상명대학교 / 서광규 교수

 

클라우드는 대용량의 데이터를 수집·저장·처리하여 인공지능 기반 서비스 및 산업 혁신을 촉발하는 기반으로 디지털 경제의 핵심 인프라가 되었다. 최근에는 코로나19로 인한 국가적 재난 상황에서 클라우드 서비스가 기업 위기 및 업무환경 변화 등에 대응수단으로 재조명되고 있으며, 비대면 상황에서도 재택근무, 온라인 교육 등 경제·사회 활동을 가능하게 하고, 트래픽 급증에도 유연하게 대응할 수 있다는 점에서 더욱 주목받고 있다.

이러한 시점에서 정부는 향후 3년간 유지될 국가 클라우드 발전 방향인 ‘제3차 클라우드 기본계획(’22~’24)’을 발표하였다. 주요 내용은 공공부문의 민간 클라우드 우선 이용, SW산업의 클라우드 전환 및 전 산업의 디지털 전환을 통한 클라우드 산업 경쟁력 강화, 데이터·인공지능을 뒷받침할 수 있는 클라우드 생태계 조성이다.

본 고에서는 국내의‘제3차 클라우드 기본계획’에 맞추어서 미국에서 발표한 클라우드 정책인 클라우드 퍼스트에서 클라우드 스마트로의 전략에 대한 주요 내용을 제1부와 제2부로 나누어서 설명하기로 한다. 먼저 제1부에서는 클라우드 스마트 전략의 기본 개요에 대한 설명과 해당 정책에서의 클라우드 개념 및 보안에 대하여 설명한다.

 

1. 클라우드 스마트(Cloud Smart)의 개요

행정 명령 138001에 따라 2017년에 공개된 연방 IT 현대화에 관한 대통령 보고서에서 OMB(Office of Management and Budget)는 정부의 레거시 연방 클라우드 컴퓨팅 전략("클라우드 퍼스트")을 업데이트할 것을 약속했다. 이 약속을 이행하기 위해 행정부는 클라우드 기반 솔루션의 기관 채택을 가속화하기 위한 새로운 전략인 클라우드 스마트(Cloud Smart)를 개발했다.

이전보다 거의 10년 후에 개발된 클라우드 스마트는 국가에서 가장 영향력 있는 공공 및 민간 부문 사용 사례에서 수집한 실행 가능한 정보와 권장 사항을 기관에 제공한다. 기관에 클라우드 기반 솔루션을 채택할 수 있는 광범위한 권한을 부여한 클라우드 퍼스트를 넘어서, 클라우드 스마트는 실제 현실을 통합하는 사려 깊은 실행을 보장하면서 클라우드 기반 기술의 가능성과 잠재력을 완전히 실현하기 위한 정부 임무에 대한 실용적인 구현 지침을 제공한다.

새로운 전략은 성공적인 클라우드 도입의 세 가지 핵심 요소인 보안, 조달, 인력을 기반으로 한다. 종합적으로, 이러한 요소는 미국 국민에게 향상된 투자 수익, 향상된 보안 및 고품질 서비스를 제공하기 위해 연방 기업이 필요로 하는 IT 현대화에 대한 학제간 접근 방식을 구현한다.

 

1.1 주요 조치

CIO 위원회(Chief Information Officers Council)는 클라우드 스마트 전략을 실행하기 위한 실행 항목 목록을 개발했다. 이러한 조치는 전체 정부가 클라우드 스마트 의제를 발전시키는 데 사용할 프로그램, 정책 및 리소스를 만들고 업데이트하는 것을 목표로 하는 작업 계획을 구성하였다. 또한 모든 연방 기관은 애플리케이션 포트폴리오를 합리화하여 연방 클라우드 채택을 추진하였다.

합리화 프로세스에는 다음의 내용이 포함된다.

1) 응용 프로그램의 필요성과 사용을 평가하여 응용 프로그램 포트폴리오를 줄이는 것이 포함된다.

2) 더 이상 사용되지 않거나 중복되거나 리소스를 많이 사용하는 응용 프로그램을 폐기한다. 감소된 애플리케이션 관리 책임으로 인해 기관은 나머지 애플리케이션을 최적화하여 서비스 제공 개선에 집중할 수 있다.

이러한 합리화 노력을 지원하기 위해 CIO 위원회는 모범 사례 및 기타 리소스를 개발하였다. 또한 초기 Cloud Smart 작업 계획은 18개월 동안 실행되지만 변화하는 클라우드 시장과 신기술에 발맞추기 위해 필요에 따라 지속적으로 조치를 새로 고칠 수 있다.

