[단독] 클라우드 공공 확산, 역할 커지는 국정원 "민관협력사업도 보안성검토"

"행정정보 안정성 확보 위해 필요…재원과는 무관"

국정원, 세부 보안대책 지원하기로 행안부와 협의

공공 클라우드컴퓨팅 보안 가이드라인 준용할 듯

국가·공공기관 클라우드 전환시 보안 우려는 감소

민간 클라우드 침범 걱정…보안성 검토 실무 부담도

[그래픽=임이슬 기자]

문재인 정부의 '한국판 뉴딜' 일환으로 추진되고 있는 공공부문 클라우드 전환·확산 정책에서 국가정보원의 역할이 더욱 커진다. 국정원은 오는 2025년까지 민간투자 기반으로 건립되는 '민·관 협력형 공공클라우드센터'에 국정원의 보안성 검토가 필요하다고 보고, 공공클라우드센터 지정 주체인 행정안전부와 관련 협의를 마친 것으로 확인됐다.

21일 국정원은 보안성 검토 대상에 민간투자 재원을 기반으로 건립되는 공공클라우드센터도 포함된다고 판단했음을 밝혔다. 그간 국정원은 '국가정보원법'과 '사이버안보 업무규정' 등에 따라, 국가재원을 투입하는 공공 정보화사업과 행안부 산하 국가정보자원관리원의 공공클라우드센터 등을 대상으로 보안성 검토를 시행해 왔다.

국정원 관계자는 "보안성 검토는 국가·공공기관의 행정정보를 사이버 공격으로부터 보호하기 위해 시행하는 것으로, 정보화 사업의 재원과는 무관하다"라며 "민·관 협력형 공공클라우드센터의 경우도 행정정보의 안정성 확보를 위해 기존 정보화사업과 동등한 수준의 보안성 검토가 필요하다"라고 설명했다.

국정원은 새로 도입된 민·관 협력형 공공클라우드센터 사업 모델이 갖춰야 할 세부 보안대책을 지원하기로 행안부와 협의했다. 따라서 향후 이 사업 모델로 각 지자체·공공기관 등과 공공클라우드센터 건립사업을 추진하는 민간 클라우드 사업자들은 해당 시설·운영환경 구축시 행안부·국정원 간 협의된 세부 보안대책을 충족해야 할 것으로 보인다.

민·관 협력형 공공클라우드센터의 보안대책은 국정원이 배포하는 '국가·공공기관 클라우드컴퓨팅 보안 가이드라인'을 준용할 전망이다. 이 문서는 내부·인터넷서비스 업무의 클라우드 혼용 금지, 중요 장비 이중화·백업체계 구축, 관리자·이용자 접근통제 강화, 저장·송수신되는 중요 자료 암호화, 클라우드에 대한 보안관제 수행 등을 권고하고 있다.

국정원이 보안성 검토를 맡으면 국가·공공기관이 민간기업의 클라우드로 전환함에 따라 우려되는 정보보안 우려를 줄일 수 있다. 이미 과학기술정보통신부 한국인터넷진흥원(KISA) 클라우드보안인증(CSAP)을 받은 민간기업들에게도, CSAP 인증만으로 진입할 수 없었던 유형의 국가 정보시스템 수요까지 클라우드 사업으로 공략할 기회가 생긴다는 점은 긍정적이다.

다만, 익명을 요구한 공공·민간 클라우드 업계 관계자는 "민간기업에는 공공부문의 민·관 협력 모델 수요가 자신들의 CSAP 클라우드 수요를 잠식하지 않겠느냐는 우려가 있다"라며 "또 민·관 협력 모델에서 국정원 보안성 검토에 대응하는 주체는 형식상 공공기관이지만, 실무적으로는 보안성 검토에 대응해야 하는 민간기업의 부담이 될 수 있다"라고 언급했다.

