최근 포스트 코로나와 관련하여 '클라우드'가 많이 언급되고 있다. 코로나 사태 이후 '언택트 산업'이 주목 받으면서 클라우드가 선택이 아닌 필수로 자리 잡을 것으로 예상되고 있다. 언택트 산업 발전을 위해서는 클라우드와 관련한 규제가 좀 더 개선되어야 한다는 비판도 제기되고 있다. "산업 진흥법이라 쓰고 산업 규제법이라 읽는다"는 비판이 있을 정도로 우리나라에는 규제가 많은데, 클라우드 분야 역시 그 중 하나다. 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률("클라우드법")의 시행 이후 클라우드를 이용하려는 산업별로 규제 장벽을 해소하려는 움직임이 있었지만 여전히 규제가 많다고 생각하는 사람들이 있는 것 같다.
클라우드 관련 규제가 가장 많이 개선되고 있는 분야는 '공공부문'과 '금융부문'인 것 같다. 흥미로운 점은 클라우드법 시행 당시에는 두 부문의 규제 양상이 비슷했으나, 수 차례의 개정을 통해 지금은 두 부분이 완전히 다른 형태의 규제방식을 취하고 있다는 것이다. 이하에서는 공공부문에서의 규제 개선 연혁과 클라우드 이용 요건을 먼저 살펴보고, 이를 금융부문에서의 요건과 비교해 봄으로써, 어떤 방식의 규제가 더 적절한지 살펴보고자 한다.
1. 공공부문
클라우드법은, 정부는 공공기관이 업무를 위하여 민간 클라우드를 이용할 수 있도록 노력해야 하는 한다는 조항(제20조)을 규정하고 있다. 이에 따라 정부는 2016. 7. 공공기관이 민간 클라우드를 안전하고 효율적으로 이용할 수 있는 절차와 기준을 마련하기 위하여 「공공기관 민간 클라우드 이용 가이드라인」을 발표한 바 있다. 당시 가이드라인은 민간 클라우드를 이용할 수 있는 정보자원의 등급을 분류하면서 보안인증을 받을 것을 요구하고 있었다. 그런데 이러한 요건은 너무 엄격하다는 비판이 많았다. 실제로 2018년까지 공공기관의 민간 클라우드 이용률은 그리 높지 않았다. 이에 정부는 2018. 12. 공공부문에서 민간 클라우드 이용을 더욱 활성화시키기 위하여 정보자원 등급제를 폐지하고 가이드라인의 적용대상을 중앙부처 및 지자체까지 확대하여 「행정 · 공공기관 민간 클라우드 이용 가이드라인」을 새롭게 발표하였다. 그러나 이 가이드라인 역시 보안인증을 기본적인 요건으로 규정하고 있었다. 보안인증에 대한 비판이 계속하여 제기되자, 위 가이드라인은 2019. 11. 및 2019. 12. 두 차례 개정되어, 현재는 (1)학교에서 교육 목적으로 민간 클라우드를 이용하거나, (2)민간 클라우드 이용 협의회의 타당성을 거친 경우에는 보안인증을 받지 않은 민간 클라우드도 이용할 수 있게 되었다. 공공 부문에서 민간 클라우드를 이용하기 위해서는 「행정 · 공공기관 민간 클라우드 이용 가이드라인」을 준수하여야 한다. 2019년 11월과 12월 두 차례 개정된 이 가이드라인에 따르면, (1)학교에서 교육 목적으로 민간 클라우드를 이용하거나, (2)민간 클라우드 이용 협의회의 타당성을 거친 경우에는 보안인증을 받지 않은 민간 클라우드도 이용할 수 있게 되었다.
공공부문에서의 클라우드 이용 요건
공공부문에서의 클라우드 이용 요건의 핵심은 민간 클라우드 사업자들이 한국인터넷진흥원으로부터 보안인증을 받아야 한다는 점이다. 가이드라인이 여러 차례 개정되었지만 보안인증을 받아야 한다는 요건은 과거나 지금이나 크게 변한 것이 없다. 가이드라인은 행정기관 및 공공기관에 적용되는 내부적인 사무준칙에 불과하지만, 실제로는 민간 클라우드 사업자에 대한 입찰 요건(즉, 보안인증을 받아야만 공공부문 입찰에 참가할 수 있음)과 같은 규제로 작용하고 있다.
보안인증은 공공부문에서 민간 클라우드 도입에 대한 장애 요소로 작용하고 있다는 비판이 많다. 보안인증을 받기 위해서는 물리적 망분리, 물리적 위치(국내), CC인증, 검증필 암호화 사용이라는 기준을 반드시 충족해야 하는데 이중 하나라도 충족하지 못하면 보안인증을 받을 수 없기 때문이다.
보안인증 취득 업체 19곳 불과
이런 이유로 2020. 5. 현재 보안인증을 취득한 업체가 총 19곳(IaaS 10개, 표준등급 SaaS 6개 서비스, 간편등급 SaaS 5개 서비스)에 불과하다. 특히 물리적 망분리나 물리적 위치 요건은 공공기관만을 위한 프라이빗 클라우드를 구축할 것을 요구하는 것과 다를 바가 없고, 이로 인해 클라우드의 가장 큰 장점인 정보통신자원의 신축적인 이용이 제한된다는 비판이 있다.