 

2. 클라우드 개요

2.1 클라우드 컴퓨팅 재정의

"클라우드"라는 용어는 종종 연방 정부에서 외부 공급업체가 제공하는 모든 기술 솔루션에 대해 광범위하게 사용된다. NIST(National Institute of Standards and Technology)는 여러 클라우드 배포 모델을 공급업체가 인프라 및 하드웨어를 제공하는 IaaS(Infrastructure as a Service)에서 공급업체가 제공하는 PaaS(Platform as a Service)에 이르기까지 공급업체의 관리가 점진적으로 증가하는 것으로 정의했다. 물론 고객 애플리케이션을 위한 관리형 환경에서 공급업체가 완전 관리형 애플리케이션을 제공하고 고객이 데이터만 제공하면 되는 SaaS(Software as a Service)도 포함된다. 실제로 많은 주요 공급업체 제품에는 더 이상 그렇게 잘 정의된 경계가 없다. 용어의 일반적인 사용에도 불구하고 "클라우드"라는 용어는 NIST에서 정의한 클라우드 컴퓨팅의 5가지 필수 특성인 주문형 서비스, 광범위한 네트워크 액세스, 리소스 풀링, 신속한 탄력성 및 측정된 서비스를 나타내는 솔루션에 가장 정확하게 적용된다.

이러한 특성과 이를 나타내는 솔루션은 공급자에 구애받지 않는다. 즉, 외부 공급업체이든 연방 기관이든 누구든지 클라우드 솔루션을 개발하고 배포할 수 있다. 업계는 서로 다른 시스템 계층에서 제공되는 보다 미세하게 차별화된 기능 집합으로 이동하여 공급업체, 정부 기관 또는 이 둘의 혼합에서 관리하는 다양한 구성 요소의 거의 모든 조합을 가능하게 했다. 기술 혁신을 선도하는 산업에서도 하이브리드 및 멀티 클라우드 환경이 워크로드 관리에 효과적이고 효율적일 수 있음을 보여주었다. 결과적으로 클라우드 스마트 전략(Cloud Smart Strategy)은 기관이 클라우드를 미션 및 서비스 제공을 향상시키기 위해 많은 기능과 관리 옵션을 제공하는 일련의 솔루션으로 생각하도록 권장다.

또한 클라우드 스마트는 기관이 서비스 및 임무 요구 사항, 기술 요구 사항 및 기존 정책 제한 사항을 기반으로 옵션을 평가할 수 있어야 한다는 원칙에 따라 작동헌다. 컴퓨팅 및 기술 결정은 비용 및 사이버 보안 위험 관리 기준과 균형을 이루는 고객 영향도 고려해야 한다. 또한 기관은 애플리케이션을 있는 그대로 클라우드 환경으로 마이그레이션하는 장기적 비효율성을 사전에 현대화하거나 완전히 교체하는 즉각적인 재정적 비용과 비교해야 한다.

클라우드 스마트의 의도를 성공적으로 충족하는 클라우드 채택 전략은 누가 어떤 리소스를 소유하고 있는지 또는 어떤 예상 비용 절감이 있는지에 대한 질문을 중심으로 개발되어서는 안 된다. 대신, 기관은 요구 사항을 평가하고 납세자 자원을 잘 관리하면서 임무 목표를 가장 잘 달성할 수 있는 환경과 솔루션(클라우드 또는 기타)을 찾아야 한다.

 

2.2 현대화와 성숙(Modernization and Maturity)

클라우드 기술의 모든 이점을 실현하려면 기관은 끊임없는 개선과 학습의 조직적 마인드를 배양해야 한다. 현대화는 10년에 한 번 개입함으로써만 지속되는 약속이 아니다. 오히려 현대화는 끊임없는 변화 상태이며 모든 기관에서 일상적인 기술 비즈니스의 일부이다. 지속적인 개선에 대한 이러한 사고방식을 육성하는 데 중요한 것은 직원 교육 및 교육에 대한 기관 리더십의 우선 순위, 상세하고 포괄적인 마이그레이션 계획, 기관 운영 환경에 새로운 기능을 통합하여 솔루션 지속 가능성의 균형을 맞추는 데 중점을 두는 것이다. 이를 위해 기관은 정책, 기술 지침 및 비즈니스 요구 사항을 반복적으로 개선하여 변화하는 요구 사항에 부합하고 긍정적인 결과를 이끌어내고 IT 포트폴리오가 쓸모 없게 되는 것을 방지해야 한다.

