최근 국정원의 국가사이버보안 기본지침 개정 소식을 접하면서, 공공기관의 클라우드 전환과 기존 망분리 정책 완화에 대한 현실적인 고민이 깊어졌습니다. 단순한 기술 변화를 넘어, 실제로 현장에서 어떤 어려움과 어떤 점들을 고려해야 하는지 제 경험을 바탕으로 이야기해보려 합니다.
망분리 완화, 기대와 우려 사이
기존에는 내부망과 외부망을 철저히 분리하는 ‘망분리’가 공공기관의 정보 보안 핵심이었습니다. 하지만 이번 지침 개정으로 정보 처리 방식에 따라 관리 기준을 보완하고, 민간 클라우드 서비스 활용이 일부 허용될 가능성이 열렸습니다. 이론적으로는 분명 효율성과 비용 절감 효과를 기대할 수 있습니다. 특히, AI와 클라우드 등 데이터 활용 환경이 확대되는 상황에서 기존의 획일적인 망분리 정책은 오히려 발목을 잡을 수 있다는 지적이 계속 있어 왔으니까요.
하지만 제 경험상, 이런 정책 변화는 늘 ‘기대’와 ‘현실’ 사이에 큰 간극이 존재했습니다. 제가 몸담았던 프로젝트 중 하나는, 정부 지원 사업으로 특정 솔루션을 도입하여 내부 자료의 클라우드화를 시도한 적이 있습니다. 목표는 명확했죠. 어디서든 업무를 볼 수 있고, 자료 검색 효율성을 높이며, 장기적으로는 IT 인프라 운영 비용을 절감하는 것이었습니다.
‘이론’과 ‘현실’의 괴리: 첫 번째 벽에 부딪히다
처음에는 다들 의욕적으로 참여했습니다. 몇몇 부서에서는 파일 공유가 훨씬 쉬워졌다며 긍정적인 반응을 보였죠. 하지만 곧 예상치 못한 문제들이 터져 나왔습니다. 가장 큰 문제는 ‘보안’이었습니다. 물론, 도입된 솔루션 자체는 업계 최고 수준의 보안 기능을 자랑했습니다. SSLVPN 적용은 물론이고, 접근 권한 관리, 접근 기록 로깅 등 갖출 것은 다 갖추고 있었죠. 그럼에도 불구하고, 담당자들 사이에서는 ‘과연 안전할까?’ 하는 불안감이 맴돌았습니다. 특히, 내부망에서만 유통되던 민감한 정보들이 외부망과 연결되는 클라우드 환경으로 옮겨가는 것에 대한 심리적 저항이 컸습니다. ‘이거, 실수로 클릭 한 번 잘못하면 다 새어 나가는 거 아니야?’라는 식의 걱정은 공공연하게 나왔던 이야기입니다.
이 과정에서 저는 ‘파일 완전 삭제’ 기능의 중요성을 절감했습니다. 단순히 파일을 지우는 것이 아니라, 복구가 불가능하도록 흔적까지 지워야 하는 상황이 빈번했기 때문입니다. 또한, 일부 PC에서 사용되던 PCFILTER와 같은 단말기 보안 솔루션이 클라우드 환경과 충돌하면서 추가적인 설정 변경이나 솔루션 교체가 필요했는데, 이 과정에서 예상치 못한 기술적인 난관에 부딪히기도 했습니다. 예상했던 것보다 훨씬 더 많은 시간과 노력이 필요했던 셈이죠.
흔한 실수와 실패 사례: ‘보안’이라는 이름의 함정
이런 경험을 통해 몇 가지 ‘흔한 실수’를 발견할 수 있었습니다. 첫째, 기술 도입 자체에만 집중하고 사용자의 인식 개선 및 교육을 소홀히 하는 것입니다. 아무리 좋은 보안 솔루션을 도입해도, 사용자가 보안 수칙을 지키지 않거나 위험한 행동을 하면 무용지물입니다. 저희 사례에서도, 보안 교육은 형식적으로 진행되었고, 직원들은 단순히 ‘새로운 시스템’ 정도로만 받아들였습니다. 결국, 피싱 메일을 열거나 의심스러운 링크를 클릭하는 등의 사고가 발생했습니다.
둘째, 기존의 ‘망 중심’ 사고에서 벗어나지 못하는 것입니다. 망분리 완화는 분명 진전이지만, 그렇다고 해서 네트워크 보안의 중요성이 사라지는 것은 아닙니다. 오히려 정보 중심의 보안 강화가 필요한데, 많은 기관이 여전히 ‘네트워크가 뚫리면 끝’이라는 생각에 갇혀 있었습니다. 물론, Fortinet과 같은 강력한 네트워크 보안 장비는 여전히 중요하지만, 그것만으로는 부족하다는 점을 간과하는 경우가 많았습니다.