또다른 업계 관계자는 "모든 정보시스템의 보안을 심사하는 국정원의 보안성 검토가 부적합한 절차는 아니지만 로컬에 설치된 클라우드시스템과 퍼블릭클라우드 간의 연계가 고려되지 않은 '레거시시스템'의 기준이 적용될 가능성이 커, 이 기준에 대한 논의는 필요하다"라며 "CSAP 기준 신설·강화를 통해 (보안성 검토가) 이뤄지는 것이 타당하다"고 주장했다.

국정원이 공공부문의 클라우드 확산·전환을 어렵게 만든다고 단정할 수는 없다. 앞서 국정원은 공공부문의 '클라우드 기반 보안서비스' 도입 기준을 한시적으로 완화했다. CSAP를 받은 민간 클라우드 보안서비스에 대해, 오는 2024년 말까지 과기정통부 '공통평가기준(CC)인증'이나 국정원 '보안기능확인서' 등 사전인증을 면제해 공공시장의 문턱을 낮춘 것이다.

민·관 협력형 공공클라우드센터는 민간기업의 재원으로 건립·구축하되, 행정·공공기관이나 지방자치단체가 전용 클라우드 데이터센터처럼 활용할 수 있는 시설을 뜻한다. 행안부는 오는 2025년까지 모든 공공부문 정보시스템을 클라우드로 전환한다는 목표를 달성하기 위해 필요한 클라우드 데이터센터를 확충할 방안으로 올해 이 모델을 처음 도입했다.

올해 3월 NHN과 전남도·순천시가 발표한 '공공클라우드 데이터센터 및 스마트 정보기술산업 밸리 구축을 위한 업무협약'이 현재 유일하게 알려진 민·관 협력형 공공클라우드센터 추진사례다. 이 사례는 당시 행안부가 '내년부터 3년간 연 4000㎡ 규모의 공공클라우드센터 공간이 필요하다'고 보고, 하반기부터 이 모델을 확대할 방침을 세운 가운데 발표됐다.

행안부는 작년 10월 '행정·공공기관 정보자원 현황조사'와 작년 12월 기관의 중기계획 등을 반영해 중앙정부부처·지자체·공공기관의 정보시스템 가운데 1만2965개를 클라우드 전환 대상으로 선정했다. 이가운데 이미 클라우드센터로 입주된 시스템, 차세대 사업으로 전환이 계획된 시스템, 국가정보자원관리원 대구센터 이전계획에 포함된 시스템 등 2956개를 제외한 1만9개 정보시스템을 올해부터 5년간 클라우드로 전환·통합하기로 했다.

올해 초까지는 이 1만9개 정보시스템 가운데 23%(2289개)가 CSAP 인증 기반으로 운영되는 민간 클라우드에 통합되고, 나머지 77%(7720개)가 공공클라우드센터로 통합될 예정이었다. 행안부는 이 7720개 정보시스템을 수용하기 위해 2021~2025년 공공클라우드센터 17개를 지정한다는 방침을 세웠고, 특히 민간투자로 마련된 건물·설비를 즉각 활용하는 민·관 협력 모델을 통해 부족한 정보시스템 수용공간(5년간 1만7140㎡)의 추가 확보를 추진해 왔다.

이후 행안부는 당초 예상대비 국가정보자원관리원의 수용공간이 부족하지 않다고 판단, 공공클라우드센터 지정을 보류했다. 행안부 관계자는 "올해 초 희망하는 17개 기관을 대상으로 공공클라우드센터 지정을 검토한 것은 맞다"면서 "현재는 추가 지정을 보류한 상태"라고 밝혔다. 이어 "내년 개소하는 국가정보자원관리원 대구센터에 공공클라우드센터 이용대상 정보시스템을 우선 수용할 방침"이라며 "다음달 초 '공공부문 클라우드 전환·통합 계획'을 발표할 예정"이라고 설명했다.
 

국가정보자원관리원 대구센터 조감도. [사진=행정안전부 제공]