보안인증을 받더라도 공공부문에서 민간 클라우드를 이용할 수 있는 시스템은 제한적이다. (1)중앙부처 및 지자체의 내부 업무시스템, (2)국방, 통일, 외교 등 국가 안보나 국가 중대 이익에 관련된 정보를 처리하는 시스템 및 (3)수사와 재판에 관련한 정보를 처리하는 시스템에서는 민간 클라우드 이용이 금지되어 있다.
'민간 클라우드 이용 협의회'의 타당성 검토를 거친 경우에는 예외적으로 보안인증을 받지 않은 민간 클라우드를 이용할 수 있다. 그러나 위 협의회의 운영 및 타당성 검토에 관한 세부 절차나 기준이 마련되어 있지 않아 아직까지 민간 클라우드 이용 협의회가 개최된 사례는 없다.
마지막으로 민간 클라우드를 도입하려는 공공기관은 반드시 국가정보원으로부터 보안성 검토를 받아야 한다. 공공기관에서는 보안성 검토에 대한 부담 때문에 민간 클라우드 도입을 꺼려하는 것으로 알려져 있다.
미국 무역대표부(USTR)가 매년 무역장벽 보고서에서 한국이 보안인증과 보안성 검토를 통해 미국 클라우드 서비스 제공자들의 시장 접근 기회를 크게 제한하고 있다고 비판하고 있을 정도이니, 공공부문에서의 클라우드 이용요건이 얼마나 엄격한 지 알 수 있다.
2. 금융부문
클라우드법 제정 당시 「금융회사의 정보처리 업무 위탁에 관한 규정」은 전산설비의 국외 위탁을 제한하고 있어 클라우드의 활용이 어렵다는 비판이 있었다. 그 후 2015. 7. 제3자에게 정보 처리를 위탁하는 것이 허용되었지만, 「전자금융감독규정」상 전산실의 물리적 위치 제한, 물리적 망 분리 등의 요건 때문에 금융기관이 클라우드를 이용하는 데에 여전히 제한이 있었다. 2016. 10. 5. 「전자금융감독규정」이 개정되어 비중요 정보처리시스템(전자금융거래의 안정성 및 신뢰성에 미치는 영향이 현저히 낮은 정보처리시스템)의 경우에는 전산실의 물리적 위치 요건과 물리적 망 분리 등의 요건이 적용되지 않게 되었지만, 개인신용정보 및 고유식별정보를 처리하는 시스템에 대해서는 여전히 제약이 있었다. 금융위원회는 2019. 1. 1. 「전자금융감독규정」을 다시 개정하여 금융회사가 원칙적으로 국내외 민간 클라우드를 자율적으로 활용할 수 있도록 하였다. 이에 따라 금융보안원은 민간 클라우드 이용 시 요구되는 세부절차를 안내하기 위하여 '금융분야 클라우드컴퓨팅서비스 이용 가이드'를 개정 · 배포하였다.
무엇보다 금융부문의 주요 특징은, 금융기관이 자체적으로 정보처리시스템의 중요도를 평가하고 클라우드서비스 제공자의 안정성을 평가할 수 있도록 한 것이다. 즉, 클라우드를 이용하려고 하는 수요기관이 자신의 독자적인 판단에 따라 자신의 책임 하에 민간 클라우드를 도입할 수 있게 된 것이다. 이 점은 정부기관으로부터 획일적으로 보안인증을 받도록 요구하고 있는 공공부문과 근본적으로 다른 부분이다. 보안인증이 클라우드 도입의 장애 요소라는 비판이 있는 만큼, 공공부문에 마련된 민간 클라우드 이용 협의회 제도는 금융부문의 자체 안정성 평가 제도와 유사한 형식으로 운영될 필요가 있다고 생각한다.
금융기관은 자체적으로 안정성 평가를 거친 경우에는 물리적 망분리 요건도 적용되지 않는다. 금융위원회는 이 요건으로 인해 민간 클라우드의 이용이 제한되어 결과적으로 금융회사의 비용절감, 생산성 제고, 신사업 개발 촉진에 장애가 되고 있다고 보고 이 요건을 완전히 폐지한 것이다.
자체 평가 거치면 물리적 망분리 불필요
그러나 공공부문에서는 물리적 망분리 요건이 예외 없이 요구되고 있다. 보안을 중시하는 공공부문의 특성상 어쩔 수 없지만, 보안이 중요하지 않은 모든 시스템에 대해서까지 획일적으로 물리적 망분리를 요구하고 있는 것은 조금 과한 규제라는 생각도 든다.
금융기관은 개인신용정보나 고유식별정보 등 가장 민감한 정보를 처리하는 시스템의 경우에도 민간 클라우드를 이용하는 것이 가능하다. 이로 인하여 금융부문에서 AI, 빅데이터 등을 활용한 혁신적인 서비스가 이루어질 수 있을 것으로 기대된다. 그러나 공공부문은 민간 클라우드를 이용할 수 있는 시스템이 제한되어 있다.
각 부문의 특성을 고려해 보면 공공부문의 방식과 금융부문의 방식 중 어떤 것이 더 적절하다고 말하는 것이 적절하지 않을 수 있으나, 향후 각 산업 분야에서 빅데이터, AI 등 첨단 기술이 더 널리 활용되어야 할 필요성을 고려해 보면 인증제도와 같은 사전 통제 방식보다는 일단은 클라우드를 자유롭게 이용할 수 있게 하는 금융부문의 방식이 보다 합리적이라는 생각이 든다.
안준규 변호사(김앤장 법률사무소, junkyu.ahn@kimchang.com)