지난해 9월 클라우드발전법이 시행된 이후 정부기관이 운영하는 웹사이트나 각종 민원서비스 등에 대해서도 클라우드 서비스를 적극적으로 활용할 수 있는 길이 열릴 것으로 전망된다.
이를 위해 행정자치부, 미래창조과학부, 국가정보원, 한국인터넷진흥원(KISA)과 민간 전문가들이 머리를 맞대고, 관련 기준을 마련하는 작업에 들어갔다. 관련 기준이 마련되면 이전까지 행정적으로 명확한 기준이 없어서 도입을 꺼렸던 정부기관들이 보다 적극적으로 클라우드 서비스를 도입할 수 있게 될 것으로 예상된다.
큰 틀에서는 각종 전자정부서비스를 클라우드 서비스로 전환했을 때 효율성이 높은지를 따져보고, 정부가 관리하는 정보자산을 보안등급에 따라 나눠 중요도가 낮다고 판단되는 자산에 대해서는 민간 클라우드 서비스를 활용할 수 있도록 지침을 만든다는 것이다.
예를들어 각종 정부행사를 위한 웹사이트나 단순 정보공개용 웹사이트는 클라우드 사용을 허가하고, 민감한 개인정보나 기밀정보를 다루는 경우에는 내부망을 통해서만 관리되도록 한다는 계획이다.
구체적으로 행자부는 정보자원등급제, 정보보호등급제를 미래부, 국정원, KISA는 클라우드 보안인증제를 만드는 작업을 진행 중이다.
행정자치부 정보자원정책과 윤정태 사무관에 따르면 정보자원등급제는 정부가 관리하고 있는 정보자원을 중요도에 따라 분류해 어떤 자원을 클라우드 서비스로 전환했을 때 효과적인지를 판단하는 기준을 만드는 것이다. 다시 말해 클라우드 서비스를 활용해도 되는 것과 그렇지 않은 것을 분류하는 작업이다.
윤 사무관은 "정보자산을 클라우드 서비스를 활용했을 때와 기존 방식으로 썼을 때 보안은 물론 어떤 쪽이 비용절감 효과가 높은지에 대한 경제성까지 판단하기 위한 기준이 될 것"이라고 설명했다. 그는 현재 "민간 클라우드 사업자들과 공공기관 등으로부터 의견을 수렴하고 있다"고 밝혔다.
정보보호등급제는 정부기관이 운영하는 전자정부시스템 중 보안관점에서 어떤 쪽을 더 주의깊게 봐야하는지를 판단하기 위한 기준을 정하겠다는 것이다. 이전까지 주요 정보처리시스템과 상대적으로 보안적인 중요도가 낮은 웹사이트가 같은 보안수준으로 관리돼 왔다는 점을 개선하기 위해 민감한 정보를 처리하거나 해킹, 보안사고가 났을 때 국민들에게 더 많은 영향을 미칠 수 있는 시스템들에 대한 보안요건을 강화하겠다는 취지다. 행정자치부 정보기반보호정책과 김해숙 사무관은 "이르면 상반기 안에는 구체적인 기준이 마련될 것"이라고 말했다.
관련기사
- 대형 IT서비스 업계, 클라우드 대공세2016.01.13
- "클라우드 보안, CISO-CPO 겸직 바람직하지 않다"2016.01.13
- 공공 클라우드에 보안인증제 도입된다2016.01.13
- 클라우드법 시행 눈앞...보안은 어떻게?2016.01.13
미국의 경우 연방정보보안관리법(FISMA)에 따라 정부가 관리하는 정보자산을 상/중/하로분류하고, 중/하 등급에 대해서는 클라우드 서비스 활용을 허용하고 있다. 따라서 정보보호등급제가 마련되면 정보자원등급제와 맞물려 상대적으로 유출됐을 때 피해가 적은 등급에 대해 클라우드 서비스를 활용할 수 있도록 하는 방안이 나올 수 있을 것으로 전망된다.
민간 클라우드 사업자에 대한 보안성을 뒷받침하기 위해 미래부, 국정원, KISA는 한국판 'FedRAMP'라고 불리는 클라우드 보안인증제 도입을 추진 중이다. 국내 전자정부법 상 클라우드서비스를 사용하는 것과 같이 정보자산을 변경해야하는 경우 해당 기관이 반드시 국정원으로부터 보안성 검토를 받아야한다. 클라우드 보안인증제는 이러한 보안성 검토 과정에서 해당 사업자가 보안적으로 안전한지 여부를 판단할 수 있는 근거로 활용한다는 계획이다.