아마존의 클라우드 서비스가 마침내 미 연방정부의 높은 문턱을 넘었다. 미 정부 및 공공기관이 민간 클라우드 서비스를 이용할 시기가 눈앞에 왔다. 반면 우리나라는 국가정보원의 반대로 비용이 싼 민간 클라우드 서비스 이용이 막혀 있다.

워싱턴포스트는 아마존의 클라우드 서비스 아마존웹서비스(AWS)가 미 연방정부의 클라우드 보안인증 프로그램 `페드람프(FedRAMP)`를 통과했다고 22일 보도했다.

 

보안과 안정성 우려로 클라우드 도입을 주저하던 미 정부와 공공기관은 인증 범위 내에서 세계 최대 퍼블릭 클라우드 서비스인 AWS를 마음껏 사용할 수 있게 됐다. IT 자원과 비용을 절감하고 신속한 대민 서비스가 가능해질 전망이다.

아마존이 인증을 받은 분야는 정부 기관 특화 클라우드 서비스인 `거브클라우드(GovCloud)`와 미국 내 동서부 지역 클라우드 인프라를 아우른다. 이 영역 내에서 공공기관은 아마존 EC2 컴퓨트 클라우드, 스토리지 저장 서비스, 가상 사설 클라우드(VPC)를 도입할 수 있다.

 

미 정부는 2년 전 처음 페드람프 프로그램 인증제를 고안해 지난해부터 본격적으로 시행했다. 페드람프는 보안 평가와 승인, 클라우드 제품과 서비스 모니터링 절차를 표준화했다. 아마존뿐만 아니라 70여 클라우드 업체가 페드람프 인증 프로그램에 참여 중이다.

미 정부는 `클라우드 퍼스트`를 기치로 공공 분야 클라우드 확산을 강력하게 추진해왔다. 보건복지부(HHS)를 비롯한 몇몇 기관이 퍼블릭 클라우드를 도입했지만 확산은 더디다. 보안 우려가 생각보다 컸기 때문이다. AWS의 인증 획득은 공공 분야 클라우드 컴퓨팅259 확산의 전환점이다.

 

스테판 슈미트 AWS 최고보안책임자(CISO221)는 “오랜 기간 공을 들여 마침내 연방 정부의 인증을 받는 데 성공했다”며 “AWS 클라우드 서비스가 정부와 공공기관 IT 예산을 대폭 줄여줄 것”이라고 전했다.

우리나라는 보안 우려 때문에 공공 클라우드 서비스가 막혀 있다. 국정원은 지난해 초 보안 문제를 들어 민간 기업의 퍼블릭 클라우드 서비스를 사용하지 못하도록 지시했다. 당시 방송통신위원회70와 지식경제부가 보안 대책 마련을 논의했지만 뚜렷한 성과가 없는 상태다. 보안 대책 없이 클라우드 컴퓨팅 확산은 요원하다.

정부는 s클라우드 컴퓨팅 확산을 위해 보안 인증제를 마련한다는 입장이다. 관련 부처와 지속적으로 논의를 진행 중이다. 미래창조과학부는 국정원과 논의해 이르면 오는 8월 발의되는 `클라우드 컴퓨팅 발전법`에 보안 우려를 잠재울 수 있는 조항을 담을 계획이다.

 

한국과 미국 클라우드 보안 인증 프로그램 현황