정부, 이용지침 발표했지만 당사자 간 계약 중요성 강조…부처별 클라우드 이용 세부사항 확정 안돼
"금융권 고객정보의 범주가 막연하다."(국책은행 관계자)
"정보자원의 등급을 분류할 때 공공기관의 자율성이 떨어질 가능성이 높다."(클라우드산업협회 관계자)
지난 6일 한국지역정보개발원에서 열린 '공공기관의 클라우드 이용 가이드라인' 설명회에 참석한 업계 관계자들의 목소리다.
클라우드 진흥법 시행 후 첫번째 자리라 관심이 뜨거웠지만 추진하는 정부나 이용당사자인 공공기관 모두 조심스러운 모습이라 클라우드 환경이 안착되기까지 상당한 시일이 걸릴 것이란 전망이 나온다.
◇9월부터 클라우드 이용 가능…보안은 국정원 검토 필수=가이드라인에 따르면 민간 클라우드를 이용하고자 하는 공공기관은 정보자원 등급 작업을 필수적으로 해야 한다.
정보자원 등급은 △서비스 △데이터 △사고시 파급효과 등 항목별로 점수를 부여해 공공기관이 자율적으로 책정한다. 정보중요도가 가장 큰 1등급을 제외한 2, 3등급은 민간 클라우드 이용이 가능하고 2등급은 정책협의체 검토를 거쳐 이용 여부를 판단해야 한다.
행자부, 미래부, 기재부, 조달청, 국정원으로 구성된 정책협의체는 민간 클라우드 이용이 적합한지에 대해 의견을 건네는 비상설 기구로 정책이 안정화되면 해체된다.
윤정태 행자부 사무관은 "공공기관이 검토해서 문제가 없으면 정책협의체에 결과를 통보하거나 자체 판단이 어렵다면 검토를 요청하는 형식"이라고 설명했다.
다만, 정보등급 분류 후에는 국정원의 보안성 검토를 거친다. 국정원은 이달 중순 전 보안 관련 가이드라인을 배포할 예정이다.
◇개인정보 유출 땐 책임문제, 부처 간 세부사항도 조율 안 돼=가이드라인이 확정됐지만 공공기관 입장에서 고민스러운 점이 한두 가지가 아니다. 클라우드 이용의 기본이 되는 정보자원 등급 분류 과정에서부터 난항이 예상된다.
추후 사고가 발생할 경우에 대비해 정책협의체에 의존할 가능성이 높다는 지적이 나온다. 김영훈 한국클라우드산업협회 부회장은 "공공기관의 속성상 어떻게든 명분을 만들어 2등급으로 분류하고, 정책협의체의 판단을 기다릴 가능성이 높다"며 "정책협의체에 업무가 몰리고 검토 기간이 늘어지는 부작용이 나타날 수 있다"고 지적했다.
독자들의 PICK!
개인정보 유출에 대한 우려도 고민스러운 대목이다. 행자부는 실제 사고가 발생했을 경우 1차 책임은 공공기관이 지고 클라우드업체에 기관이 2차 책임을 물을 수 있다고 설명했다.
윤 사무관은 "개인정보 유출 문제는 기관 자체적으로 데이터를 운영한다고 해도 발생할 수 있는 문제지만, 민간 클라우드를 이용하면 대응방식이 달라진다는 것을 유념해야 한다"고 밝혔다.
정부도 기관의 궁금증을 속 시원하게 해소해줄 수 없는 상황이다. 금융, 교육, 의료 등 클라우드 이용과 관련한 세부 지침을 논의하고 있는 부처들이 한둘이 아니다. 민간 클라우드 사업자로 참여할 수 있는 보안 인증제를 신청한 사업자가 KT 한 곳인 것도 부담이다.
이에 대해 미래부 관계자는 "현재 본신청을 진행 중인 한 곳 외에 두 곳 정도가 보안 인증절차를 논의하고 있다"며 "중견·중소, 외국계 기업에서도 의사를 타진하고 있다"고 밝혔다.