[보안칼럼]보안없이 구축되는 공공분야 클라우드 네이티브, 어떻게 봐야 하나

지윤석 중앙대학교 융합보안대학원 교수

정부는 '국가 사이버안보 대응역량 강화'를 국정과제 중 하나로 선정하고 이행에 주력하고 있다. 사이버안보가 별개의 독립된 국정과제로 선정된 경우는 대한민국 정부 출범 이후 최초의 사안으로 환영해야 할 일이다.

지난해 정부는 올해부터 신규로 구축되거나 기존 시스템 업그레이드 시 민간 클라우드와 클라우드 네이티브 우선 적용을 검토해야 하고, 2026년부터는 신규 전환 물량의 70% 이상을, 2030년까지 대다수의 시스템을 클라우드 네이티브로 구축한다는 계획을 발표했다.

국가정보원도 국제 및 국가 배후 해킹조직에 의한 사이버위협으로부터 대응역량 강화를 위해 올해 1월 '국가 클라우드 컴퓨팅 보안 가이드라인'을 발표하고 클라우드로 구축되는 모든 사업에 가이드라인을 반드시 준수하라고 명시했다.

그러나, 가장 큰 문제는 최근까지 구축됐거나 진행 중인 공공 분야 클라우드 사업에 가이드라인을 제대로 준수한 사례를 찾아보기 힘들다는 점이다. 아직까지 국내 클라우드에서 북한 등 해킹조직에 의한 대형 보안사고가 언론 등에 발표된 바가 없어 천만다행이지만 설정 오류 등으로 인한 사건·사고가 발생했을 가능성은 배제할 수 없다.

더욱이, 예산 부족과 사업담당자의 보안 인식 미흡 등으로 공공분야 클라우드 구축 사업에 보안 솔루션을 적용하지 않는다면, 그동안 정부의 클라우드 전환 로드맵을 믿고 5년 이상 사업자금 부족 등 어려운 상황에서도 클라우드 보안기술 연구와 개발 인력 확보를 위해 성실히 준비해 온 국내 클라우드 보안업체는 고사할 수밖에 없을 것이다.

국내 정보기술(IT) 보안은 망분리라는 특수한 보안 환경과 정책 특성으로 인해 외산 보안 솔루션만으로 대응하기는 어렵다. 그래서 국산 보안 솔루션이 국가 IT 경쟁력 강화를 위해서 반드시 존속해야 하는 필수 요건이다. 그럼에도 클라우드 구축 시 보안을 간과한 채 사업이 계속 추진된다면 국내 보안업체는 더 이상 버티지 못하고 사라질 것이며, 막강한 자본력과 보안기술로 무장한 해외 클라우드 보안 솔루션에 기술이 종속되는 암울한 상황을 맞이할 것이다.

해외 보안 솔루션은 국내 보안정책과 환경에 적합하지 않을뿐더러 가격도 국산 솔루션 보다 2~3배 이상 고가여서 결국 지금보다 훨씬 많은 예산을 지출하게 된다. 국민 혈세 낭비는 물론 불편함을 감수하면서 어쩔 수 없이 도입해야 할 것이다.

정부의 클라우드 네이티브 전환은 세계 추세에도 걸맞은 최선의 정책임에 틀림이 없다. 다만, 보안을 전제했을 때 그렇다는 애기다. 더 늦기 전에 정부가 추진하고 있는 안전한 '디지털 플랫폼 정부'의 성공을 위해 몇 가지 제언을 하고자 한다.

우선, 지금까지 클라우드로 구축된 시스템 중 100억 이상의 대형시스템에 대해선 전수조사를 실시하고, 보안 기능이 전혀 없거나 미흡한 시스템은 보안 솔루션을 갖추도록 해야 한다.

그리고, 인공지능(AI) 기반의 '보안성 검토 플랫폼' 개발을 제안한다. 외교·안보·국방 등 중요기관을 제외하고 각 기관에서 책임지고 보안성 검토를 수행한다면 업무의 효율성과 일관성을 유지할 수 있을 것으로 기대된다.

또 보안규정, 지침 등에 맞춰 제대로 구축했는지 사후 감독을 강화할 필요가 있다. 이는 매년 실시하는 '정보보안 관리실태 평가관리 평가' 시 항목을 추가해 점검하거나 보안 관련 협회 등 별도의 조직을 선정해 수행하면 될 것이다.

마지막으로 예산부처는 보안 예산 확보가 너무 힘들다는 기관 담당자의 하소연을 귀담아들어야 한다. 지난 10일 정보보호의 날 행사에서 대통령이 언급한 '사이버보안은 글로벌 경쟁력 핵심'이라고 워딩을 강조하고 싶다.

지윤석 중앙대학교 융합보안대학원 교수 jamesjee@cau.ac.kr