기관은 고객 경험과 사용자 요구 사항에 대한 정기적인 평가를 수행하여 솔루션이 효율성, 접근성 및 개인 정보 보호를 성공적으로 촉진하는지 확인해야 한다. 자원을 더 잘 할당하고 직원에게 현대 제품 관리 기술에 익숙해질 수 있는 적절한 시간을 제공한다. 또한 기관은 기술에 대한 결정이 다른 분야와 교차하는 영역에서 성장을 추적해야 한다. 즉, 성공적인 클라우드 채택의 세 가지 핵심 요소인 보안, 조달, 인력에 진지한 고려와 투자가 이루어져야 한다.

클라우드의 분산된 특성과 선택할 수 있는 개별 기능 및 배포 모델의 수가 증가하고 있다는 점을 감안할 때 기관은 과거에 네트워크 경계에 있었던 위치가 아닌 데이터 계층 자체로 보안 및 개인 정보 제어를 이동하거나 추가하는 것을 고려할 수 있다. 이렇게 함으로써 기관은 전반적인 보안 및 개인 정보 보호 태세를 개선하여 클라우드 기술을 완전히 수용할 수 있는 권한을 부여하는 동시에 데이터의 기밀성과 무결성이 손상되지 않았음을 안심할 수 있다.

클라우드 인프라의 보안 이점뿐만 아니라 확장성 및 시장 출시 속도와 관련된 이점을 실현하기 위해 기관은 DevSecOps를 포함한 성숙한 애자일 개발 관행을 활용해야 한다. 인공 지능 및 기계 학습과 같은 자동화 및 보조 기술을 사용하면 기관이 보안을 더욱 개선하는 데 도움이 될 수 있다. 또한 기관은 IT 포트폴리오를 정기적으로 검토하여 기존 도구에 대한 현대화 계획을 결정하고 투자 수익 극대화를 위해 BIC(Best In Class) 솔루션으로 지정된 잠재적 서비스 제안을 비교해야 한다.

또한 직원에게 교육 및 기타 교육 리소스를 제공하는 것은 개인 정보 보호, 보안 및 조달 분야의 성숙도를 높이는 데 필수적이다. 에이전시 IT 직원은 현대화 계획의 일부로 팀 및 프로그램 수준에서 린 제품 관리, 민첩한 개발, 지속적 제공 및 자동화된 인프라에 익숙해져야 한다. 또한 개인 정보 보호, 보안 및 조달을 지원하는 비 IT 직원은 위에 설명된 여러 핵심 분야에 대한 교육을 받아야 한다. 이러한 직원 교육 영역의 지속적인 발전은 새로운 클라우드 노력을 성공적으로 구현하는 데 기초가 된다.

연방 정보 기술 취득 개혁법(Federal Information Technology Acquisition Reform Act)의 요구 사항에 따라 기관의 최고 정보 책임자(CIO)는 전사적 개선 기회를 찾는 데 도움이 되도록 현대화 프로세스를 감독해야 한다. CFO의 추가 참여는 계획, 평가 및 기술 채택을 위한 적절한 예산을 책정하는 데 도움이 될 수 있다. 또한 CIO는 현대화 프로젝트의 영향을 받는 사업부 및 최종 사용자의 피드백을 통합하여 임무 수행 중단을 최소화해야 한다.

 

3. 보안

기관은 클라우드 환경을 보호하기 위해 위험 기반 접근 방식을 취해야 한다. 연방 IT 현대화에 관한 대통령 보고서에서 권장하는 바와 같이, 기관은 "데이터 수준 보호 및 최신 가상화 기술을 최대한 활용"을 강조해야 한다.

클라우드 스마트의 맥락에서 이 보안 전략의 성공에 중요한 것은 연방 정보가 네트워크를 통과하고 시스템 내부에 있을 때 이러한 환경이 로컬, 오프프레미스, 정부 기관 또는 계약자. 또한 기관이 지속적으로 모니터링하여 악의적인 활동을 감지하고 시스템 거버넌스를 개선하기 위한 노력을 기울이는 것이 중요하다.

클라우드 도입 위험을 성공적으로 관리하려면 기관 리더십, 임무 소유자, 기술 실무자 및 거버넌스 기관 간의 협력이 필요하다. 정보 보안과 개인 정보 보호 프로그램 간의 조정은 개인 식별 정보(PII)를 처리할 때 개인에 대한 위험을 성공적으로 식별하고 관리하기 위해 해당 개인 정보 요구 사항을 준수하는 데 필요하다. SAOP(Senior Agency Officials for Privacy)는 개인 식별 정보(PII)의 생성, 수집, 사용 및 보유로 인해 발생할 수 있는 위험으로, PII 관리와 관련되거나 영향을 미치는 기술 및 프로세스의 채택에 대한 결정을 내릴 때 중요한 역할을 한다.

