국내외 정책 동향과 공공분야 도입 고려사항

I. 클라우드컴퓨팅 정책 동향

국내외 정책 동향

II. 공공분야 도입 고려사항

클라우드컴퓨팅 동향 시사점과 도입 고려사항
디지털플랫폼정부 실현을 위한 투자 방향 및 시사점

I. 클라우드컴퓨팅 정책 동향

1. 국내외 정책 동향

1-1. 해외 정책 동향

(1) 각국은 데이터경제의 주도권 확보를 위해 클라우드에 투자

최근 미국, 유럽 등 선도국은 그간의 클라우드 활성화 정책과 더불어 자국의 데이터 시장 보호 정책을 병행하는 움직임

국가	연도	정책명	주요내용
미국	‘13	Cloud First	– 정부기관의 클라우드 선제도입 명시(연간 5.3억달러 예산투입 및 7개 부처에 101개의 클라우드 서비스 도입) – 정부의 클라우드 전용 조달사이트 운영
미국	‘18	Cloud Smart Strategy	– 클라우드 확산에 장애가 되는 기존 보안규정 완화 – ‘21년 연방정부 IT예산 총 33억달러 중 19억달러를 클라우드에 투자
EU	‘16	European Cloud Initiative	– 기존 소프트웨어 연구인프라를 활용해 유럽 전 분야의 데이터를 저장공유재사용할 수 있는 클라우드 인프라 구축 계획 수립(‘20년까지 5년간 67억유로 투자)
EU	’20	European Strategy for Data	– 유럽을 단일 데이터 시장으로 만들기 위해 클라우드를 상호 연결하는 프로젝트 추진 – 클라우드 인프라 투자에 40억~60억유로 투자(~‘22), EU 클라우드 룰북 제작 및 EU클라우드 서비스마켓 출시
독일	‘19	GAIA-X	– 유럽의 클라우드기업을 활용한 클라우드 기반의 데이터 경제 생태계 구축 프로젝트 추진(클라우드간 연결 인터페이스, 데이터 표준화, 기술기준 제공 등)
영국	‘13	Cloud First Policy	– 공공IT인프라 구축 시에 클라우드 도입을 의무적으로 고려하는 ‘G-Cloud전략’ 수립 – 4천여개 기업으로부터 3만개 이상의 클라우드 서비스를 공공기관에 도입, 기관당 최대 50% 비용 절감
영국	‘17	Public Cloud First	– 민간 클라우드 우선도입을 위한 세부 가이드라인 마련
중국	‘18	클라우드 발전 3년 행동계획	– 기술력 강화, 산업발전, 응용촉진 등 클라우드 활성화 – 자동차, 철강 등 국가 핵심 제조업의 협회, 단체들과 클라우드기업간 협력 플랫폼 구축

[표 Ⅱ-2] 주요국의 클라우드 관련 정책
[출처] 4차산업혁명위원회(‘20.06)

(데이터 주권) 데이터 주권의 개념은 국가적 차원, 개인적 차원의 두 가지 의미를 내포
- (국가적 차원) 데이터의 수집‧저장·유통·활용 등에 있어 국가가 주권을 행사하여 규제하는 개념
- (개인적 차원) 정보 주체로서 개인이 자신과 관련한 데이터에 대한 결정권을 가지는 데이터 주권개념⇒ 두 개념 모두 국가안보를 고려하면서 자국 데이터산업을 보호·육성하고 민감 데이터의 해외유출을 방지하기 위한 규제 명분으로 활용* *국가가 타국가·기업·개인을 대상으로 행사하거나 개인정보의 이동권을 국가가 보장하는 형태로 행사
(주요 쟁점) 데이터 주권의 핵심적 쟁점은 데이터 및 개인정보의 이전·유통의 제한 여부와 데이터의 자국 내 서버 저장 강제화 등 데이터 현지화(data localization) 이슈로 귀결
- (중국) 중국 정부는 애플에 아이클라우드의 중국 내 서버 이전 및 암호화 해제를 위한 키를 요구
- (미국) 자국 빅테크들의 해외 클라우드컴퓨팅 서버에 저장된 통신내용, 트래픽데이터, 가입자 정보 등 데이터 열람권한을 미국의 사법당국이 갖을 수 있음. 특히 미국 Tech기업들은 CLOUD Act 법에 따라 미국 사법당국이 전세계 모든 사람의 모든 Data에 접근할 수 있도록 하는 기반을 제공하고 있어 미국 Tech기업들과 미국정부의 결합을 주의할 필요가 있음

◆ 한국은 세계 5위의 데이터 생산국이나, 국내 클라우드 시장의 약 51.4%는 아마존웹서비스(AWS), 마이크로소프트, 구글 등과 같은 해외기업이 장악
◆ 해외 클라우드 기업이라고 하더라도 데이터센터는 국내에 위치하고 접근권한 또한 철저하게 관리하여 임의적인 데이터 접근이 불가능하게 관리하고 있으나, 국가 간 분쟁 및 기술패권경쟁, 글로벌 인터넷망 분리 등 문제 발생에 대비하여 자국 클라우드 기업 육성은 필수적

