서울로 출장을 간 정부세종청사 공무원들이 입에 달고 사는 말이다. 인터넷과 연결된 스마트폰이나 노트북으론 정부 업무망에 접근하는 게 불가능해서다.
정부가 ‘물리적 망 분리’를 강제하고 있어 매일같이 이런 촌극이 벌어지고 있다. 물리적 망 분리는 말 그대로 내부 업무망과 외부 인터넷망을 완전히 떼놓는 조치다. 둘이 맞닿는 접점을 없애면 해킹에 의한 정보 유출을 막을 수 있다고 판단한 것.
이런 이유로 정부는 프라이빗 클라우드 구축과 이용을 고집한다. 물리적 망 분리는 자체적으로 서버와 저장장치를 관리하는 프라이빗 클라우드 환경에서만 가능하다.
물리적 망 분리 원칙 수립 시기는 2006년으로 거슬러 올라간다. 당시 국가정보원은 ‘국가정보보안기본지침’을 통해 모든 공공기관은 별도의 망을 써야 한다고 규정했다. 과학기술정보통신부와 한국인터넷진흥원이 클라우드진흥법과 관련한 세부 가이드라인을 마련하면서 이 규정을 공공기관의 클라우드 도입에도 그대로 적용했다.
문제는 물리적 망 분리의 효과가 크지 않다는 데 있다. 출장자와의 업무를 위해 웹메일이나 메신저 등 외부 업체의 서비스를 쓰는 순간 해킹 위협에 노출된다. 정부 시스템을 이용하지 않는 탓에 어디에서 정보가 유출됐는지 추적하기 힘들다.
웹메일 등의 외부 서비스 이용을 엄금한다고 해도 보안을 장담하기 힘들다. 인터넷을 연결하지 않은 상태에서도 가까운 거리에 있는 컴퓨터의 내용을 모니터링하는 해킹 기술이 일반화됐기 때문이다. 2014년 한국수력원자력에서 발생한 해킹사고가 대표적인 사례로 꼽힌다. 당시 한수원은 물리적 망 분리 원칙을 지켰지만 관리업체를 통한 해커의 침투에 무너졌다.
전문가들은 비용이 두 배로 드는 물리적 망 분리를 고집할 이유가 없다고 지적한다. PC에 가상화 소프트웨어를 설치해 인터넷의 영역을 구분하는 ‘논리적 망 분리’ 기술만으로도 민감한 정보를 따로 관리할 수 있다고 설명한다. 이렇게 되면 외부에서 업무망 접근이 가능하고, PC를 두 대 써야 할 이유도 없다. 정보유출 문제는 별도의 보안 솔루션으로 해결하는 것이 바람직하다고 전문가들은 입을 모은다.
해외송금 스타트업(신생 벤처기업) A사는 사업허가를 받으려고 지난해 인터넷데이터센터(IDC)를 구축했다. 개인정보 보호를 위해 의무적으로 취해야 하는 조치였다. IDC를 직접 건립하는 데 소요되는 비용은 3억원 선. 결국 A사는 매월 600만원을 지급하는 조건으로 IDC를 빌렸다. 계약을 2년 이상 유지하는 조건이었다.A사 관계자는 “이전처럼 퍼블릭 클라우드를 쓸 수 있었으면 한 달에 50만원이면 충분했다”며 “영세한 스타트업으로선 부담이 상당하다”고 말했다.개인정보 다루면 데이터센터 국내 둬야클라우드 규제는 핀테크(금융기술) 스타트업의 대표적인 ‘허들’로 꼽혔다. 사업에 필요한 금융 인프라를 구축하는 일이 만만찮기 때문이다. 금융당국이 올 들어 전자금융감독규정을 개정하면서 상황이 다소 나아졌다. A사와 같은 스타트업들도 클라우드를 쓸 수 있는 길이 열렸다. 하지만 소요되는 비용은 IDC를 임차하는 것과 많이 다르지 않다. 