클라우드 스마트는 기관이 의도한 결과 및 기능 측면에서 보안 및 개인 정보 보호에 접근하도록 권장한다. 다음 프로그램은 기관이 전체론적이고 결과 중심적인 접근 방식을 취할 수 있도록 기술 발전과 함께 진화해야 하는 연방 보안 전략의 주요 요소이다.

 

3.1 신뢰할 수 있는 인터넷 연결

2007년에 발표된 OMB M-08-059는 보안을 표준화하는 동시에 연방 전체의 외부 네트워크 연결 수를 줄이기 위한 목적으로 연방 기관에 대한 새로운 요구 사항을 설정했다. 정책이 발표된 이후 OMB 요구 사항을 준수하는 기관 네트워크 트래픽은 신뢰할 수 있는 인터넷 연결(TIC)로 알려진 제한된 수의 외부 연결을 통해서만 전달되었다. 이 초기 아키텍처 개념은 초기에 중요한 목적을 수행했지만 네트워킹이 물리적 제한으로 제한되고 네트워크 보안에 대한 기관 접근 방식이 표준화되지 않고 고도로 파편화되었던 시기에 기술 환경은 기관에 더 많은 도구, 기술, 한때 유용했던 TIC 구조는 이제 상대적으로 유연하지 않고 많은 기관의 요구 사항과 호환되지 않는 상태로 남겨두고 데이터를 보호하기 위한 접근 방식이다. 사설 클라우드 제품의 확산, 소프트웨어 정의 네트워크의 출현, 모바일 인력의 증가로 인해 TIC 모델은 동등하거나 더 높은 수준의 보안을 제공하는 보다 새롭고 유연한 솔루션과 경쟁해야 하며 그렇지 않으면 진화해야 한다.

후자의 옵션을 선택하는 국토안보부(DHS)는 다양한 기관과 협력하여 M-08-05의 목적과 의도를 충족하는 동시에 정책의 획일적인 적용으로 인한 기술적 제약을 최소화하는 기관별 접근 방식을 시험하고 있다. 모든 TIC 모델. 이러한 새롭고 덜 경직된 접근 방식은 업데이트된 TIC 참조 아키텍처에 통합되어 규정된 물리적 액세스 포인트 세트를 통해 모든 트래픽을 라우팅하지 않고도 보안 목표를 충족할 수 있는 사용 사례를 강조한다. TIC 참조 아키텍처는 또한 트래픽을 TIC를 통해 라우팅할 필요가 없는 다양한 사용 사례가 DHS 지정 제어를 통합하는 동시에 EINSTEIN 프로그램과 같은 정부 차원의 침입 탐지 및 방지 노력에 대한 요구 사항을 해결할 수 있음을 보여준다. 연방 기업 전반에 걸쳐 기본 수준의 보안을 보장하도록 설계되었다.

 

3.2 지속적인 데이터 보호 및 인식

연방 소유 데이터가 내부 네트워크에서 외부 최종 사용자 장치로 쉽게 이동할 수 있다는 점을 감안할 때 암호화 및 최신 ICAM(Identity, Credential, and Access Management) 구현이 필수적이다. 암호화 및 ICAM 구현은 클라우드 기반 환경, 즉 기관이 네트워크 가시성 및 데이터 보호를 관리하기 위해 외부 서비스 공급자와 파트너 관계를 맺고 있는 경우와 관련하여 특히 관련이 있다.

마이그레이션 프로세스 중 및 이후에 정보 보안의 연속성을 보장하기 위해 기관은 운영, 정책 및 비즈니스 요구 사항을 철저히 평가하고 클라우드 서비스 공급자와 새로운 계약을 중개할 때 스스로를 보호해야 한다. 제공자 유형(상업 또는 연방)에 관계없이 기관은 정보 보안 작업을 효과적으로 수행하는 데 있어 그 중요성을 감안할 때 로그 데이터에 대한 액세스 및 사용과 관련하여 모든 제공자와 계약을 체결하는 것을 고려해야 한다. 또한, 각 기관은 대중을 대신하여 정보를 보관하므로 각 기관은 해당 ID 및 자격 증명 관리 시스템과 일치하는 클라우드 호스팅 데이터에 대한 자체 거버넌스 모델을 결정할 책임이 있다. 이를 위해 공급업체에서 클라우드 솔루션을 배포하는 경우 기관에 정보의 기밀성, 무결성 및 가용성에 대한 지속적인 인식을 제공하는 SLA(서비스 수준 계약)가 있어야 한다.