◆ [참고] 미국의 클라우드 법정책에 대한 시사점 검토¹
1. (Cloud First Policy 준비기) 2013년 연방정부 클라우드컴퓨팅 전략을 발표하였으며, 이 전에 2009년 최소 연방정부 클라우드컴퓨팅 포털사이트를 개설하고, NIST는 클라우드컴퓨팅 보안관련 연구를 시작하였음. 또한 서비스총괄청의 FedRAMP(연방 위험/권한부여관리) 프로그램 검토 시작하여, 2011년 FedRAMP최종 프레임(안), ‘연방정부클라우드컴퓨팅 보안평가/승인’을 발표하고 발효함
   . 연방 CIO이사회의 보안평가인증보고서 발표
   . NIST의 클라우드컴퓨팅 정의 및 보안관련 가이드라인 개발
   . 클라우드컴퓨팅 채택확산기준 프로젝트2. (Cloud First Policy 이후 초기) 2010년대 초중반 연방정부 동향
   – 각 부처들이 클라우드 기반 확대 및 활용에 주력하였는데, 당시 연방정부 IT비용을 800억불에서 200억불로 낮추는 것을 목표로 프라이빗, 하이브리드 등 다양한 형태를 병행 추진함
   – 그러나 미국정부의 클라우드 사용비용은 계속 증가하였고, 2018년 조사된 바로는 전년대비 32%가 증가하였음
   – 초기 미국의 전략은 연방정부에서 기술적 비효율성을 없애는데 이러한 Cloud Computing 기술과 IT 능력을 활용하려는 것도 있었으나, 클라우드 표준 경쟁에서 미국 Tech Giants들로 하여금 우위를 견고히 하고자 정부가 신속히 채택하여 규모의 경제를 제공하려는 의도도 있었음3. (Cloud First Policy 이후 중기) 2018년 이후 연방정부 동향, 스마트 클라우드
   – 미국 행정부는 클라우드 중시 정책의 중간에 행정부에 대한 보안정책들을 정비
   – (‘14년 연방정보보안현대화법 제정) 사이버보안관리에 대한 연방정부 권한을 국토안보부에 집중시키는 시스템 채택하는 국가사이버보안통신통합센터(NCCIC)에서 사이버보안 위험/사고/분석/경고 정보를 다각적으로 공유하고자 함
   – (’15년 사이버보안정보공유법 제정) 개인정보의 자발적 공유와 민간 정보의 활용의 근거를 확보
    – (‘18년 Cloud Act. 법 제정) 2018년 3월 23일, 미국 의회는 합법적인 해외 데이터 활용의 명확화를 위한 법률(CLOUD법)을 통과시켜, 미국의 법 집행 기관에서 통신 서비스 공급자 보유 데이터를 요청할 수 있는 법적 프레임워크를 갱신4. (Tech Giants 들과 반독점법) 2021년 미국경쟁촉진행정명령 발표를 통해 소수 대기업이 IT분야, 플랫폼의 개인정보 수집, 중소기업 압박 등을 개선하는 것을 포함함
   – 겉으로는 Tech Giants 기업들에 규제를 하는 것을 보이나 현재까지 특별한 변화가 있지 않아서 지켜볼 필요가 있음◆ 미국 행정부의 CLOUD 도입 선진 사례의 정밀한 효과성 검토 필요
   – 미국행정부는 초기 IT비용을 낮추는 것을 목표로 클라우드 기반 확대 및 활용에 주력하였으나, 결과적으로 미국정부의 클라우드 사용비용은 계속 증가하였으며, 2018년에 전년대비 32% 증가
   – IT비용 절감을 위해 클라우드컴퓨팅을 도입하는 것은 효과성이 적거나 오히려 큰 부담으로 올 수 있다는 점을 고려해야 함을 의미함◆ 클라우드 보안 및 사이버보안 위험·사고·분석·경고에 대한 대비 필요
   – 행정공공기관에서 클라우드 플랫폼 사용시 자국민의 개인정보와 프라이버시 보호를 위하여 사이버보안관리에 특히 주의가 필요하며 사이버보안 위협에 적극적 대비와 투자가 필요
   – 행정공공기관에서 클라우드컴퓨팅 공급기업 클라우드 사용 시 데이터 주권 관련한 법률 및 위험성에 대한 충분한 검토와 엄격한 가이드라인이 요구됨◆ 미국의 CLOUD Act와 압도적인 미국 테크산업의 결합 주의 필요
   – CLOUD Act 법은 클라우드컴퓨팅법과 직결되는 법률은 아니나 CLOUD Act가 규유하려는 개인정보들이 주로 테크기업들의 서버에 존재함에 따라 클라우드컴퓨팅과 관련이 높음
   – 미국 Tech기업들은 CLOUD Act 법에 따라 미국 사법당국이 전세계 모든 사람의 모든 Data에 접근할 수 있도록 하는 기반을 제공하고 있음
   – 자국 빅테크들의 해외 클라우드컴퓨팅 서버에 저장된 통신내용, 트래픽데이터, 가입자 정보 등 데이터 열람 권한을 미국의 사법당국이 갖는다는 것을 의미함

