오는 9월28일 시행을 앞두고 있는 클라우드 발전법이 당초 취지대로 국내 클라우드 산업 경쟁력 제고의 밑거름이 되려면 아직 풀어야 할 문제가 적지 않다는 목소리가 높다. 클라우드 기업의 정의는 어떻게 내릴 것인지, 공공 클라우드 사업에 대기업 참여가 가능한지 등이 대표적인 쟁점사항이다.
주무 부처인 미래창조과학부는 법 시행까지 남은 기간 동안 업계와 시민단체, 전문가들의 의견을 적극 수용해 기대했던 법 제정 효과를 내겠다는 생각이다.
27일 미래부는 서울 상암동 누리꿈스퀘어에서 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법) 시행령'에 대한 관련 분야 전문가, 산업계 등의 의견을 수렴하기 위해 공청회를 개최됐다.
이날 공청회에는 이상직 법무법인 태평양 변호사를 좌장으로 오길영 신경대학교 경찰행정학과 교수, 이창범 경희대학교 법무대학원 겸임교수, 김철승 KT클라우드 전략담당 상무, 이화령 한국HP 상무, 조호견 이노그리드 대표, 김장윤 구름 대표, 장여경 진보네트워크 활동가가 패널로 참석했다. 서성일 미래부 SW진흥과장, 이혁재 정보통신산업진흥원 SW진흥 단장도 정책 담당자로 함께 자리했다.
패널 참석자들은 공표된 시행령에 클라우드 기업의 정의, 공공 클라우드 사업에 대기업 참여 여부, 이용자 정보 보호의 범위, 이용자 통지 의무 등이 구체적이지 않거나 현실적이지 않아 개선이 필요하다는 다양한 의견을 제시했다.
■ 클라우드 기업 정의 어떻게 할 것인가?
클라우드 발전법에 지원에 대한 내용은 물론 이용자 보호와 책임에 관련된 내용도 있는 만큼 클라우드 기업의 대상 범위가 명확해야 한다는 지적이 많다.
조호견 이노그리드 대표는 "클라우드 기업을 어떻게 판정할 것이냐에 대해선 시행령에 담지 못한 것 같다"며 "웹서비스의 기본 배경이 클라우드기 때문에 모든 IT 기업이 클라우드 기업이 될 수도 있다. (클라우드 기업에 대한 정의를 명확히 해) 한정된 국가 예산을 집중적으로 투자해서 성과를 볼 수 있는 환경이 됐으면 좋겠다"고 말했다.
이창범 경희대 교수는 "클라우드 발전법에 이용자 정보 보호에 대한 내용이 있기 때문에 의무 주체인 클라우드 기술과 서비스에 대한 정의도 구체적으로 할 필요가 있다"고 강조했다. 그는 "현재 발전법과 시행령에서 모두 클라우드 기업에 대한 정의가 아주 광범위하다"며 "규제 범위가 명확하지 않아서 법 집행 과정에서 문제가 될 수 있기 때문에 의무규정이 있는 부분이라도 범위를 구체화 시켜줘야 한다"고 말했다.
이런 지적에 대해 미래부 서성일 과장은 “수혜의 지원 대상을 명확히 하자 또 이용자 보호 측면에서 규제 대상이 되는 서비스도 명확히 해야 한다는 의견에 대해 전문가들이 모여있는 클라우드법 연구 기관을 통해 개선하겠다”고 답변했다.
■ 이용자 정보보호 규정, 현실적인가?
관련 기업들은 클라우드법에서 규정하고 있는 이용자 정보보호 조항이 현실적으로 지키기 어려운 부분이 많다고 입을 모았다.
클라우드 기반 스타트업 구름의 김장윤 대표는 "클라우드 발전법 이후 스타트업들이 (법에 명시된) 보안을 정말 잘 이행하는데 한계가 있을 수 있다"며 "10분 이상 서비스가 중지되는 문제가 발생하면 즉각 통지한다는 조항이 있는데, 문제가 인프라에서 생긴 것인지 SW에서 생긴 것인지 파악해야 하는데 제때 대응할 수 있을지 의문이 든다"고 말했다.
플로우에서 질문한 한국IBM 관계자 역시 "10분이라는 규정은 가장 강한 규정인데 정보의 성격이나 업무의 성격에 따라 차별화할 수 있는 부분이 있으면 좋겠다"고 제안했다.
이런 의견에 대해 미래부 서상일 과장 “서비스 중단 10분이라는 기준은 금융 거래를 생각해서 정한 것”이라며 “업무와 정보의 성격을 감안해서 합리화시킬 여지가 있는지 검토해보겠다”고 답했다.