숨어 있는 제약 조건이 많아서다.금융업체들이 개인신용정보를 다룰 때는 정보보호 시스템 구축 등 까다로운 기준들을 충족해야 한다. 스타트업들이 쓰는 기본적인 퍼블릭 클라우드 서비스론 규정을 맞추기 어렵다. 클라우드 데이터센터 내에 무선통신망이 설치돼 있지 않아야 한다는 규정도 비용을 발생시키는 요소로 꼽힌다.데이터센터를 비롯한 정보처리 시스템은 국내에 둬야 한다. 금융보안원은 정보처리 시스템의 개념에 관리 시스템까지 포함한다고 규정했다. 일시적이라고 하더라도 해외에 거주하는 전문가가 시스템에 ‘접속’하는 것은 규정 위반이란 해석이다. 글로벌 클라우드 업체들이 충족하기 힘든 조건이다. 금융당국이 해외 업체에 진입장벽을 세웠다는 해석이 나오는 대목이다.심리적인 장벽도 상당하다. 시중은행을 비롯한 전통 금융업체들은 ‘가이드라인 규제’를 걱정하고 있다. 금융보안원의 금융권 클라우드 가이드라인은 금융 소비자들의 개인정보를 다루는 핵심업무에 클라우드를 도입할 때는 신중해야 하며 언제든지 금융당국의 모니터링에 응해야 한다고 명시하고 있다. 시중은행들이 상대적으로 중요성이 덜한 부대사업에만 클라우드를 쓰고 있는 이유다. 한 시중은행 관계자는 “가이드라인이 100페이지가 넘는 데다 해석이 모호한 대목도 많다”며 “충분히 많은 선례가 생기기 전엔 섣불리 움직이기 어렵다”고 말했다.지지부진한 공공부문 클라우드 전환정부와 지방자치단체를 아우르는 공공부문도 클라우드 전환이 원활치 않다. 지난해 11월 기준으로 데이터의 일부를 민간 클라우드에 맡긴 기관은 153개다. 전체 공공기관 중 32.8%에 해당한다. 지난해 말까지 클라우드 서비스 이용 기관의 비중을 40% 이상으로 높인다는 2015년 목표에 미달하고 있다.정부는 클라우드 이용을 독려하기 위해 지난해 12월 클라우드 서비스를 이용할 수 있는 기관의 범위를 공공기관에서 중앙부처, 지자체를 포함한 모든 행정·공공기관으로 확대하겠다고 발표했다. 건강, 유전, 범죄정보 등의 민감 정보를 처리할 때를 제외하면 민간 클라우드를 쓸 수 있다는 지침도 내놓았다.그럼에도 전문가들은 공공부문 클라우드 정책을 ‘반쪽짜리’라고 지적한다. 보안을 이유로 데이터센터 내에 독립된 망을 구축해야 하는 프라이빗 클라우드만 고집하고 있어서다. 공공기관이 클라우드를 도입하려면 별도의 서버와 네트워크, 보안장비 등을 설치해야 한다. 자연히 비용이 늘어날 수밖에 없는 구조다.인텔 시큐리티 조사에 따르면 프라이빗 클라우드만 사용하는 글로벌 공공기관의 비율은 29%에 불과하다. 나머지는 퍼블릭과 프라이빗 클라우드를 같이 쓰거나 퍼블릭 클라우드만 활용한다. 북유럽의 에스토니아처럼 정부 데이터 100%를 퍼블릭 클라우드에 보관하는 사례도 있다. ‘프라이빗 클라우드=안전’이란 공식은 한국에서만 통용된다는 얘기다.프라이빗 클라우드만 써서는 진정한 클라우드 효과를 누리기 힘들다는 주장도 나온다. 이민화 창조경제연구회 이사장(KAIST 교수)은 “프라이빗 클라우드는 단위조직 내에서만 정보가 돈다는 점에서 기존 서버 방식과 크게 다를 게 없다”며 “데이터를 합치고 변형하고 분석하는 과정에서 새로운 결과물을 내놓으려면 더 많은 정부 데이터를 퍼블릭 클라우드에 올려야 한다”고 말했다.송형석/배태웅 기자 click@hankyung.com