1-2. 국내 정책 동향

(1) 클라우드컴퓨팅법 제정(’15.3)으로 산업육성 기반을 마련하고, 디지털플랫폼정부 추진으로 클라우드 활용 저변 확대

(클라우드컴퓨팅 발전법) 정부는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(’15.3)에서 클라우드 산업기반 조성, 이용 촉진, 이용자 보호를 명문화
- 매 3년마다 클라우드 발전 기본계획 수립, 이에 따른 시행계획을 매년 수립하도록 규정
- 1차 기본계획(’16’1)은 산업육성 기반 조성, 2차 기본계획(’1’21)은 산업· 사회 전반의 클라우드 활성화에 초점
(클라우드 산업 발전전략) ’20.6월에는 과학기술정보통신부를 중심으로 범부처 차원의「데이터 경제와 인공지능 시대를 대비한 클라우드 산업 발전전략」 수립
- 동 발전전략은 국가 클라우드 대전환과 클라우드 산업 생태계 강화를 핵심 목표로 하여, 공공부문의 클라우드 전면전환, 클라우드 서비스 확산 및 이용 기업 대상 지원 확대 등을 주요 정책과제로 추진
- 특히, 동 발전전략의 주요 과제들은 ’20.월 발표된 디지털뉴딜의 주요 내용 중 공공·민간 클라우드 전환·연계와도 연계 · 공공부문 업무 중 대국민 정보공개 등 IT 시스템의 효율적 활용이 우선시 되는 분야는 민간 클라우드센터로 이전, 보안이 중요한 공공행정 분야는 공공 클라우드센터로 이전
(민간 클라우드 우선 이용원칙) 행정안전부는 ‘행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시’ 제정(‘22.3.31.)을 통해 민간 클라우드 우선 이용정책을 제도화
- 본 고시의 내용은 공공 디지털 서비스 혁신 및 클라우드 산업 마중물 역할을 위해 민간 클라우드 우선 이용 원칙을 제시하고 있음
- 이를 위해 「전자정부법」에 행정·공공기관의 민간 클라우드 이용 근거를 마련하고(‘21.6.8.), 민간 클라우드 이용 기준과 안전성 확보에 필요한 제도를 정비하여 「행정·공공기관 민간 클라우드 이용 가이드라인」폐지 및 「행정기관 및 공공기관의 클라우드컴퓨팅서비스 이용 기준 및 안전성 확보 등에 관한 고시」를 제정함(‘22.3.31.)

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 image10.png입니다

[그림 Ⅱ-6] 민간 클라우드 이용 관련 기준 마련을 위한 고시 재개정 주요사항
[출처] 공공클라우드 지원센터(cpcp.or.kr)

(과학기술기본계획) ‘22.12월에 과학기술정보통신부에서는 제5차 과학기술기본계획(2023~2027)을 발표함
- 제5차 기본계획은 ｢과학기술기본법｣ 제7조에 따라 과학기술 발전에 관한 중‧장기 정책목표, 기본방향을 제시하는 최상위 계획으로 윤석열 정부의 과학기술 관련 국정과제 29개를 반영하였으며, 향후 5년 간 40여개 부·처·청·위원회와 함께 이행
- 제5차 기본계획에서는 향후 5년간의 중점 육성기술로 12대 국가전략기술*을 제시하고(제1차 국가과학기술자문회의 전원회의, ’22.11월), ‘임무중심 연구개발(R&D) 혁신체계’를 도입, 초격차 기술 확보를 목표로 정부와 민간의 역량을 결집할 예정
  * ①반도체·디스플레이, ②이차전지, ③첨단 모빌리티, ④차세대 원자력, ⑤첨단 바이오, ⑥우주항공·해양, ⑦수소, ⑧사이버보안, ⑨인공지능, ⑩차세대 통신, ⑪첨단로봇·제조, ⑫양자

그림입니다. 원본 그림의 이름: CLP00001f38000e.bmp 원본 그림의 크기: 가로 1410pixel, 세로 552pixel

[그림 Ⅱ-7] 기술군별 산업성숙도 및 우리 경쟁력
[출처] 제5차 과학기술기본계획(2023~2017), 2022.12

이중 클라우드컴퓨팅 기술은 ①반도체·디스플레이, ⑨인공지능 기술과 연계하여 산업 전반의 다양한 기업들이 디지털 전환을 통해 생산성 향상 및 기업 성장을 도모할 수 있도록 인프라구축/서비스확산 디지털플랫폼 활성화 등을 지원하는 기반기술로 활용
- (민관 공동 핵심기술 선정 및 육성 추진) 경제 사회 혁신의 근간이 되는 핵심 디지털 기술**을 선정 육성하고, 핵심 디지털 기술의 응용･활용 프로젝트* 확대 및 기술개발･표준 마련 노력 지속* (예시) AI, 지능형반도체, 메타버스기반기술, 5G･6G, 사이버보안, 양자 등
  ** 우주, 국방, 화학 등 AI 적용 시 파급력이 큰 분야와 생활, 문화예술, 교육 등 메타버스를 통해 첨단화･고도화가 가능한 산업분야를 대상으로 기술개발 및 실증
(디지털플랫폼 정부 추진전략) GovTech 기업성장 지원강화, 공공분야 민간 최신AI기술 적극활용, 신뢰/안심 디지털플랫폼정부 구현 등을 목표로 SaaS 전략육성 및 초거대 AI활용 서비스 등에서 클라우드컴퓨팅이 연관되어 있음
- 민간의 혁신 서비스를 도입시 정부시스템의 구축 절차를 간소화하고 민간 서비스형 SW 활용이 가능한 분야는 우선 활용할 수 있도록 지원하는 정책을 추진하여 2026년까지 10,000개의 서비스형 소프트웨어(SaaS) 기업을 육성하는 것을 목표로 함
- 초거대 AI 산업혁신 생태계 조성을 위해 초거대 AI개발에 필요한 양질의 텍스트 데이터를 대규모로 확충하고, 행정공공기관의 내부업무 및 대민서비스 등을 효율화하는 초거대 AI융용서비스를 개발 실증하는 것을 추진
- 특히 민간 기반의 클라우드 네이티브 전면전환 전략에서는 신규 시스템 구축 및 기존 시스템 고도화 시, 민간 클라우드 우선 적용 및 불가피한 사유가 없는 한 클라우드 네이티브 및 SaaS 적용 의무화(’24~)하고 있음
- 신뢰성과 개인정보 관련하여 마이데이터 정책, 가명정보 활용 및 개인정보 안심구역 등 안전한 개인정보 이용 활성화 정책, 국민의 개인정보를 안전하게 통제관리할 수 있는 체계와 함께 디지털플랫폼정부 안전을 보장하기 위한 보안체계 구축을 추진함

