정부기관에 클라우드 서비스를 판매하는 것은 매우 까다로운 프로세스를 의미한다. 비단 문서만이 아니다. 여기 미 연방정부의 클라우드 인증 프로세스 베터랑이 말하는 몇 가지 팁을 소개한다.

 

미 연방 정부는 매년 800억 달러의 IT 예산을 집행하고 있다. 여기서 클라우드 서비스 업체에 돌아가는 예산 비중이 증가하는 추세다.

때문에 크고 작은 클라우드 업체들이 미국의 최대 IT구매자와 계약을 맺기 위해 줄을 서 있는 실정이다.

게다가 클라우드에 대한 미 연방 정부의 시각과 태도가 바뀌고 있다. 페드램프(FedRAMP)의 이사 마리아 로트는 "과거에는 랙 등 내부 기반 기술만 고집했는데 이제는 '탄력적인 사용량에 기반을 둔 기술'을 옹호하는 사람들이 늘어나고 있다"고 밝혔다. 연방 인증 및 위험 관리 프로그램(Federal Risk and Authorization Management Program)의 약칭인 페드램프(FedRAMP)는 민간 업체의 클라우드 제품과 서비스를 평가하는 중앙 정부 산하 보안 인가 프로그램이다.

 

로트는 "이 프로그램을 통해 클라우드가 안전하다는 사실이 입증됐다. 변화가 시작되면서 문화와 인식이 바뀌고 있다"고 말했다.

그러나 업계 표현을 빌자면 정부를 상대로 하는 사업에는 턴키 방식이 적용되지 않는다. 또 여전히 상대적으로 생소한 프로세스 때문에 혼란이 초래되기도 한다. 최근 업계와 정부 관계자들이 워싱턴에 모여 페드램프 프로세스를 위한 베스트 프랙티스와 잘못 알려진 사실을 공개했다.

 

대 정부 사업을 제대로 이해하라
 기존의 B2B 업체 중에는 정부를 상대하는 사업에 어려움을 겪을 수 있는 회사가 있다. 정부의 평가 과정을 통과한 경험이 있는 리더들은 정부 사업에 새로 뛰어드는 회사들은 기대치를 적절히 정해야 한다고 강조했다. 협상이 불가능하거나 보증이 되지 않는 사항이 있다. 또 평가 과정에 많은 시간과 돈이 필요할 수 있다.

페드램프의 평가 과정을 통과한 클라우드 공급업체인 오토믹 리소스(Autonomic Resources)의 대표 겸 CEO인 존 키스는 평과 가정을 경시해서는 안 되며, 자원을 투자할 준비를 갖춰야 한다고 지적했다.

 

키스는 "프로세스를 바꿀 수 없다면 수용해야만 한다. 이는 간단한 '서류' 작성이 아니다"고 강조했다. 또 "경영진이 페드램프의 인가 프로세스를 적극적으로 지원해야 한다. 직원들은 정말 많은 시간을 투자해야 한다"고 덧붙였다.

키스는 "이는 계약 프로세스가 아니다. 따라서 누구도 이런 노고에 대해 대가를 지불하지 않는다. 다시 말해 정부가 이 과정을 밟는다고 대가를 지불하지 않는다. 인가를 받기 전까지 수익이 보장되지 않는다는 점을 명심하고 직원들을 배정해야 한다. '리얼리티 체크(reality check)'라 할 수 있다"고 말했다.

중앙 정부 vs. 특정 공공기관, 어느 쪽을 공략할 것인가
 정부 계약을 노리는 클라우드 업체가 가장 먼저 결정해야 할 사안 중 하나는 특정 공공기관을 대상으로 해당 기관이 지정한 인가 프로세스를 밟을지, 아니면 연방 정부 전체를 아우르는 서비스를 제공하는 프로세스를 밟을지 결정하는 것이다. 후자라면 국방부와 국토안보부, GSA(General Services Administration, 조달청)의 기술 전문가들로 구성된 JAB(Joint Authorization Board)로부터 더 엄격한 평가를 받아야 한다.