이용자가 서비스 제공자에게 자신의 정보가 저장돼 있는 국가 명칭을 알려달라고 요구할 수 있도록 한 법 26조가 현실적이지 않다는 지적도 있었다. 한국HP 이화령 상무는 "정보가 저장돼 있는 국가를 알려주는 것은 클라우드 제공업체가 사용하는 기술에 따라 가능할 수도 있고 불가능할 수도 있다"며 "글로벌 업체들의 인프라를 사용해서 국내 이용자들에게 서비스를 제공하는 중소기업들이 수천 곳이 있는데 이들이 모두 정보 공개의 대상이 된다면 엄청난 부담이 될 것이다. 이런 부분을 시행령을 통해 보안할 필요가 있다"고 말했다.
이와 반대로 이용자 보호에 대해 법뿐만 아니라 시행령에서도 부족한 부분이 많다는 의견도 나왔다.
장여경 활동가는 "이용자들의 막연한 보안 우려로 클라우드 서비스가 많이 확산되지 못하고 있다고 하는데 이용자의 신뢰를 받지 못한다면 클라우드 발전에도 안 좋은 영향을 미칠 수 있기 때문에 먼저 신뢰할 수 있는 방향으로 법과 시행령이 충분한 보호장치를 마련해야 한다”고 강조했다.
그는 “이용자가 정보가 저장돼 있는 위치 등에 대해 공개를 요구했을 때 전자메일이나 전화 등 간편한 방법으로 확인할 수 있어야 하고, 제3자 정보 제공에 관한 사항과 서비스 이외의 목적으로 이용자 정보를 사용하는 동의를 받는 경우 개인정보 수집 이용과 별도로 눈에 띄게 제3자 제공에 동의를 받도록 해야 한다”고 말했다.
■ 공공 기관에서 클라우드 사용 확산될 수 있나?
클라우드 발전법 통과로 업계에서 가장 기대하는 부분이 공공, 금융, 의료 기관에서의 클라우드 활용이다. 기존에는 전산자원 직접 보유를 의무화하고 있었지만 클라우드 발전법을 통해 전산시설 구축의무에 있어서 클라우드 컴퓨팅 이용이 가능해졌다. 하지만 실제 이들 기관이 클라우드를 도입하는 데 여전히 장벽이 남아있다.
이창범 경희대 교수는 당장 국가사이버안전규정 때문에 클라우드가 확산되는데 어려움이 있을 것이라고 지적했다. 이 교수는 “시행령에서 행정자치부 장관이나 국가정보원원장이 협의해서 이런 정보에 대해선 클라우드 사용이 가능하고, 이런 인증을 받은 업체를 이용했을 때 위반이 없다는 기준과 조건을 명확히 할 필요가 있다”고 말했다.
김철승 KT 상무는 클라우드 발전법이 통과 됐지만 이 사실을 모르는 공공기관이 많다는 점과 공공기관이 클라우드를 어떻게 활용할 수 있는지 대표적인 레퍼런스가 없다는 점을 문제로 지적했다.
이에 대해 미래부 서성일 과장은 “공공기관이 마중물 역할을 해야 한다”며 “공공기관 정보화 담당관들을 모아 클라우드법 내용을 자세히 설명해서 공공기관이 잘 이해하도록 하겠다”고 약속했다.
■ 공공 클라우드 사업 대기업 참여 가능한가?
SW산업진흥법에 따라 공공 정보화사업에 대기업 참여가 제한돼 있다. 하지만 공공기관들이 프라이빗이나 하이브리드 형태로 클라우드를 구축할 땐 시스템통합(SI)적인 사업이 필요할 가능성이 높은데 대기업 제한을 그대로 유지해야 할지도 쟁점 사항이다.
관련기사
- MS 애저 PaaS가 남달라 보이는 이유2015.05.27
- MS, 아마존 클라우드와 어떻게 싸울 것인가?2015.05.27
- "올해 국내 클라우드 SW 시장 전년比 21.8% 성장"2015.05.27
- 오라클 "슈퍼파워 고객에 맞춰 마케터도 진화해야"2015.05.27
이노그리드 조호견 대표는 “우리 같은 중소기업이 감당할 수 없는 큰 프로젝트가 있을 수 있다”며 “큰 생태계를 보는 것이 중요하기 때문에 (공공 클라우드 사업에 대해) 대기업이 참여할 수 있는 여지를 줬으면 좋겠고 대기업에서는 중소기업 상생에 대한 안은 줘야 한다”고 말했다.
미래부 서성일 과장은 이에 대해 “SW산업진흥법의 운영취지도 살리고 클라우드 특성에 맞는 공공사업이 펼쳐져야 한다”며 “법시행 시기에 정밀하게 검토해서 다시 말할 수 있겠지만, SW산업진흥법에는 국가 기능유지에 필요한 핵심적인 시스템에 대해선 심사위원회를 통해 대기업 참여할 수 있게 하고 있기 때문에 진흥법 취지에 맞춰서 개별적인 심사를 통해서 대기업 참여가 허용되는 방식으로 클라우드 사업이 운영이 될 것으로 생각하면 될 것” 같다고 말했다.