(2) 정부의 클라우드 정책 변화에 따라 공공클라우드 네이티브 전환 로드맵 수립 및 클라우드 보안인증제(CSAP) 개편

(공공클라우드 전략 변화) 그동안 행안부는 ‘행정공공기관 클라우드 전환통합 사업’에 따라 2026년까지 전체 공공기관에서 정보시스템 1만9개를 2026년까지 클라우드 환경으로 전환하는 계획을 추진하였으나 정부의 건전재정 방향으로의 변화에 따라 행안부 주도에서 각 부처 중심, 민간투자 유치로 방향이 선회함
- 클라우드 전환사업은 전환에 대한 컨설팅, 인프라 이용료, 전환 비용, 기관 클라우드 이용료 등을 고려할 때 막대한 예산이 소요되는 사업으로 2025년까지 약 8,740억*의 예산 계획을 수립하였음
  * 2021년 570억(집행: 509억), 2022년 2,999억(집행 1,786억), 2023년 1,753억, 2024년 1,239억, 2025년 2,179억
- 3차년도인 2023년에 계획되었던 1,753억 원의 예산이 342억 원으로 축소되면서 공공기관의 클라우드 전환·통합 사업이 불가능해짐에 따라 행안부는 계획을 수정하여 종전 완료 시점을 2025년에서 2030년으로 연기하였으며, 부처별 추진으로 변경
(공공클라우드 네이티브 전환 로드맵) 이에 정부는 2023년 5월 공공클라우드 네이티브 전환 로드맵을 수립하고 2030년까지 범정부 정보자원 등록 관리시스템에 등록된 모든 시스템의 클라우드 네이티브 전환을 추진 예정
- 기존 시스템을 클라우드 인프라로 옮기는 것만으로는 유연성, 민첩성 등 클라우드 효과를 보기 어려웠던 기존 공공클라우드 전환사업 한계극복을 위해 추진됨
- 신규 시스템 구축이나 기존 시스템 고도화 시에는 안전성, 비용 효율성 저하 등의 불가피한 사유가 없는 한 클라우드 네이티브 우선 적용을 원칙으로 하며, 2026년 이후에는 네이티브 적용률 70% 이상, SaaS적용률 40%를 목표로 하고 있음

그림입니다. 원본 그림의 이름: CLP000098b0b6d8.bmp 원본 그림의 크기: 가로 1269pixel, 세로 765pixel

[그림 Ⅱ-8] 공공클라우드 정책 변화

(클라우드 보안인증 등급제 완화) 과학기술정보통신부는 2023년 1월 민간기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증인 클라우드컴퓨팅 서비스 보안인증(CSAP²) 일부 개정안을 고시하고 시행함
- 고시 개정을 통해 기존 단일일증제에서 시스템 중요도에 따라 상중하 등급을 나눠 각기 다른 보안 규제를 적용하는 것이며, 특히 ‘하’ 등급은 물리적 망분리 이외에 논리적 망분리까지 허용하는 것으로 보안규제를 완화함

등급	대상	평가기준	시행 시기
상	민감정보를 포함하거나 행정 내부업무 운영 시스템	현행수준 보완강화	2023년 내
중	비공개 업무자료를 포함 또는 운영하는 시스템	현행수준 유지	2023년 내
하	개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템	현행수준 완화(논리적 망분리 허용)	1월 중

[표 Ⅱ-3] 클라우드 보안인증제(CSAP) 개편안

현재 국내 클라우드 사업자들은 해외 클라우드 업체에 비해 상대적으로 경쟁력이 부족한 이유로 해외 클라우드 사업자의 시장 진출*에 우려 중
* 그동안 해외 클라우드 사업자들은 국내 클라우드 보안인증이 까다로워 인증을 받는 경우가 적었으나 변경된 등급제의 하등급은 인증을 받게 됨
** 2025년까지 추진될 행정공공기관 정보시스템 클라우드 전환사업이 상대적으로 보안에 덜 민감한 업무인 ‘하’ 등급부터 시작될 것으로 예상함에 따라 해외 클라우드 기업과의 경쟁심화
또한 SaaS표준, SaaS간편 등 기존유형에 대해서도 상벌규정 등 불필요한 평가항목은 통폐합 및 삭제하고, 이용기관별 테이블 분리 기준을 완화하는 등 규제를 간소화