빅데이터와 클라우드는 ‘바늘과 실’이다. 수십 테라바이트(TB)에 달하는 데이터베이스(DB)를 컴퓨터 한 대로 처리하는 것은 사실상 불가능하다. 커다란 저장 공간과 고성능 컴퓨터의 연산 능력을 빌려 쓸 수 있는 클라우드로 데이터베이스를 관리하는 이유다.클라우드란 기업 내에 서버와 저장장치를 두지 않고 외부에 아웃소싱해 쓰는 서비스를 의미한다. 빅데이터를 클라우드로 관리하면 분석과 활용이 용이하다. 예상치 못한 트래픽 폭주를 염려해 과도한 설비투자를 할 필요도 없다.클라우드 서비스는 데이터를 보관하는 장소에 따라 퍼블릭(개방형) 클라우드와 프라이빗(폐쇄형) 클라우드로 나뉜다. 클라우드 업체의 데이터센터에 보관하면 퍼블릭 클라우드, 기업 안이나 데이터센터의 독립된 서버에 보관하면 프라이빗 클라우드로 볼 수 있다.퍼블릭 클라우드 서비스를 선택하면 모든 인프라를 클라우드 업체를 통해 제공받는다. 자체 인프라가 빈약한 스타트업(신생 벤처기업) 대부분이 퍼블릭 클라우드를 이용한다. 퍼블릭 클라우드의 최대 장점은 빅데이터 분석에 있다. 분석에 필요한 인프라를 자유롭게 확장할 수 있다. 아마존웹서비스(AWS)와 마이크로소프트 같은 클라우드 기업들은 서버와 같은 하드웨어뿐만 아니라 클라우드에서 사용할 수 있는 빅데이터 분석, AI 개발 도구를 함께 제공하고 있다.프라이빗 클라우드를 고르면 기업이 직접 클라우드 환경을 구축해야 한다. 기업이 원하는 클라우드 환경을 자유롭게 구축할 수 있는 게 장점이다. 데이터가 외부로 유출될 우려가 크지 않다는 점도 이 서비스의 마케팅 포인트 중 하나다. 남들과 시스템을 나눠 쓰지 않는 만큼, 보안 유지가 쉽다는 논리다. 단점도 뚜렷하다. 자체 서버를 구축해야 해 도입 비용이 비싸다. 고성능 컴퓨팅 자원 등을 자유롭게 확장하지 못해 빅데이터 분석력이 떨어진다.최근엔 ‘빅데이터 분석’을 중시하는 대기업들을 중심으로 퍼블릭 클라우드를 도입하는 사례가 늘고 있다. 퍼블릭 클라우드라 하더라도 종전 서버 방식보다 보안이 뛰어나다는 업계의 주장이 먹혀들고 있다는 분석이다.배태웅 기자 btu104@hankyung.com
지난해 8월 문재인 대통령은 “데이터는 미래의 석유”라고 강조했다. 기업이 개인정보를 자유롭게 활용할 수 있도록 하겠다고 밝혔다. ‘개·망·신법’으로 불리는 개인정보보호법, 정보통신망법, 신용정보보호법을 개정해 ‘데이터 강국’으로 가는 초석을 놓겠다는 얘기였다. 8개월이 흘렀지만 현실은 달라진 게 없다. 개정 법안들은 시민단체와 야당의 반대로 국회에서 잠자고 있다. 개인정보가 포함된 데이터를 사업화하려는 기업들이 국회만 바라보고 있다. 사업 조직만 꾸려놓고 개점휴업 상태인 업체가 수두룩하다. 개인정보를 수집하고 가공할 법적 근거가 없기 때문이다.현행법은 주민등록번호처럼 개인을 특정할 수 있는 데이터뿐만 아니라 다른 정보와 결합해 개인의 신분이 드러날 가능성이 있는 데이터도 개인정보로 간주한다. 