방통위, '클라우드 서비스 인증제' 발표 _ 효율적일까?

 방통위가 또 한건을 했습니다. 1월 13일 '클라우드 서비스 인증제'라는 것을 발표한 것인데요, 방통위가 직접 클라우드 서비스를 평가해서 보다 안정적이고 신뢰있는 클라우드 서비스 제공을 도우겠다는겁니다.

 이 '클라우드 서비스 인증제'가 무엇인지 알아봅시다.

---

방통위, '클라우드 서비스 인증제' 발표

 국내 소프트웨어 회사 뿐 아니라 포털, 통신사까지 뛰어들고 있는 클라우드 서비스. 2011년은 이 클라우드 서비스의 각축전이였습니다. 용량을 늘리고 무료에 더 편하다고 광고를 하는 등 이런저런 클라우드 서비스가 등장했죠. 이 클라우드 서비스에 대해 방통위는 2012년 '클라우드 서비스 인증제'를 도입한다고 밝혔습니다.

---

클라우드 서비스 인증제란?

<클라우드 서비스 인증 마크>

  클라우드 서비스 인증제란, 한국클라우드서비스협회 소속 인증위원회가 기준에 적합한 클라우드 서비스에 대하여 인증을 하고 '안전하고 신회할 수 있는 클라우드 서비스'로써 사용자가 안심하고 사용 할 수 있도록 평가하는 제도입니다.

 클라우드가 서비스 업체의 서버에 정보를 저장하고 열람하는 것에 대하여 '보안성과 안전성'이 우려가 되어지고, 이에 대하여 평가하여 이러한 우려를 잠식시킬 수 있는 대안책으로써 효과를 기대하고 있다고 방통위는 밝혔습니다.

 인증은 전체 105개 항목 중 필수항목 39개를 모두 충족해야하며, 전체 심사 항목에서 70% 이상의 점수를 획득하면 인증서가 발급이 되어집니다.

- 웹기반의 서비스
- 컴퓨팅 자원을 빌려서 사용하는 서비스
- 사용하는 만큼 이용료를 내는가
- 가상화를 활용한 신축적인 자원 분배가 이뤄지는 서비스

 방통위는 이 4가지 항목을 토대로 클라우드 서비스를 정의하고 있지만, 업체마다 다르기 때문에 개별적인 판별이 필요하다고 말하고 있습니다.

- 서비스 품질 평가
- 서비스 정보보호 평가
- 서비스 기반평가

 심사는 크게 위 3가지 분야로 진행되며, 클라우드 서비스만을 심사하기 때문에 e메일, 동영상 스트리밍 등의 항목은 제외됩니다.
 '가용성이 보장이 되어지는지', 'IT자원의 확장성을 가지고 신속하게 제공할 수 있는지', '데이터 손상 등에 대비를 얼마나 하고 있는지' 등의 7개 항목의 세부적인 사항을 충족해야만 인증을 받을 수 있습니다.

 클라우드 서비스 인증제는 2월 1일부터 온라인 접수가 가능합니다.

---

왜 필요한가?

 클라우드 서비스를 이용하면서 사용자는 항상 보안에 대하여 생각을 해야합니다. 업체의 서버가 해킹을 당했다던가 테러를 당했을 시에는 모든 데이터가 사라지기 때문에 거기에 대해 정보 관리를 지속적으로 해야하는 것이죠. 방통위는 이런 보안 우려에 대안책으로써 인증제를 시행합니다.

 그럴싸합니다. 정부가 제시한 가이드라인에 따라 민간단체인 한국클라우드서비스협회가 심사를 하여 적합한 서비스인지를 판별해 인증하고 안전하다고 표시된 클라우드 서비스를 안심하고 이용하면 된다는 굉장히 좋은 취지입니다. 이 좋은 취지를 망가뜨려봅시다. 구름이 그려진 마크를 달고 있다고 해서 해킹에서 자유롭고 테러에 안전할까요? 사용자가 그 마크만 보고 안심하고 사용할 수 있는 것이 가능한가요?


