올해부터 정부가 적극 추진하는 ‘정부3.0 클라우드 종합계획 수립사업’을 놓고 우려의 목소리가 나오고 있다. 클라우드의 고질적인 문제점인 정보유출, 재해복구 등의 보안문제를 해결하지 않은 채 구축했다가는 보안사고가 발생할 수 있다는 지적이다.

 

15일 여의도 전국경제인연합회관에서 열린 ‘전자정부 민관협력 포럼’에서 정수환 숭실대 교수<사진>는 “클라우드 기반 전자정부3.0을 구현하는데 외산을 사용할 수는 없는 일이다. 우리의 힘으로 제대로 된 클라우드 플랫폼을 구축한 뒤 그 위에 전자정부3.0을 올리는 방법을 찾아야 한다”고 강조했다.

안전행정부는 지난달 27일 ‘정부3.0 클라우드 종합계획 수립사업’을 시작했다. 이번 계획에 따라 중앙부처 공무원들의 개인PC에만 담겨 있던 자료가 범정부 클라우드 시스템을 통해 관리되고 다른 부서, 다른 부처의 지식과 정보들을 마치 도서관에서 책이나 논문을 검색하듯 손쉽게 찾아 활용할 수 있는 ‘범정부 지식행정 생태계’가 구현될 예정이다.

 

정 교수는 이번 클라우드 기반 정부3.0 사업에서 보안문제를 반드시 짚고 넘어가야 한다고 강조했다. 보안이 보장되지 않는 서비스는 순식간에 물거품이 될 수 있다는 지적도 빼놓지 않았다.

 

그는 “현재 클라우드 가상화 취약점, 정보위탁과 접근제어 취약으로 인한 데이터 유출, 오픈소스 취약점, 분산처리의 어려움 등 많은 문제점이 산재해 있으며 이를 뒷받침 할 정보보호 프레임워크의 부재도 걸림돌”이라며 “클라우드로 간다는 것은 기존의 시스템과는 전혀 다른 체계로 변한다는 것을 의미한다. 기존의 이론(메카니즘)으로 접근해서는 낭패를 보기 쉽다”고 말했다.

클라우드 기반 정부3.0은 여타의 서비스와 유사하게 가상화 인프라에 가상머신(VM)이 돌아가는 형태로 만들어지게 된다. 그 뜻은 하이퍼바이저(Hypervisor) 공격이나, 교차VM에 의한 피해가 발생할 수 있다는 의미다.

 

이와 관련 정 교수는 “클라우드상에서 근접한 VM에 접근해 데이터를 유출하는 등의 공격을 감안해야 한다. 보안을 위해 가상화된 운영체제 위에 백신을 설치할 경우에도 커널(Kernel)에서 움직이는 악성코드를 잡을 수 없다는 점도 고민할 부분”이라며 “이를 근본적으로 해결하기 위해서는 하이브리드 형태의 클라우드 인프라를 구축해 정보유출을 미연에 방지해야 할 것이며, 성능의 이슈가 있더라도 데이터 암호화를 적용하는 것이 필요하다”고 설명했다.

정부3.0이 오픈소스 기반으로 구축되는 것에 대한 문제점도 정 교수는 지적했다. 그는 “오픈소스 기반 구축시 라이선스에 따라 변경된 소스를 공개해야하는데 이 부분도 우려스러운 점”이라며 “특히 최근 하트블리드(Heartbleed)와 같이 오픈소스 코드 상 보안취약점이 발생할 수 있다는 고민도 해야할 것”이라고 말했다.

 

클라우드 기반 인프라에서는 정보의 집중과 단말 다양성에 대한 정보유출도 고민해야 한다. 단말 분실과 같은 문제 발생 시 막대한 정보가 유출될 가능성이 있기 때문이다.

이에 대해 정 교수는 “모바일 접속이나 원격접속과 같은 수요가 급증함에 따라 SSLVPN과 같은 보안솔루션을 반드시 도입해야 한다”며 “뿐만 아니라 애플리케이션을 통제할 수 있는 방화벽(차세대방화벽 등), 디도스 장비 등 레거시 보안솔루션도 구축해야 보다 안전한 정부3.0이 될 수 있다”고 강조했다.

정 교수는 무엇보다도 정부3.0이 성공적으로 안착하기 위해서는 발생 가능한 사안에 대한 법적 규제가 뒷받침 돼야 한다는 주장도 재차 강조했다.

그는 “현재 서비스 제공자를 위한 정보보호 프레임워크가 있으나 상세한 내용이 정립되지 않아 혼란스러움을 겪는 사업자가 많다”며 “기술적 관리적 프로세스에 대한 정립을 비롯해 거버넌스에 대한 고민도 함께 해주길 바란다”고 당부했다.