클라우드 보안 가이드라인의 필요성이 점점 커지고 있다. 이르면 오는 6월 내 관련 보안 지침이 발표될 것으로 예상되고는 있지만 아직 확실치는 않다. 오는 9월 클라우드 법안이 시행되면 국내 중소 클라우드 기업들도 새로운 공공시장의 활로를 개척할 것으로 전망되고 있으나 공공기관에서 클라우드 도입을 우선 고려해도 막상 도입하기엔 보안 문제가 발목을 잡는다.

신뢰할 수 있는 서비스라는 인증 체계가 마련되고 실제 인증된 서비스 도입사례가 없다면 글로벌 기업들과의 경쟁에서 살아남기 힘들다는 지적도 나오고 있다.

공공기관들 사이에서도 클라우드 법 통과 이후 고무적인 상황이지만 한편으로는 의구심을 떨치지 못하는 분위기다. 예를 들어 한국과학기술연구원(KIST)같은 연구기관의 경우 국가 연구개발 사업이 많기 때문에 관련 보안 사항들이 다른 공공기관보다 많은 편이다. 이들 기관은 매년 국정원 연구보안평가를 받고 있다.

클라우드 도입을 우선 고려할 경우 사업성 통과가 되지 않을 가능성이 높아서 하고 싶어도 못하는 상황이 발생할 수도 있다.

실제로 KIST의 경우 지난 2013년 자체적인 파일 공유 시스템을 클라우드로 구축하는 사업을 추진한 바 있지만 당시에는 전혀 허용이 안되서 결국 클라우드 방식을 포기하고 일반적인 내부 시스템으로만 구축했다. 이같은 사례는 KIST 외에도 많은 연구기관에서 유사하게 고민되는 부분이다.

KIST 한 관계자는 "클라우드 법은 내부 IT 시스템이나 소프트웨어를 민간용으로 활용하는 것이 골자인데 자체 시스템도 내부에서 못쓰게 하는데 과연 민간용을 쓸 수 있겠느냐 하는 것이 고민스럽다"고 전했다.

민간용 클라우드 도입을 망설이게 되는 것은 보안에 대한 불안감 때문이다. 조속히 보안 가이드라인이 나와야 하는 것도 이같은 이유에서다. 안심하고 쓸 수 있다는 안정된 인증 체제가 마련되면 공공기관에서도 도입을 망설일 이유가 없다는 것이다.

기업입장에서도 공공기관 레퍼런스가 다양하게 구축되어야 대외적인 신뢰도를 확보할 수 있다. 아마존의 경우 미국 CIA 프라이빗 클라우드를 구축하면서 전세계 클라우드 기업들로부터 회자되기도 했다.

업계에서도 아마존이 다른 클라우드에 비해 더 신뢰를 받고 있는 것도 정보기관 레퍼런스를 구축했기 때문이라는 점에 이견을 달지 않는다.

국내 기업들 입장에서도 기술력과 보안에 자신이 있다 한들 체계적인 보안 인증을 받지 못하면 공공 시장에 진출하는 것도 한계가 있다.

국내는 한국클라우드산업협회(KACI) 주도로 클라우드 서비스 인증제도가 있긴 하지만 보안성보다는 서비스 성능과 품질을 검증 받기 위한 것이라 성격이 조금 다르다.

김철승 KT 클라우드 전략담당 상무는 "공공 클라우드를 민간으로 쓸 수 있는 인증과 정부가인증한 시범서비스들이 시장에 빨리 나와야 한다"며 "이것만 빨리 나와도 글로벌 기업들이 공공시장에 들어오더라도 국산 클라우드 서비스 제공자들이 공공에 많이 퍼져 있을 것"이라고 전했다.