로트는 "JAB의 수용 및 위험 기준은 아주 높다. 위험 측면에서 보자면, 개별 기관들이 위험을 더 관대히 수용하는 경향이 있다"고 말했다.

 

JAB는 평가가 엄격하고, 그 과정도 몇 개월이나 소요된다. 그러나 여기에서 인정받은 회사들은 연방 정부 산하 기관들로부터 서비스가 안전하다는 사실을 즉시 인정받는다.

마이크로소프트의 연방 정부 부문을 담당하는 CTO인 수지 아담스는 "JAB의 심사를 통과하는 것은 '아무런 흔적이 없는 모래밭에 누구나 볼 수 있는 선을 하나 그린 것'과 같다"고 강조했다.

 

엄격한 조사에 대비
 페드램프의 평가자들은 아주 꼼꼼한 전문 평가자들이다. 페드램프 인증을 받고 싶은 업체들은 모든 부분을 사실대로 공개할 준비가 돼 있어야 한다. 더 많은 서류를 준비해야 하고, 정부 평가자들이 해당 기술을 더 샅샅이 살피도록 허가해 줘야 한다. 민간 부문 고객을 상대할 때와는 차이가 있는 것이다.

키스는 "투명하게 공개할 준비를 해야 한다. 많은 '눈'이 솔루션을 조사할 것이다. 투명성은 필수다"면서 JAB는 상대의 말을 순순히 받아들이는 그런 기관이 아니라고 덧붙였다.

 

주 정부와 외국 정부를 공략할 때도 도움될 페드램프
 모든 연방 정부 산하 기관들은 올 6월까지 클라우드 업체들이 페드램프의 기준을 준수하도록 해야 한다. 반드시 JAB 인증을 취득해야 한다는 의미는 아니다. 그러나 해당 기관이 페드램프를 기준으로 도입한 독자 기준은 준수해야 한다.

미국 정부만 페드램프 기준에 관심을 기울이고 있는 것이 아니다. 인증을 취득한 기업들은 주 정부 및 다른 국가 정부와 훨씬 쉽게 사업을 할 수 있을 전망이다. 클라우드 도입을 희망하지만 보안을 걱정하는 정부들이다.

아담은 "다른 국가 정부들도 페드램프 기준을 자세히 조사하고 있다. 페드램프 인증서를 받아들이겠다는 내용을 골자로 하는 RFP를 발표한 국가들이 등장하고 있다"고 말했다.

 

연방 정부 애플리케이션으로 제한을 두지 않는 페드램프
 아담스는 페드램프의 클라우드 인증을 받았다고 정부 데이터와 애플리케이션만 호스팅 할 수 있는 것은 아니라고 강조했다.

그는 "페드램프는 정부 소유 클라우드라고 규정하고 있지 않다. 또 정부 소유 클라우드의 사용자에 대한 법과 규정도 없다"고 말했다. 구글이 몇 년 전 연방, 주, 지방, 자치 정부의 클라우드에 관해 규정한 정의가 GSA의 조달 기준과도 크게 일치한다. (자치 정부는 카지노 등을 운영하는 인디언 자치 정부도 포함된다.)

여기에서 클라우드 사용 공동체란 클라우드와 클라우드 보안 관리에 관심이 있는 '테넌트(클라우드 사용자)로 구성된 공동체를 의미한다. 정부의 보안 기준 또한 군사 비밀 정보, 첩보 정보, 통상 일반에 공개되는 행정 기관의 정보에 이르기까지 데이터 및 정보 종류에 따라 다양하다.

 

아담스는 기관마다 상당히 미묘한 차이가 있지만, 클라우드에서 정부 및 비정부 데이터 또는 애플리케이션을 함께 보관하지 못하도록 포괄적으로 금지하는 금수(禁輸) 규정은 없다고 설명했다. 그는 "이는 페드램프 규정이 아니다. 이를 준수할 필요는 없다"고 말했다.