II. 공공분야 도입 고려사항

1. 클라우드컴퓨팅 동향 시사점과 도입 고려사항

1-1. 클라우드컴퓨팅 국내외 동향 시사점

(1) 클라우드컴퓨팅은 IT자원의 효율적 사용, 확장성과 유연성, 시장에 대한 빠른 대응 등의 효과성으로 시장 확대와 함께 시장에 요구에 맞춘 클라우드네이티브, AI클라우드 등의 기술로 발전하고 있음

(2) 이러한 클라우드컴퓨팅의 효과성으로 국내외 클라우드 시장이 급성장하고 있으며, 국내외 민간·정부에서는 클라우드 생태계의 주도권 확보 및 시장 확대 경쟁 심화

(세계) 19.6%성장 예상(7,246달러(‘24년)->1.1조(’27년))되며, SaaS, 클라우드네이티브, AI클라우드, 반도체 기술 중심, 초기 가격경쟁력을 통한 Lock-in전략 등 경쟁
(국내) 18.4%성장 예상(‘24년 46억달러)되며, 해외 클라우드 대비 미성숙 상태로 정부의 공공클라우드 정책에 힘입어 확대되는 중으로 SaaS 정책에 따라 SaaS 확대 중

(3) 클라우드컴퓨팅은 초기에 IT비용 절감을 위해 민간에서 도입을 시작하였으나, 이제는 거품이 걷히고 성숙기에 접어들어 초기부터 클라우드를 도입/활용해왔던 민간기업과 정부는 이제는 효율적인 활용과 위험요소에 대해 보수적인 정책을 시행

(클라우드 거품 이슈) 기업에서 IT비용 절감을 위해 클라우드 도입을 했으나 오히려 온프레미스보다 월별 지출이 더 많아지거나, 클라우드 확장에 따라 클라우드 낭비도 확대되고 있으며, 평균적으로 클라우드 지출의 30%를 낭비하는 것으로 조사됨³
* (클라우드 주요 낭비원인) 사용하지 않은 리소스, 컴퓨팅 리소스, 스토리지 서비스
** 기업 및 각국 정부의 경우 클라우드 비용이 매년 20% 이상 증가하여 지출 중으로 또 하나의 고정비의 비용부담으로 작용하고 있음
(민간 동향) 클라우드 비용 최적화를 위한 비용절감전략 수립, KPI 중심 운영관리 정책을 추진중이며, 클라우드 CSP벤더 종속성 탈피를 위한 멀티클라우드 전략, 데이터 보안 문제 등 위험요소 해결을 위한 클라우드 거버넌스 강화 등을 추진 중
(해외정부 동향) 전세계적인 데이터 패권경쟁 심화에 따라 각국의 데이터 주권에 대한 규제를 강화하고 있으며, 특히, 자국의 산업정보 보호를 위해 미국에 대해서는 미국Tech기업들과 미국정부의 결합을 주의할 필요가 있음

(4) 우리나라는 공공클라우드 확대 정책을 통해 공공부문의 민간클라우드 확대 적용 및 보안기준을 완화하는 등 민간과 해외의 보수적인 정책 시행과 상반*된 정책을 추진
* 이는 미국 대비 우리나라 클라우드 정책이 약 10년 정도 늦게 시작했기 때문으로 성숙 초기 단계의 자연스러운 현상이라고 볼 수 있음

(공공클라우드 네이티브 전환) 2030년까지 범정부 정보자원 등록관리시스템에 등록된 모든 정부시스템의 클라우드 네이티브 전환 추진*을 통해 2026년 이후 SaaS적용률 40%를 목표로 하고 있음
* ’23년 시범사업추진⟶‘24년 대상시스템 10%⟶‘26년 70%,⟶‘30년 100%
(민간클라우드 활용 확대) 클라우드 보안인증 등급제 완화를 통해 민간클라우드 및 해외클라우드 사업자의 공공시스템 진출이 가속화될 예정이며, 이는 큰 보안 위협임

(5) 우리나라 정부의 경우 미국 대비 클라우드 정책과 도입활용이 약 10년 정도 늦게 시작한 만큼 민간과 선진사례를 참고하여 시행착오를 최소화하는 것이 필요

