클라우드 서비스의 과제
오늘날 그 어떤 기업 경영진도 클라우드 컴퓨팅을 간과하고 넘어갈 수 없다. 씨티그룹·타임워너·스타벅스 등 수많은 글로벌 조직에서 데이터 분석, 직원 대상 애플리케이션 제공, 자사 프로세스의 리엔지니어링 등에 이미 클라우드 컴퓨팅을 활용하고 있다.또한 구글·아마존·마이크로소프트· IBM·액센츄어·후지쯔·차이나모바일·싱텔(SingTel) 등 주요 정보기술(IT) 및 이동통신 업체들이 클라우드 컴퓨팅 시장에 뛰어들면서 다양한 클라우드 컴퓨팅 서비스를 소개하거나 개발하고 있다.
클라우드 컴퓨팅으로 경제 성장 촉진, 고용 창출, 혁신과 협업 활성화 등 여러 가지 효과를 얻을 수 있다는 전망 역시 많다. 2014년까지 일반 소비자 대상 IT 클라우드 서비스가 전 세계적으로 벌어들일 예상 수익이 550억 달러에 달한다는 IDC의 발표 자료가 있다.
클라우드 서비스를 통해 2010년에서 2015년 사이 유럽연합(EU) 상위 5대 경제 대국에서 230만 개의 신규 일자리 창출이 예상된다는 영국 경제연구소센터(CEBR:Center for Economics and Bu siness)의 연구 결과 등등 여러 연구 기관에서 발표한 통계 수치만 놓고 본다면 클라우드와 관련된 미래는 분명 엄청날 것이다.
그러나 클라우드 컴퓨팅에 대한 긍정적 기대와 함께 여러 가지 난제가 함께 있다는 사실을 우리는 알아야 한다. 퍼블릭 클라우드(Public Cloud) 기술의 광범위한 확산에는 아직 해결해야 하는 몇 가지 장애물이 있다. 대표적인 것이 바로 데이터 관리다.
액센츄어는 클라우드 서비스의 발전이 비교적 초기 단계에 있는 지금 시점, 정부와 기업, 사용자 모두가 고민해봐야 할 데이터 관리 분야의 이슈들을 세 가지로 정리했다. 정부와 기업 모두 핵심 이슈에 집중해 이를 해소할 수 있는 방법을 찾아보는 노력이 필요한 시점이다.
클라우드 컴퓨팅에 대해 사용자나 기업, 정부가 갖는 몇 가지 고민이 있다. 첫째, 클라우드상의 데이터 통제·관리 및 사용에 관한 정부 규제가 적절한가. 두 번째, 누가 어떤 상황에서 데이터의 소유권과 접근권을 갖게 되며 데이터의 사용과 공유에는 어떤 규칙이 적용되는가. 모두 다 데이터 관리라는 부분에서 나오는 이슈들이다.
데이터 프라이버시와 비밀 보장
이 때문에 특정 시점에 데이터의 특정 부분이 물리적으로 어느 곳에 있는지 알 수 없는 경우도 있다. 설령 그 위치를 알 수 있다고 하더라도 데이터가 두 개 이상의 법적 관할 지역에 산재해 있으면 지역 간의 차이를 어떻게 해소해야 할지 명확하지 않은 때도 있다.
사용자는 외국 정부가 자신의 데이터에 대한 조회를 요구할 가능성이 염려되는 반면 정부는 클라우드상의 데이터를 ‘감독’하고 클라우드에 자국의 법률을 적용할 수 있는 기능의 상실을 우려하고 있는 상황인 것이다.
하지만 많은 사용자들이 정부의 우려를 오히려 걱정 어린 눈으로 바라보고 있다. 정부가 데이터의 위치를 자국 영토 내로 제한하거나 해외로의 데이터 전송을 어렵게 하기 위해 법적·절차적 요건을 까다롭게 해 클라우드 제공 업체들을 제약할 수 있다고 생각하기 때문이다.
많은 클라우드 서비스 사용자들이 데이터 프라이버시와 비밀 보장 여부를 확신할 수 없어서 민감한 데이터를 취급할 때는 클라우드 서비스를 활용하는데 주저하게 된다고 말한다.
클라우드상의 데이터는 다른 사용자와 공유하는 원격 장치에 저장된다. 많은 사용자들이 경쟁 업체나 정부 기관에서 자신도 모르는 새 무단으로 클라우드상에 보관되는 데이터를 볼 수 있지 않을까 의심할 수 있다.
다수의 국가들이 클라우드에 저장되는 데이터에 대해 자국의 법적 요건을 강제적으로 적용하기를 원하며 일부는 이미 시행하는 곳도 있다. 그러나 국경을 초월하는 클라우드의 성격상 데이터 프라이버시와 기밀성을 보호하기 위한 개별 국가 수준의 조치는 사용자의 우려를 완전히 불식하기엔 부족하다.
