클라우드 도입
클라우드 보안 거버넌스 수립
엊그제 국가정보자원관리원 제3센터가 완공됐다. 대구에 준공되었는데, 이전 센터와 달리 처음부터 클라우드를 기반으로 우리나라 공공기관의 정보자산을 관리한다. 외부의 클라우드 서비스 제공자는 외산 서비스가 아니라, 삼성 SDS라고 들었다. 국내 SI 업체를 통해 클라우드뿐만 아니라 차세대 기술(블록체인, AI)까지 전자정부 구축을 향후 5년간 공공 정보화 사업으로 진행된다.
이번 사업을 통해 행안부는 ▲클라우드 기반의 플랫폼 통합관리 환경 구축 ▲다양한 오픈소스 기반의 PaaS 플랫폼을 지원하는 클라우드 엔진 구성 ▲AI/빅데이터 등 지능형 기술 서비스 및 다양한 오픈소스 및 상용 SW를 서비스 카탈로그를 통해 제공할 수 있는 클라우드 어시스트 구성 ▲사용자, 관리자 대상 관문 포털 기능 구축 및 표준 API 기반 연계 기능 구성 등이다.
클라우드 인프라 자원 서비스는 국가정보자원관리원의 2019년 제2차 범정부 정보자원 통합구축 HW1 사업의 지능형 클라우드 인프라 시범구축에서 구축되는 표준 IaaS(클라우드 인프라) 영역 위에 적용한다. 이는 향후 제3센터(대구센터)에 적용될 예정이다. 추후 민간 클라우드 서비스 연계 그림도 그렸다.
개발환경에는 최근 IT업계에서 도입이 급증하는 컨테이너 관리 기능을 구성한다. 쿠버네티스 계열 컨테이너 배포, 관리, 서비스 연결 및 제어 기능 구성은 물론 클라우드 파운드리 계열 애플리케이션 배포, 관리, 서비스 연결 및 제어 기능도 포함한다. 이를 위해 정부(과기부, 한국정보화진흥원) 주도로 2014년부터 개발된 오픈소스 클라우드 파운드리 기반 ‘파스-타(PaaS-TA)’를 적극 활용할 방침이라고 한다.
많은 기업이 비용 절약과 생산성 향상을 위해 클라우드를 활용하여 성공 사례를 만들고 있다. 클라우드는 업무 환경을 변화시키고 있고 클라우드 활용이 늦어질수록 기업과 공공기관은 가까운 미래에 외국 기업이나 다른 국가의 IT 속도를 따라갈 수 없게 될 것이다. 따라서 클라우드 활용 시 발생하는 보안 문제를 피하지 않고 극복해야 한다.
특히, 금융분야 및 공공분야의 경우 업무 영향도가 크기 때문에 법적 요건(compliance)을 충족해야만 한다. 클라우드 개인 정보와 관련해서는 공공기관, 비영리단체 등은 개인정보보호법이 적용되고, 일반 기업들이 제공하는 클라우드 서비스의 경우 정보통신망법이 적용된다.
컴플라이언스 요구사항 파악
클라우드 도입의 적합성을 검토할 때, 업무 관련 법적 요구 사항에 대한 검토는 가장 중요한 부분이다. 기본적으로 클라우드 서비스 관련 법규에 대한 검토가 필요하며, 업무 영역별로 추가적인 검토가 수행되어야 한다. 클라우드 컴퓨팅법에서는 클라우드의 활성화를 위한 법령과 함께 안전한 클라우드 서비스 제공을 위한 정보보호와 품질, 성능에 대한 기준을 제시하고 있다.
클라우드 컴퓨팅법 및 행정규칙 주요 내용발췌 및 참조
1) 삼성SDS가 수주한 전자정부 클라우드 플랫폼, 어떻게 구축될까 . (2019). http://www.ddaily.co.kr/m/m_article/?no=190092.
2) 황치하,양지언. (2021). 클라우드X보안 실무가이드 (pp. 85, 101). n.p.: 프리렉.