1-2. 디지털플랫폼정부 클라우드컴퓨팅 활용 시 위험요소와 해결방안

(1) 클라우드컴퓨팅을 단순히 IT비용 절감을 위해 도입하는 것은 위험하며, 명확한 목적성에 기반하여 클라우드컴퓨팅 도입·활용 전략이 요구됨

민간과 미국행정부 사례*를 보았을 때, 클라우드컴퓨팅 도입은 전체 IT비용 관점에서 효과성은 기대하기 어려우며 오히려 IT자원의 비효율적 활용으로 예산 증가를 초래할 수 있으며 이는 큰 재정부담으로 이어짐
* 미국정부는 2022년 기준으로 공공클라우드 지출에만 약 800억달러를 지출하고 있으며, 이는 전년 대비 20% 증가한 수치이며, 영국은 2019년 13억2천만 영국 파운드를 지출하고 있음
현재 우리 정부는 전자정부 IT유지보수에도 안정적인 예산 확보를 못해서 이슈가 되고 있는 상황⁴임에도 불구하고, 이후 IT유지보수 예산 대부분이 클라우드 인프라 유지비용으로 지출된다면 더 큰 문제를 일으킬 수 있음
* 전자정부지원사업 예산이 ’23년 493억원에서 ‘24년 126억으로 74%삭감되었으며, 행정정보공동이용시스템의 유지보수예산 등은 삭감됨
따라서 디지털플랫폼 정부에서 클라우드 도입·활용 시 전체 시스템에 대한 클라우드 Default 도입전략에는 신중해야 하며, 클라우드 도입으로 인한 장점이 지속적인 클라우드 투자비용을 상쇠 할 정도인지 가치판단 기준이 필요함

(2) CAPEX뿐만 아니라 OPEX 측면의 향후 예산 증가를 반영한 안정적 예산확보가 필수적이며, 도입단계부터 클라우드 비용 효율화를 전략적으로 고려해야 함

클라우드 도입 후 매년 클라우드 비용이 최소 15%~20% 이상 증가하고 있으며, 클라우드 네이티브로 서비스를 구축한 후에는 기존의 방식으로 되돌리기가 어려움
따라서 행정·공공기관에서 클라우드 도입시에는 CAPEX뿐만 아니라, OPEX 측면 및 향후 IT자원의 증가를 예측한 예산계획에 따라 도입이 필요함
특히 데이터증가가 크지 않은 웹서버 등은 IT자원의 효율화가 가능하나 빅데이터, AI서비스는 데이터 증가에 따라 컴퓨팅 및 스토리지 비용이 급격히 증가할 위험이 있어 서비스의 용도와 클라우드 활용 효과성을 반드시 고려해야 함
* 빅데이터 플랫폼을 구축해서 데이터를 수집·저장만 하고 활용도가 떨어짐에도 플랫폼을 유지할 수밖에 없었던 일부 기관의 예산 낭비 사례를 참고할 필요가 있음
또한 클라우드 도입 후에도 기업들은 클라우드의 자원 유연성을 살리지 못하고 IT자원의 30%를 낭비하고 있는 상황이므로 IT자원 사용량에 대한 엄격한 관리를 통해 예산이 낭비되지 않도록 해야하고 비용 효율화를 지속적으로 수행해야 함

(3) 민간클라우드 활용시 클라우드 기업의 비즈니스 전략변화로 인한 위험을 고려해야 하며, 멀티클라우드 및 SaaS 서비스 다양화로 종속성에 대비해야 함

현재 대부분의 민간 클라우드컴퓨팅 공급 기업들은 초기에 Lock-in 전략을 유도하여 초기 저가경쟁을 통한 도입 후, 장기적 관점의 매출을 유도하는 전략을 사용하고 있
* MS의 PowerBI 무료라이선스 전략, 구글클라우드의 Storage 비용 무료 전략, AWS 부가서비스의 자원을 추가로 필수로 활용하도록 하는 전략 등
이에 클라우드 사용 경험이 많은 민간의 활용기업들은 멀티클라우드 전략으로 전환하고 있으며, 장기적 관점에서 프라이빗 클라우드를 구축하는 등의 전략을 활용함
특히 AI서비스와 SaaS 서비스의 경우 클라우드 플랫폼 종속성이 높으며, 클라우드 사업자의 비즈니스 전략 변화 시 직접적인 비즈니스 영향이 발생함에 따라 이에 대해 대비를 하는 것이 필요함

(4) 해외 클라우드컴퓨팅 기업에 의한 자국민의 데이터주권 문제와 개인정보/민감정보 사이버보안 문제에 적극적인 대비가 필요함

빅테크기업과 해외 클라우드컴퓨팅 기업이 주로 미국기업임에 따라 미국의 데이터 관련한 법제도를 면밀히 검토하여 이에 대한 대응과 대비가 필요함
특히 공공행정기관의 경우 미국 빅테크기업과 클라우드컴퓨팅 플랫폼을 활용 시에는 미국 법률에 따라 미국정부가 데이터를 언제든지 열람할 수 있기에 국가 보안에 큰 위협이 될 수 있어 대비가 필요함

2. 디지털플랫폼정부 실현을 위한 투자 방향 및 시사점

2-1. 장기적 관점에서 클라우드 비용의 정부재정 반영 필요

(1) 클라우드 산업발전과 우리 정부의 경쟁력 관점에서 디지털플랫폼정부의 클라우드 네이티브 전략은 선택이 아닌 필수적인 흐름으로 정부재정에 장기 투자로 인식 필요

정부는 클라우드 도입은 기존 온프레미스 방식보다 TCO관점에서 예산 절감 효과성이 크지 않다는 것을 인지하고, 클라우드를 해야만 하는 목적에 초점을 맞추는 것 필요
따라서 단기 관점의 비용절감 효과가 아닌 장기적 관점의 산업발전과 국가경쟁력 확보를 위한 투자로 인식하고 정부재정에 이를 반영하는 것이 필요함
퍼블릭 클라우드 활용 시에는 공공시스템에서 요구하는 강화된 보안을 지원하기 위한 부가적인 자원 활용을 고려해야 하며, 매년 예산 증가율을 10~20%까지 고려하여 안정적인 예산을 확보하는 것이 필요함

