한 대형 보안사고를 막는다는 취지로 정부는 정보통신법을 개정, 공공기관과 일정 규모의 기업을 대상으로 망분리를 지난 2012년부터 강제화 시켰다.
망분리는 ‘물리적 망분리’와 ‘논리적 망분리’로 나누어지는데 먼저 물리적 망분리는 내부에서 업무용 PC와 개인용 PC의 구분을 확실하게 하는 것이고, 논리적 망분리는 PC 한 대에 VDI(데스크톱 가상화)기술을 이용해 내외부 네트워크를 분리시키는 것이다. 이에 최근 VM웨어, 시트릭스, 틸론 등 VDI 기술을 갖춘 가상화 업체들이 특수효과를 보고 있는 것으로 알려졌다.
하지만 클라우드 컴퓨팅이 국가 미래 먹거리를 뒷받침할 사물인터넷(IoT), 빅데이터, 인공지능(AI) 등의 기반이 되는 시대에 망분리 의무화는 시대에 뒤쳐진 법이라는 비판의 목소리가 나온다.
한국차세대컴퓨팅학회 회장을 맡고 있는 단국대학교 나연묵 컴퓨터공학과 교수는 “최근 카카오는 카카오뱅크를 구축할 때 퍼블릭 클라우드 형태의 인프라를 생각했지만 금융감독원에서 이를 거절, 카카오는 결국 큰 비용을 들이며 전통적인 전산실 형태의 프라이빗 인프라를 구축했다. 또, 최근 방화벽 등을 원격 접근하는 원격 보안 관제가 대세인데 기술의 발전을 법이 쫓아가지 못하고 있다”고 지적했다.
기업 및 기관들이 외부의 민간 클라우드 서비스를 이용하는 퍼블릭 클라우드가 널리 이용돼야 최근 대세인 ‘하이브리드 클라우드(퍼블릭+프라이빗)’가 자리잡을 수 있고 국내 클라우드 산업도 성장할 수 있다는 것이 업계의 중론이다.
그러나 망분리 의무화로 인해 정부통합전산센터의 G-클라우드, 서울시 상암 클라우드 데이터센터,부산산업단지를 포함한 총 6개의 국가산업단지 등에 조성되는 클라우드는 전부 프라이빗 형태일 수 밖에 없다.
김명호 한국MS 최고기술임원 상무는 “민간 퍼블릭 클라우드를 지구 오대양에 비교할 수 있다면 프라이빗 클라우드는 대형 수족관에 불과하다”며 “프라이빗 클라우드는 재난에 대한 대처가 쉽지 않고 만약 퍼블릭 클라우드에 보관할 정도로 기밀의 데이터라면 프라이빗 형태라고 위험하기는 마찬가지다”고 말했다.
■ 고객의 인식전환, 서비스업체의 보안력, 정부의 보안인증 정책 3박자 필요
미래창조과학부는 지난 7일 클라우드컴퓨팅서비스 정보보호에 관한 기준’(이하 ‘정보보호 고시’) 및 ‘클라우드컴퓨팅서비스 품질-성능에 관한 기준’을 고시, 공공기관을 대상으로 물리적 방분리를 권고하고 있다.
김명호 한국MS 상무는 “공공부문에서 물리적 망분리가 아닌 논리적 망분리를 하더라도 인터넷망에 접속되는 PC에 대한 제약이 심해 결국 클라우드 사용이 불가능하다”며 “논리적 망분리와 함께 인터넷 접속 시스템에 대한 제약이 완화되어야 의미 있는 클라우드 사용이 가능하다”고 설명했다.
이에 대해 미래부 관계자는 “공공기관을 대상으로 한 물리적인 망분리 의무화는 우리나라 뿐 아니라 미국, 영국 등 전 세계적인 현상이고 현재 상태로는 망분리 의무화 정책을 수정하는 것은 부담스러운 부분이라 단기적으로 풀 수 있는 문제가 아니다”며 “클라우드 업체들이 보안에 대한 기술력을 더 확실히 보여주는 동시에 민관의 지속적인 논의가 필요하다”고 전했다.
건국대학교 김두현 정보통신대학 교수는 “논리적 망분리를 통해서도 외부의 퍼블릭 클라우드 서비를 받을 수는 있지만 금융기관 등 사업자들이 물리적 망분리를 요구하다 보니 의식개선이 필요하다”며 “이를 위해 정부기관에서 퍼블릭 클라우드에 대해 공신력 있는 보안 인증을 해준다면 클라우드 수요자들의 의식 개선을 하는데 도움이 될 것이다”고 말했다.