본인 동의 없이 이를 사용하는 것은 불법이다. 개인정보 3법인 개·망·신법 내용은 비슷하다. 온라인이나 모바일로 사업을 하면 정보통신망법이, 금융회사에는 신용정보보호법이 적용된다.올 들어 헬스케어법인을 세운 네이버, 카카오는 사업 첫 단계인 의료 데이터 수집 작업에서 제동이 걸렸다. 야심 차게 출범한 신사업 조직을 놀리고 있다. 금융 데이터를 가공해 파는 사업을 준비 중인 핀테크(금융기술) 기업들도 당혹스러워하고 있다. 자산관리 앱(응용프로그램) 뱅크샐러드를 운영하는 레이니스트가 대표적이다. 김태훈 뱅크샐러드 대표는 “인공지능(AI) 기술을 활용한 컨설팅사업을 하기 위해 신용정보보호법 개정만 기다리고 있다”고 말했다.전문가들은 개인정보 관련 규제로 새 사업에 뛰어들지 못하는 기업이 수천 곳에 이를 것으로 보고 있다. 이민화 창조경제연구회 이사장(KAIST 교수)은 “데이터를 자유롭게 활용하게 하고 문제가 생기면 처벌하는 게 세계적 추세”라고 말했다. 이어 “데이터 규제 완화의 첫 단추인 개·망·신법 개정이 더 미뤄지면 빅데이터산업은 싹도 못 틔우고 고사할 것”이라고 지적했다.美벤처, 3억명 의료데이터 거래…네이버·카카오 헬스케어는 '개점휴업'미국 펜실베이니아주 필라델피아에 있는 스타트업(신생 벤처기업) 헬스베리티. 2014년 설립된 뒤 3억 명의 의료데이터 거래를 중개하는 비즈니스로 각광받고 있다. 의료데이터는 모두 개인을 특정할 수 없도록 ‘비식별화’ 조치를 거쳐 거래한다. 2017년 기준 글로벌 제약회사 10곳 중 8곳이 이 회사의 서비스를 이용했다. 헬스베리티는 성장세를 인정받아 다수의 벤처캐피털(VC)로부터 1000만달러(약 113억원)의 투자도 받았다. 규제에 발이 묶여 공회전만 하는 한국 기업들의 데이터 신사업 현주소와 대조된다.개인정보보호법 개정 안 돼 제동 걸려지난해 8월 문재인 대통령은 ‘데이터 경제’를 선언했다. 기업들이 자유롭게 데이터를 활용할 수 있는 여건을 조성해 헬스베리티와 같은 빅데이터 기업을 육성한다는 게 골자였다.선언 이후 8개월이 흘렀지만 바뀐 것은 많지 않다. 개인정보보호법 등 개인정보 관련법 개정안은 국회에서 표류 중이다. 데이터 규제와 관련한 논의도 흐지부지되고 있다. 기업들은 규제 완화를 예상하고 잡아놨던 사업계획에 브레이크가 걸렸다고 토로한다. 선제적으로 만들어 놓은 신사업 조직이 비용만 잡아먹고 있다는 설명이다.네이버는 지난달 15일 대웅제약, 분당서울대병원 등과 헬스케어 합작법인인 다나아데이터를 설립했다. 카카오도 올 1월 서울아산병원과 인공지능(AI) 기반의 의료 빅데이터 업체 아산카카오메디컬데이터를 세웠다.네이버와 카카오의 비즈니스 모델은 비슷하다. 빅데이터와 AI 기술을 활용해 질병을 진단하고 예방하는 사업이다. 구글의 헬스케어 자회사 베릴리를 벤치마킹했다. 베릴리는 30만 명의 안구를 스캔한 데이터를 기반으로 심혈관 질환을 진단하는 기술로 유명하다.베릴리가 사업화에 성공한 반면 다나아데이터와 아산카카오메디컬데이터는 개점휴업 상태다. 