전 세계적으로 일관된 기준이 있다면 좋지만 각국의 정보통신 분야 정부 인사들은 국가별 접근법에 차이가 있어서 국제적인 합의에 도달하기 어려울 것으로 보고 있다.
예를 들어 미국은 의료 기록처럼 프라이버시와 비밀 보장에 특히 민감한 부문에는 보다 엄격한 규제를 가하고 있지만 유럽연합은 데이터의 종류에 상관없이 일괄적인 데이터 프라이버시 법을 적용하고 있기 때문이다.
일각에서는 이렇게 규제에만 의존하기는 어렵기 때문에 데이터 프라이버시와 비밀 보장에 대해 우려하는 사용자들이 결국 시장 메커니즘에 따라 클라우드 공급 업체의 신뢰성을 판단할 수밖에 없을 것이라고 보고 있다. 그렇다고 해도 이를 위한 적절한 시장 메커니즘이 적시에 나타나 줄지는 여전히 알 수 없는 일이다.
데이터 소유권의 명확성
사용자가 데이터를 클라우드로 옮길 때 클라우드 서비스 제공 업체가 데이터에 대해 접근·수정·배포권을 얼마만큼 어떻게 갖는지 명확하지 않을 때가 있다. 클라우드에 옮겨진 데이터가 지식재산권 등의 보호 조치가 불충분하거나 자국의 제도와 상충되는 다른 나라로 넘어가면 관련 법적 보호 장치가 무력화될 수 있다고 걱정하는 사용자도 있다.
메타 데이터의 소유권 또한 종종 문제가 될 수 있는 부분이다. 메타 데이터는 서로 다른 데이터 항목 간 연결이나 이들 개별 데이터 항목들이 제공되는 시점과 방식 등에 따라 생성되는 정보인데, 개별 데이터 항목 자체의 중요성이 없더라도 메타 데이터는 매우 민감하고 중요한 자료가 될 수 있다. 이러한 메타 데이터의 사용 권한과 그로 인해 발생하는 가치를 누가 갖게 되는지는 중요한 문제다.
이들 사안에 대해서는 아직 합의가 이뤄지지 않았으며 규제 조치 또한 항상 명확한 것이 아니다. EU의 데이터 프라이버시 법을 예로 들면, 데이터의 통제(Control)와 처리(Processing)에 관한 책임을 구분하고 있지만, 클라우드는 누가 어떤 역할과 책임을 갖게 될지 분명하지 않은 것도 있다.
이는 데이터 보안 침해가 발생하거나 서비스 제공 업체가 제대로 서비스를 못한 경우 데이터에 대해 누가 책임을 지는지에 대해 명확한 법적 해석이 없어 사용자와 서비스 제공 업체 간 법적으로 모호한 상황에 빠질 가능성이 있다는 뜻이다.
EU의 데이터 프라이버시 법을 예로 들면, 데이터의 통제(Control)와 처리(Processing)에 관한 책임을 구분하고 있지만, 클라우드는 누가 어떤 역할과 책임을 갖게 될지 분명하지 않은 때도 있다.
만일 데이터 보안 침해가 발생하거나 서비스 제공 업체가 제대로 서비스를 못한 경우가 생긴다면 데이터에 대해 누가 책임을 지는지에 대해 명확한 법적 해석이 없다. 결국 사용자와 서비스 제공 업체 간 법적으로 모호한 상황에 빠지게 될 가능성이 생긴다.
대부분의 사용자가 궁금해 하는 것은 클라우드 서비스 제공 방식의 책임 소재가 누구에게 있느냐는 것이다. 예를 들어 사용자들은 서비스 품질이 만족스럽지 못할 때나 클라우드상의 데이터에 접근이 안 되는 경우, 관계자 외의 사람이나 정부에서 무단으로 조회하는 일이 발생할 때 누구에게 책임이 있는지 알고 싶어 한다.
이 때문에 데이터 관리 분야에서 제기되는 문제를 해결하려면 업계와 정부가 어느 선까지 책임성에 대한 일반적 원칙 수립이 가능할지 여부에 대해 합의가 이뤄져야 한다. 이 부분이 명확해진다면 지금까지 중요한 서비스를 클라우드에 맡기기를 꺼리던 잠재적 사용자들도 빠르게 클라우드 컴퓨팅을 채택할 것이다.
향후 IT 분야의 발전과 혁신은 기존 컴퓨팅이 아닌 클라우드 컴퓨팅을 기반으로 이뤄질 가능성이 매우 높다. 클라우드 컴퓨팅이 제공하는 역량을 극대화하기 위해서는 데이터 관리에 대한 문제들을 해결하기 위해 업계와 규제 당국, 제3자 간에 보다 일관성 있고 종합적인 접근법이 필요하다. 클라우드 컴퓨팅의 성장 여부는 기술의 신장뿐만 아니라 이해 당사자 간의 노력과 합의 역시 중요하다는 점을 명심해야 한다.
로버트 김 액센츄어 코리아 상무 Robert.c.kim@accenture.com
© 매거진한경, 무단전재 및 재배포 금지