[아이티데일리] 최근 행정안전부의 ‘행정·공공기관 대상 정보시스템 클라우드 전환사업(이하 전환사업)’ 방향을 두고 국내 클라우드 기업과 행정안전부가 첨예하게 대립하고 있다. 행정안전부는 기업들의 요구사항을 반영하는 듯 12가지 클라우드 활용모델을 제시했지만, 업계는 12가지 방안 중 9가지가 기존 통합센터 구축 방식이며, 남은 3가지 방안마저도 후순위에 있다고 주장하며 하석상대(下石上臺) 식의 방향이라고 지적한다.

업계에서는 “공공 시장을 겨냥해 최소 수십억 원, 많게는 수백억 원을 투자해온 CSP들은 IDC 운영기업으로 전락할 것”, “국내 클라우드 산업은 외국 기업에 종속될 것”, “행안부의 클라우드 사업으로는 새 정부에서 그리는 ‘디지털플랫폼 정부’를 구현할 수 없을 것”이라며 비판과 우려를 쏟아내고 있다. 과학기술정보방송통신위원회 위원인 더불어민주당 윤영찬 의원과의 인터뷰를 통해 현 상황을 짚어봤다. 

Q. 클라우드 전환사업을 놓고 국내 클라우드 기업과 행정안전부가 충돌하고 있는데.

A. 지난해 국정감사를 통해 공공 클라우드 전환사업의 방향과 문제를 지적한 바 있다. 전 세계적으로 데이터가 새로운 가치를 창출하고 경제성장을 이끄는 동력으로 부상하면서 데이터 기반의 디지털 전환이 가속화되고 있다. 데이터·인공지능(AI) 생태계를 위한 디지털 혁신을 위해서는 클라우드가 매우 중요하다. 공공 클라우드 대전환 사업은 행정부처와 지자체, 공공기관 등 영역에서의 클라우드 이용을 촉진하고, 이와 함께 국가 클라우드 생태계를 조성하고자 하는 목표를 두고 있다.

하지만 구체적인 실행 방안을 살펴보면 클라우드 산업의 속성이 제대로 반영되지 못하고 있다. 비효율적인 행정력만 낭비하는 모양새로 가고 있다는 우려도 있다. 이에 정책의 방향성을 제대로 정립할 것을 지적했다. 이후 행안부에서 고시를 개정했으며, 이해관계가 있는 민간 사업자들의 의견을 수렴하는 절차를 거친 것으로 알고 있다.

Q. ‘통합관리기관’이라는 개념에 대해 어떻게 생각하고 있는가.

A. 통합관리기관이라는 용어가 가지는 모호성이 우려된다. 당초 행안부의 ‘행정기관 및 공공기관 정보자원 통합기준(행안부 고시 제2020-31호)’ 조항 자체가 민간 클라우드 이용을 제한하고, 정부가 운영하는 공공 클라우드를 선택할 수밖에 없도록 설계됐다고 봐도 무방하다. 민간 이용이 허용된 영역에 대해서도 민감정보 등이 포함되면 민간 클라우드 안전성을 재검토하도록 하고 있고, 공공부문(정부·지자체·공공기관)의 기관의 장이 공공과 민간 클라우드 가운데 어떠한 클라우드를 선택하냐에 따라 책임소재가 달라지는 것 등 민간 클라우드 전환을 간접적으로 막는 독소조항이 있어 이를 개선해야 한다고 요구했다.

하지만 개정된 고시에 새로 등장한 ‘통합관리기관’은 기존의 통합전산실을 연상하게 하는 문제가 있다. 결국 기존에 행안부가 설계한 공공 클라우드 센터(자원통합형) 구축의 방향에서 크게 달라지지 않았으며, 이는 민간 클라우드로 전환해야 하는 방향성에서 벗어난 것으로 판단된다.

Q. 행정안전부가 추진하고 있는 사업 방향성에 대해 어떻게 평가하고 있는가.

A. 행안부가 추진하는 방향은 단순히 서버만 클라우드 인프라로 그대로 바꾸는 방식(Lift and Shift)이라고 볼 수 있다. 이는 겉모습만 클라우드지 실상은 클라우드의 장점에 맞는 설계가 아니고, 혁신성이나 탄력성이 없는 레거시 방식 그대로다. 결국 혁신을 이끌 수 있는 클라우드 기반 데이터의 통합, 활용은 불가능하다.

또한 행안부는 클라우드 활용모델을 통해 민간 클라우드 전환률을 높이겠다고 하는데, 이는 시스템 통합(SI) 기업들이 HW 장비에 가상화 SW를 설치해 단순 임대하는 수준에 그친다. 이는 진정한 의미의 클라우드라고 할 수 없을뿐더러 각종 SW, HW 관련 기술과 제품에 대한 지속적인 업데이트 등이 미흡할 수밖에 없어 장기적인 클라우드 기술 발전을 담보할 수 없다.

데이터 중심 사회에서 클라우드는 인프라이자 SW이며, 서비스다. 하지만 행안부가 클라우드에 대해 가지고 있는 인식은 단순한 물리적 인프라 자원에 불과한 것은 아닌지 우려된다.