또한 서비스 계약에 서명하기 전에 기관의 정보가 제3자 정보 시스템에 있는지 여부를 기관에 알려야 한다. 기관은 로그 데이터에 지속적으로 액세스할 수 있어야 한다. 클라우드 서비스 제공자와의 서비스 계약이 적용되는 정보 또는 정보 시스템과 관련하여 사이버 보안사고, 위반, 또는 기타 불리한 사건이 발생하거나 발생한 것으로 의심되는 경우 즉시 통지해야 한다.

 

3.3 연방 위험 및 권한 부여 관리 프로그램(FedRAMP)

FedRAMP는 클라우드 서비스의 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 정부 차원의 접근 방식을 제공한다. 클라우드 서비스 공급자에게 표준화된 기준을 통해 연방 보안 요구 사항을 충족할 수 있는 능력을 입증할 수 있는 기회를 제공함으로써 검증된 공급자의 번영하는 시장이 발전할 수 있었다. 또한 기관이 신비한 레거시 기술에서 보다 빠르고 일관되고 안전한 방식으로 미션 중심적이고 비용 효율적인 클라우드 기반 시스템에 적응할 수 있게 되었다.

FedRAMP 프로그램 관리 사무소는 클라우드 서비스 제공업체를 승인하는 데 걸리는 시간을 크게 줄였지만 상대적으로 느린 평가 속도에 기여하는 근본적인 문제를 해결하기 위해 해야 할 일이 남아 있다. 예를 들어, FedRAMP 승인을 채택할 때 기관 간 상호성이 부족하면 제품 배포에 대한 보안을 평가할 때 상당한 노력이 중복된다. 또한, 수많은 기관별 프로세스로 인해 기관이 기존의 공인 클라우드 서비스 제공업체를 사용하더라도 솔루션에 대한 운영 허가(ATO)를 발급하는 것이 복잡해졌다. 사실, 기업 위험 관리의 중요성이 거듭 강조되고 있음에도 불구하고 기관은 자체 정책 및 관행에 대해 계속해서 주요 장애물을 언급하고 있다.

FedRAMP 프로그램에서 클라우드 보안에 대한 연방 인력의 기술을 향상하면 연방 정부가 클라우드 시스템을 채택하는 기관 보안 관행의 효율성과 효과를 지속적으로 높이는 동시에 보안 전문가, 공급자 및 기관의 부담을 줄일 수 있다. 지도. 전문가 간부를 모으고 보안 승인 프로세스의 모든 측면에 직접 참여하면 클라우드 보안에 대한 공통적이고 포괄적인 이해를 구축하고 ATO를 공유할 때 더 많은 신뢰를 얻을 수 있다. 기관은 또한 인력 고용 및 교육에 대한 다학문적 접근 방식을 취하고 디지털 서비스 전문가, 정보 보안 전문가, 조달 전문가 및 효과적이고 안전한 클라우드 채택에 상호 관심을 가진 사람들이 현재 협업할 수 있는 커뮤니티 공간을 제공하는 것이 좋다.

 

4. 제1부 결언

본 고에서는 국내의‘제3차 클라우드 기본계획’에 맞추어서 미국에서 발표한 클라우드 전략인 클라우드 퍼스트에서 클라우드 스마트 전략으로의 주요 내용을 설명하였다. 먼저 제1부에서는 클라우드 스마트 전략의 기본 개요에 대한 설명과 해당 정책에서의 클라우드 개념 및 보안에 대하여 설명하였다. 제2부에서는 스마트 클라우드 전략의 획득과 인력 그리고 클라우드 스마트 전략의 최종 결론에 대하여 기술하기고 한다.

 

---

 

참고문헌

1. 
   
2. Executive Order 13800, Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure
   
3. Report to the President on Federal IT Modernization
   
4. NIST. “The NIST Definition of Cloud Computing.” Special Publication 800-145
   
5. M-16-24, Role and Designation of Senior Agency Officials for Privacy
   
6. M-08-05 Implementation of Trusted Internet Connections (TIC)
   
7. https://www.dhs.gov/einstein
   
8. https://www.dhs.gov/cdm
   

 

---

 

저작권정책

K-ICT 클라우드혁신센터의 저작물인 『[1부] 미국의 클라우드 전략』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, 클라우드 지원포털의 저작권 정책에 따라 이용할 수 있습니다. 다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.