(2) 클라우드 산업발전을 위해서는 국내 CSP 기업의 IT자원 비용 효율화를 유도할 수 있는 기술투자와 경쟁력 있는 국내 SaaS 기업 발굴 중심의 정부 투자가 필요함

디지털플랫폼정부의 클라우드 정책은 클라우드 클라우드 산업발전을 위한 마중물 역할의 투자로 바라봐야 하나, 장기적 관점에서는 정부재정을 효율화하면서 민간 스스로 클라우드 산업 경쟁력을 갖출 수 있는 방안에 대해서 깊이 있는 고민이 필요
퍼블릭 클라우드를 제공하는 국내 CSP 기업에는 공공클라우드 진출을 기업의 매출 증대를 위한 사업의 기회로 바라보지 않고 공공클라우드 레퍼런스를 통해 글로벌 경쟁력을 갖출 수 있도록 하는 기술투자 기회가 될 수 있도록 IT자원 비용 효율화를 유도하는 정책 방향이 필요함
향후 우리나라가 K-SW 글로벌 경쟁력을 갖추도록 하기 위해서는 국내의 경쟁력 있는 SaaS 기업을 많이 발굴하고 디지털플랫폼정부는 SaaS 기업의 레퍼런스와 실증사이트로서 역할을 하는 것이 필요함
이를 위해서는 공공분야의 국내 CSP 및 SaaS 솔루션의 우선 도입 활성화 정책을 추진하여 디지털플랫폼 정부의 클라우드 정책의 성과를 극대화하는 것이 필요함

2-2. 클라우드컴퓨팅 효율적 활용을 위한 거버넌스와 역량강화 필요

(1) 클라우드 도입에 대한 기준과 가이드라인 뿐만 아니라 클라우드 운영·활용 단계에서의 거버넌스 전략 필요

기관의 정보시스템 및 SW활용에 대한 역량 운영단계에서의 관리 요소, 관리 방법, 관리 권한과 책임, 성과 모니터링 및 사후개선의 프로세스 등의 PPTO(People, Process, Tech, Organization) 관점의 거버넌스 체계가 요구됨
또한 거버넌스 조직에서는 자원 효율성에 대한 KPI 관리를 통해 클라우드 자원활용에 대한 비효율성이 발생하지 않도록 엄격한 관리와 통제가 필요함

(2) 공공행정기관의 클라우드컴퓨팅을 효율적, 효과적으로 활용하기 위해서는 기관의 클라우드 관리에 대한 기술적, 재무적 역량이 필수적

공공행정기관에서 클라우드컴퓨팅을 전략적으로 활용하기 위해서는 기술적 역량뿐만 아니라 클라우드 재무 운영관리 문화(FinOps)가 정착될 수 있는 역량강화가 필요

2-3. 클라우드컴퓨팅 활용 전략에 멀티클라우드, 클라우드 보안 전략 강화

(1) 클라우드 CSP벤더에 대한 종속성 탈피, 협상력 확보, IT예산의 효율화를 위해 멀티클라우드 전략을 적극적으로 검토 필요

클라우드컴퓨팅은 일단 도입 후에는 변경 등이 쉽지 않으며, 특히 민간 클라우드에 공공행정 데이터가 저장·활용되는 경우 이관비용이 더 소요될 수 있음
따라서 도입 후 유지보수단계에서 CSP 벤더에 대한 종속성 및 협상력 약화 등이 발생할 수 있으므로, 미리 CSP 멀티벤더전략, Public/Private 클라우드 구축 등 멀티클라우드 정책을 기반으로 도입하는 것이 필요함

(2) 보안 이슈는 디지털플랫폼정부의 가장 큰 위협이 될 수 있으며, 클라우드 보안에 대한 거버넌스 체계 확보·운영 필요

클라우드 보안은 클라우드 서비스 및 클라우드컴퓨팅과 관련된 데이터, 어플리케이션, 인프라 등 종합적인 관점의 보안관리가 필요하며, 특히 개인의 SaaS가 확산 되어 활용될 경우 SaaS로 인한 보안위협 등 관리해야 하는 보안 관리 요소가 증가함
사용자에 의한 데이터 유출, 미사용 클라우드의 관리 소홀로 발생할 수 있는 보안 위협, 클라우드 내 SW를 통한 네트웍 우회 등 다양한 보안 위협에 대응 필요
따라서 클라우드컴퓨팅 기술에 대한 전문성을 기반으로 한 종합적인 보안관리가 필수적이며 이를 위한 클라우드 보안 거버넌스 체계 확보·운영에 대한 적극적 투자가 필요

2-4. 데이터주권 확보를 위한 해외 클라우드 사용에 대한 주의와 대응 필요

(1) ’23년 클라우드 보안인증제 완화로 인한 공공클라우드 시장의 해외 클라우드 사업자 진출 증가가 예상됨에 따라 해외 클라우드 사용에 대한 주의가 필요