Q. 국내 CSP들은 고객 이탈을 고민하는데, 어떠한 대책이 필요하다고 생각하는가.

A. 국내 클라우드 서비스 제공사는 시간과 금액, 인력을 투자하여 공공존(ZONE)을 분리하고, CSAP 인증을 획득했다. 이러한 투자를 거친 후 공공기관에 클라우드 서비스를 제공하고 있다. 통합센터를 권역별로 설립하기보다 공공기관에서 민간 클라우드를 우선 도입할 수 있도록 ‘옵트-아웃(Opt-Out)’　방식의　의사결정　체계를 수립해야 한다. ‘옵트-아웃’은 이메일을 보내는 것은 허용하되 받는 사람이 수신을 거부하면 이후에는 계속 보낼 수 없도록 한 제도다. 이를 사업에도 적용해 민간 클라우드를 사용하지 않을 경우, 사유를 소명하도록 하거나 민간 클라우드 서비스를 사용할 시에는 인센티브를 부여하는 등 정책적 뒷받침이 필요하다.

Q. 공공 시장에 해외 CSP가 들어올 것으로 보인다. 국내 CSP가 생존할 수 있는 방안은 무엇이라고 생각하는가.

A. 먼저 클라우드는 민간에서부터 발전해온 산업인 만큼 민간이 공공보다 더 잘 할 수 있는 영역임을 인정해야 한다. 그리고 민간이 보다 주도적으로 산업을 끌고 갈 수 있도록 길을 터주고 규제를 개선하는 등 확실한 지원이 필요하다.

정부가 직접 공공 클라우드를 구축하겠다고 나서는 것은 오히려 클라우드 생태계를 위축시키는 결과를 낳을 것이다. 미국, 유럽연합, 일본 등 해외 사례를 살펴봐도 공공 클라우드 전환을 목표로 직접 센터를 짓겠다는 나라는 없다. 미국은 국방부나 CIA 등도 가이드와 규제를 제시한 후 중요 시스템도 민간 클라우드를 이용하고 있으며, 영국은 정보시스템의 90% 이상을 민간 클라우드 서비스를 이용할 수 있도록 허용하고 있다.

반면 우리나라는 국방, 수사, 재판 등은 물론이고 일반 업무시스템도 민간 클라우드 이용을 금지해 차세대 클라우드 핵심 서비스인 다양한 민간 SaaS의 이용을 규제하고 있다.

또한 지정·구축·운영하겠다는 공공 클라우드 센터 개념을 유지하는 방향은 클라우드 퍼스트 전략을 통해 민간 클라우드 기업을 적극 육성하고 있는 글로벌 트렌드와도 맞지 않다. 전체 공공 시스템의 70%를 정부 내부나 정부 직영 클라우드 센터로 강제 이전할 경우, 민간에서 수용할 가능성이 차단되고 미래 시장 자체가 없어지게 될 것이다. 결국 클라우드 산업 실패로 이어질지 우려스럽다. ‘클라우드를 하겠다’가 아니라 ‘클라우드를 통해 무엇을, 어떻게 이룰 것인지’를 먼저 구상하고, 이를 토대로 디지털 혁신을 이룩할 수 있도록 발상을 전환해야 한다.

Q. 행정안전부가 구축하고 분산하는 방향으로 사업을 펴는 이유는 무엇이라고 판단하는가.

A. 부처 간 칸막이 문제도 있지만 무엇보다 ‘디지털’, ‘데이터’ 등 ICT 분야에 대한 전문성과 이해도가 부족한 것이 가장 큰 이유라고 생각한다. 디지털 전환 사회에서 데이터는 단순 축적보다 어떻게 잘 활용되고, 얼마나 좋은 서비스를 할 수 있는지가 중요하다. 이를 위해서는 보다 개방적이고 창의적인 혁신이 필요한데, 행안부는 공공영역을 관할하는 부처이기에 아무래도 어려움이 있는 것 같다.

또한 공공의 정보 활용 자체가 많이 위축된 상황도 한몫하고 있다. 개인정보를 잘 보호하면서 효율적으로 활용할 수 있어야 하는데, 정보보호만 지나치게 강조하다 보니 클라우드 정책 기조 자체가 폐쇄적인 방향으로 흘러가는 것으로 보인다.

Q. 국내 클라우드 산업을 자생력 있고, 올바르게 가꾸기 위한 방향은 무엇이라고 생각하는가.

A. 기술과 산업의 관점에서 클라우드를 제대로 이해하고 있는 ‘컨트롤 타워’가 필요하다. 클라우드 산업의 본질은 데이터, 정보시스템의 ‘이용’이다. 클라우드 기술에 대한 이해를 바탕으로 산업 생태계의 미래를 거시적인 시각으로 그릴 수 있어야 한다. 지금과 같이 각 부처마다 다른 그림을 그리고, 폐쇄적으로 구축돼 유기적인 흐름을 기대하기 어려운 환경에서는 클라우드 산업을 발전과 혁신을 기대하기 어렵다.

뿐만 아니라 일관성 없는 정책으로 행정력의 낭비만 지속되는 악순환이 반복될 것이다. 영국의 사례를 보면 국가 CTO를 두고 디지털 전환 정책을 성공적으로 이끈 경험이 있다. 이처럼 우리나라도 특성화된 클라우드, 데이터, AI 기술과 정책 전반을 두루 포괄할 수 있는 전문가들로 구성된 ‘컨트롤 타워’가 있어야 한다.