 미국 정부는 'FedRAMP(Federal Risk and Authorization Management Program)'라고 하는 클라우드 보안 인증 서비스를 시행하면서 발빠르게 클라우드의 보안인증 가이드 라인을 제시하였고, 이에 사용자가 안전하게 클라우드를 사용할 수 있는 기반을 다지고 있습니다.

 방통위는 미국의 사례를 들며 '클라우드 서비스 인증제'를 얘기하고 있습니다. 하지만 이것은 완전히 다른 얘기입니다. 미국의 'FedRAMP'은 심사단계를 거쳐 클라우드 서비스의 정의를 내리는 것이 아니라 보안 서비스입니다. 즉, 어떤 업체든, 대기업 뿐아니라 중소기업 아니면 쪽방의 벤처기업이라도 정부의 'FedRAMP'를 통해 보안 체계를 갖추고 자유로이 서비스 하는 것을 목적으로 두고 있습니다.

 그러나 클라우드 서비스 인증제는 그냥 심사해서 구름 마크를 주는 것이 끝입니다. 인증을 받는다는 부분은 'FedRAMP'와 같지만 그 인증이 실제로 클라우드 서비스를 운용하는데 있어서 어떠한 역활을 할지에 대해서 아무런 제시가 없습니다. 방통위는 이 인증제를 통해 '대기업 뿐 아니라 중소기업도 안전하다라고 인증을 받게되면 클라우드 서비스를 제공하는데 있어서 사용자가 안심하고 사용할 수 있기때문에 브랜드 파워가 부족하더라도 시장에 진입하는데 역활을 할 것'이라고 말하고 있습니다. 저 구름마크가 시장 진입을 하는데 있어 큰 역활을 한다는게 대체 무슨 소리입니까?

  진짜 구름스티커만 필요한가요?

---

지켜볼 필요가 있습니다

 필자는 이 인증제가 클라우드 산업에 있어서 큰 걸림돌이나 혹은 큰 공이 될 것이라고 생각하지 않습니다. 그냥 '왜 필요한가'에 대한 의문이 들게 할 뿐이지요.

 분명 보안이나 서비스 제공 상태를 심사하여 인증을 하면 사용자는 이렇든 저렇든 인증받은 서비스를 선호할 것입니다. 나중에 무슨 일이 생기건 일단은 심사라인을 통과한 질좋은 클라우드 서비스니까요. 물론 이 인증제도는 딱 여기까지입니다. 그렇기때문에 기업의 참여도를 얼마나 이끌 수 있을지 자칫 그것이 대기업만의 파티가 되진 않을지에 대해서는 계속적으로 지켜볼 필요가 있습니다.


 이 인증제가 정말 중소기업의 클라우드 서비스에 도움이 될 수도 있겠지만, 'FedRAMP'처럼 효율적이진 못 할 것입니다. 그리고 현재 웹하드 형식의 클라우드 방식이 아닌 앞으로 더 발전해갈 클라우드 서비스와 N스크린 등 차세대 기술들이 융합된 서비스들이 출현할 시에 심사 기준 등이 이를 발빠르게 따라가야하고 정부가 그런 기술들에 대해 빠른 습득이 필요할 것입니다.

 그렇지 않다면 정말 하느니만 못한 제도로 변질되거나 사라지겠지요.

 2월 1일부터 접수가 시작되는 '클라우드 서비스 인증제', 과연 득이 될 수 있는 제도일지 아니면 차세대 산업에 혹을 다는 걸림돌이 될 것인지는 인증이 시작되고 나서야 판단이 가능할 것입니다. 그러나 정부가 이런 심사적인 부분만이 아니라 인증의 기업 참여를 통한 혜택 등이 뒤따라 기업에 있어 득이 될 수 있는 제도가 되고 그것을 바탕으로 차세대 기술이 다양하게 성장할 수 있는 시너지를 만들어 내지 못한다면 형식적인 뼈대만 존재하는 실속없는 제도가 되리라 생각됩니다.

 진짜 필요한 것은 구름스티커만이 아니니까요.