현재 글로벌 Top 클라우드 CSP사업자는 구글, 아마존, MS 등 모두 미국 빅테크기업으로 미국 정부의 법률을 따를 수밖에 없음
EU, 중국, 미국 등 각국 정부는 데이터주권 확보를 위해 자국민의 개인정보에 대한 보안정책을 강화하고 있으며, 우리나라도 이에 대한 대비와 국민의 개인정보 보호를 강화할 필요가 있음
특히 우리나라 공공행정기관에서 미국 기업의 SaaS 서비스 등을 사용 시 미국 정부에 우리나라 공공행정 중요정보가 유출될 수 있는 여지가 있으므로 주의가 필요함
* 미국 Tech기업들은 CLOUD Act 법에 따라 미국 사법당국이 전세계 모든 사람의 모든 데이터에 접근할 수 있도록 하는 기반을 제공하고 있음

(2) 해외 클라우드 서비스 사용 시 발생할 수 있는 데이터주권에 대한 법률적 검토와 적극적인 법·제도적 대응방안 마련 필요

해외 클라우드 사용 시 발생할 수 있는 다양한 문제들을 사전에 도출하고 이에 대한 법률적 검토와 범정부적인 법·제도적 대응방안 마련이 요구됨
특히 미국 CLOUD Act 법에 대해서는 관련 분야 전문가들을 통한 면밀한 검토가 필요하며 공공행정데이터 뿐만 아니라 산업기밀 보호 측면까지 종합적인 검토가 필요함

[각주]

성승제, ‘미국의 클라우드 법정책에 대한 시사점 검토, 클라우드컴퓨팅법제도 연구보고서(정보통신산업진흥원), 2021.2 ↩︎
CSAP: 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 ↩︎
https://www.accenture.com/nl-en/blogs/insights/cloud-trends ↩︎
https://www.seoul.co.kr/news/newsView.php?id=20231121500280 ↩︎

[참고문헌]

(국내자료)

성승제, 미국의 클라우드 법정책에 대한 시사점 검토, 클라우드컴퓨팅법제도 연구보고서(정보통신산업진흥원), 2021.2
금융위원회, ‘클라우드컴퓨팅 이용에 따른 컴퓨팅 환경 변화’, 금융권 클라우드 이용 확대 방안, 2018.7
강석민, ‘메타버스 플랫폼 상호연동 표준화 현황 분석 및 추진 방향 연구’, 고려대학교대학원, 2022
디지털플랫폼정부 실현계획, 디지털플랫폼정부위원회, 2023.4.14.
김윤기, 클라우드 기반 AI플랫폼 기술 동향, 정보처리학회지 제 28권 제2호, 2021.6
이상헌, 모든 클라우드, AI 등은 데이터센터로 통한다. DGB금융그룹 Industry Report, 2023.06.19.
한인종, 2022 클라우드컴퓨팅 동향, 국가정보자원관리원 클라우드운영과, 2022.04
조윤정, 디지털뉴딜의 핵심인프라, 클라우드 산업 생태계 동향, KDB미래전략연구소, 2021.1
최연경 외, [Issue Monitor] 금융권을 중심으로 본 클라우드 활용, 삼정KPMG 경제연구원, 2020.3
정영우, 멀티클라우드 기술 및 표준화 동향, TTA ICT Standard Weekly 제1090호, 2022
산업기술리서치센터, ‘[이슈분석] 클라우드컴퓨팅 시장 동향 및 향후 전망’, 2020
디지털서비스 이슈리포트, 2022년 클라우드컴퓨팅 트렌드, 한국지능정보사회진흥원, 2022
양지언, 현장에서 발생하는 클라우드 보안 이슈와 해결 방법, 삼성SDS, 2021
제5차 과학기술기본계획(2023~2017), 2022.12
발주자 온라인설명회 자료, 클라우드 네이티브 기반 행정공공 서비스 확산지원 클라우드 네이티브, 한국지능정보사회진흥원

(해외자료)

Accenture WEB Report, https://www.accenture.com/nl-en/blogs/insights/cloud-trends
Gartner, ;Forecast: Public Cloud Services, Worldwide, 2021-2027, 2Q23 Update’, 2023.07.10.
Synergy Research Group, 2023.02
(https://www.srgresearch.com/articles/cloud-spending-growth-rate-slows-but-q4-still-up-by-10-billion-from-2021-microsoft-gains-market-share)
FLEXERA 웹사이트, https://info.flexera.com/CM-REPORT-State-of-the-Cloud (2023.09 방문)
Gartner Forecasts Worldwide Government IT Spending to Grow 8% in 2023, 2023.5.24.
(https://www.gartner.com/en/newsroom/press-releases/2023-05-24-gartner-forecasts-worldwide-government-it-spending-to-grow-8-percent-in-2023)

(웹사이트)

한국클라우드신문 기사, https://www.kcloudnews.co.kr/news/articleView.html?idxno=12872
서울신문 기사, https://www.seoul.co.kr/news/newsView.php?id=20231121500280
전자신문 기사, https://www.etnews.com/20230503000233
한국재정정보원 웹포탈, 클라우드 서비스 보안인증제도(CSAP) 개편 동향,
https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/notice_issue?articleSeq=3504
IT비즈뉴스, https://www.itbiznews.com/news/articleView.html?idxno=103407
클라우드 지원포탈, www.cloud.or.kr
삼성SDS, https://www.samsungsds.com/kr/insights/multicloud_strategy.html