개인정보보호법 개정안이 국회에서 처리되지 않아 한국 두 회사는 빅데이터 헬스케어 사업의 ‘첫 단추’에 해당하는 데이터 수집 작업에 제동이 걸렸다. 현행법은 의료·건강정보를 활용할 때 당사자의 사전 동의를 받아야 한다고 규정하고 있다. 개인을 특정할 수 없도록 가명처리한다고 해도 예외를 인정받기 힘들다.헬스케어업계 관계자는 “법 개정이 안 되면 수만 명에 달하는 고객에게 일일이 정보사용 동의를 받아야 하는데 이는 현실적으로 불가능한 얘기”라고 하소연했다.국회만 바라보는 것은 금융회사들도 마찬가지다. 지난 2월 말 국내 8개 신용카드 업체는 금융당국이 운영 중인 ‘카드산업 건전화 및 경쟁력 제고 태스크포스(TF)’에 빅데이터 규제 완화를 건의했다. 활용할 수 있는 데이터의 종류, 데이터 사업 허용 범위 등이 명확하지 않아 신규 사업 진출이 힘들다는 게 카드회사들의 주장이다.한 카드사 관계자는 “신용카드사들은 보유하고 있는 고객 데이터를 활용한 컨설팅 서비스를 준비 중이지만 법 개정이 없이는 사업 진행이 불가능하다”고 토로했다.영리 목적 개인정보 활용 ‘첩첩산중’전문가들은 가명정보의 개념을 구체화하는 것은 데이터 규제를 푸는 첫걸음에 불과하다고 설명한다. 기업들이 자유롭게 데이터 비즈니스를 하기까지 추가로 손을 대야 할 법령이 상당하다는 지적이다.영리 목적으로 가명처리를 한 개인정보 사용을 허용할지가 최대 관심사다. 정부와 여당의 개인정보보호 관련법 개정안들은 통계 처리, 연구목적 등으로 가명정보를 활용하는 것을 골자로 하고 있다. 이를 상업적으로 활용할 수 있느냐는 다른 문제다.예컨대 헬스케어 기업이 가명정보를 상업적으로 쓰려면 보건의료진흥법을 뜯어고쳐야 한다. 이 법은 순수한 연구목적 외에는 개인정보를 활용할 수 없다고 명시하고 있다. 지난해 10월 국정감사 때도 이 문제가 도마에 올랐다.박능후 보건복지부 장관은 당시 “카카오 자회사인 아산카카오메디컬데이터가 의료정보 상업화를 꾀하는 게 아니냐”는 질문에 “엄격히 규제하겠다”고 답했다.개인정보 관련 규제 컨트롤타워를 일원화하는 문제 역시 갈 길이 멀다. 지금은 과학기술정보통신부, 금융위원회, 행정안전부 등으로 규제·감독 권한이 나뉘어 있다. 새 사업을 하는 것에 문제가 없는지 확인받는 데만 수개월이 걸린다는 불만이 쏟아지고 있는 배경이다.정부는 이 문제를 풀기 위해 개인정보보호법 개정안에 현재 심의기능만 있는 개인정보보호위원회를 정식 정부부처로 승격해 독립시키는 법안을 제출해놨다. 하지만 ‘공룡 부처’의 탄생을 우려하는 야당의 반대가 심해 국회 문턱을 넘지 못하고 있다.송형석/윤희은 기자 click@hankyung.com
![넷플릭스, 가입자 순증 꺾였다…악재 쏟아진 기술주 [글로벌마켓 A/S]](https://timg.hankyung.com/t/560x0/photo/202404/B20240419072033320.jpg)
![[단독] "경영보다 돈"…아워홈 매각 손잡은 남매](https://timg.hankyung.com/t/560x0/photo/202404/AA.36472890.1.jpg)
