국내에서도 클라우드를 활용하는 기업이 늘어가는 상황에서 보안 문제가 불거지고 있다.
한국인터넷기업협회와 오픈넷은 지난달 30일 ‘금융 클라우드 규제 완화와 디지털 정책 전망’이라는 주제로 토론회를 열었다. 이날 최민식 상명대 교수는 “중요 정보에 대한 안전장치가 미흡하다”며 “정보 유출 시 외국계 기업에 대한 제재 방안이 없어 금융당국의 조사와 감독권을 강화해야 한다”고 주장했다.
이는 내년 1월부터 시행되는 개정 ‘전자금융감독규정’ 관련 해외 클라우드 사업자에 대한 정부 규제 집행력 강화를 요구하는 것이다. 금융위원회가 지난 9월 입법 예고한 해당 규정은 금융기관과 공공부문 클라우드 활용 범위를 기존 비중요정보에서 개인신용정보와 고유식별정보까지 확대 적용한다는 내용을 담고 있다.
전 세계적으로 기업에서의 클라우드 활용이 대세가 된 만큼 도입하는 것에 대한 이견은 크게 없었다. 다만 일각에서는 관리시스템을 명시하지 않는 등 규정에 허점이 있다는 의견이 나온다. 백두현 KT 클라우드 팀장은 해당 토론회에서 “글로벌 사업자들이 국내에 데이터 센터를 설치하더라도 실질적인 운영 관리는 해외서버에서 한다”면서 “정부가 국내법을 통해 관리감독 권한을 행사하는 것이 사실상 불가능하다”고 지적했다.
현재 국내 클라우드 시장은 아마존웹서비스(AWS), 마이크로소프트(MS) 등 외국계 기업이 장악하고 있다. 이들은 한국 금융 분야에도 이미 진출했거나, 사업 확대 예정이다. 이러한 상황에서 금융 정보 등이 유출된다면 해외 사업자에 대한 행정권 및 사법권 행사에 제한이 있어, 실태조사와 구제조치가 어려울 수 있다.
실제로 지난달 22일 세계 1위 클라우드 업체인 AWS가 서비스 장애를 일으켜, 주요 사이트가 먹통이 되는 등 관련 기업들이 피해를 입었다. 당시 AWS 서울 리전(지역 데이터센터)에서 발생한 내부 DNS(도메인 네임 시스템) 설정 오류로 쿠팡, 야놀자, 업비트 등 다양한 분야의 업체들이 서비스 운영에 차질을 빚은 것이다.
그러나 AWS 측은 이용고객인 이들 기업에게 제대로 고지하지 않아, 논란을 일으키기도 했다. 클라우드법에 따르면 클라우드 사업자는 사고발생 시 지체 없이 해당 사실을 이용자에게 고지해야 한다. 서비스 중단이 연속해서 10분을 넘기거나 하루 동안 2회 이상 문제가 생길 경우에도 통지할 의무가 있다. 과학기술정보통신부는 이에 대해 현장 조사를 실시할 방침이다.
지난달 21일 닉 호킨스 아카마이 아시아 태평양·일본 엔터프라이즈 제품 담당 수석 디렉터는 “변해가는 컴퓨팅 환경에서 제로트러스트 모델을 바탕으로 한 보안 솔루션으로 보안 시장 변화에 맞춰 상품을 강화해야 한다”고 설명했다. 호킨스 수석 디렉터에 따르면 지난 2월 클라우드 시스템 해킹을 노린 디도스(DDoS) 공격이 발생하기도 했다.
이로 인해 클라우드 보안의 중요성이 강조됐다. 가트너 조사에 따르면 한국에서 발생하는 보안 관련 지출액은 올해 2조원으로 지난해보다 4% 증가했다. 내년이면 2조2000억원으로 늘어날 전망이다. 그만큼 보안에 대한 관심이 늘어나고 있다는 이야기다.
향후 금융권은 물론 게임, 유통 등 여러 분야에서 클라우드가 순차적으로 도입될 예정이거나 이미 활용되고 있다. 클라우드 보안 문제에 대한 대책이 시급한 시점이다.
김도현 기자 dobest@kukinews.com