저희 프로젝트에서 겪었던 실패 사례 중 하나는, 특정 민감 정보를 클라우드에 저장하기로 결정했다가, 결국 반대 의견에 부딪혀 다시 내부 서버로 옮긴 경우였습니다. ‘데이터3법’ 등 관련 법규를 검토하고 보안 조치를 강화했음에도 불구하고, 몇몇 보수적인 관계자들의 강한 반발을 넘어서지 못했습니다. 결국, ‘안전하게’ 보관한다는 명목 하에, 정보 접근성은 떨어지고 관리만 복잡해진, 어떻게 보면 ‘의미 없는’ 결정이었습니다. 이는 결국 비용과 시간만 낭비한 실패로 이어졌다고 생각합니다.
비용 vs 보안: 현실적인 트레이드오프
클라우드 전환을 논할 때, 가장 큰 딜레마는 바로 비용 효율성과 보안 강화 사이의 트레이드오프입니다. 민간 클라우드 서비스를 이용하면 초기 인프라 투자 비용을 줄이고 운영 부담을 덜 수 있습니다. 예를 들어, 자체 서버를 구축하고 유지보수하는 데 드는 비용과 인력을 클라우드 서비스 비용으로 대체하는 것이 장기적으로 더 경제적일 수 있습니다. 저희의 초기 예상 비용 절감액은 상당했습니다.
하지만, 민감한 데이터를 외부 클라우드에 맡기는 것에 대한 불안감은 가격으로 해결될 수 없는 문제입니다. ‘보안 수준을 높이기 위해 더 비싼 엔터프라이즈급 클라우드 서비스를 이용해야 하는가?’, ‘데이터를 국내에 저장하고 국내 인력만 관리하도록 해야 하는가?’. 이런 질문들은 추가적인 비용 상승으로 이어집니다. 저희의 경우, 결국 보안 강화를 위해 예상했던 것보다 더 높은 등급의 클라우드 상품을 선택하거나, 일부 중요 데이터는 아예 클라우드 전환 대상에서 제외시키는 절충안을 택해야 했습니다. 즉, ‘모든 것을 완벽하게’ 하려는 시도는 현실적으로 불가능하며, 어느 정도의 위험을 감수하거나, 비용을 더 지불하거나, 혹은 기능상의 제약을 받아들여야 하는 상황이 발생합니다.
AI 추천, 어디까지 믿어야 할까?
최근에는 AI 기술이 보안 분야에도 접목되고 있다는 소식도 들립니다. AI 기반의 위협 탐지나 추천 시스템 등이 등장하고 있죠. 이론적으로는 AI가 방대한 데이터를 분석하여 잠재적 위협을 미리 감지하거나, 사용자에게 최적의 보안 설정을 추천해 줄 수 있습니다. 하지만 여기서도 ‘의구심’이 듭니다. AI 추천이 과연 모든 상황에서 정확할까요? 저는 개인적으로 ‘AI 추천’이라는 말에 대해 아직은 조심스러운 입장입니다. AI가 추천한 설정이 실제 우리 환경에 완벽하게 맞지 않을 수도 있고, 오히려 예상치 못한 보안 취약점을 만들 수도 있다는 생각 때문입니다. 특히, 민감한 정보들을 다루는 공공기관의 경우, AI의 추천을 맹신하기보다는 전문가의 검토와 함께 점진적으로 도입하는 것이 현명하다고 봅니다. AI가 ‘정답’을 항상 제시해주는 것은 아니라는 점을 분명히 인지해야 합니다.
결론: 누구를 위한 조언인가
이 글은 공공기관에서 클라우드 전환을 고려하고 있거나, 망분리 정책 완화를 앞두고 보안에 대한 현실적인 고민을 하고 있는 실무자 및 의사결정권자에게 도움이 될 것입니다. 특히, 단순히 기술 도입 자체에만 집중하기보다, 실제 현장에서 발생할 수 있는 다양한 문제점, 비용과 보안 간의 트레이드오프, 그리고 사용자 인식 개선의 중요성을 깊이 고려해야 하는 분들에게 제 경험이 작게나마 도움이 되기를 바랍니다.
하지만 만약 클라우드 전환에 대한 막연한 기대감만 가지고 있거나, 복잡한 보안 문제보다는 단순히 ‘새로운 기술’ 도입에만 관심 있는 분이라면, 이 조언이 오히려 혼란을 줄 수 있습니다. 클라우드 전환은 기술적인 문제뿐만 아니라 조직 문화, 사용자 교육, 그리고 현실적인 제약 조건들을 복합적으로 고려해야 하는 장기적인 과제입니다. 따라서, 당장 어떤 보안 솔루션을 구매해야 할지, 혹은 어떤 클라우드 서비스를 선택해야 할지에 대한 구체적인 ‘구매 가이드’를 찾는 분에게는 이 글이 맞지 않을 수 있습니다. 대신, 다음 단계로는 현재 운영 중인 시스템의 보안 취약점을 면밀히 진단하고, 관련 법규 및 가이드라인을 다시 한번 숙지하는 것을 추천합니다. 완벽한 해결책은 없으며, 각 기관의 상황에 맞는 최선의 균형점을 찾는 것이 중요합니다.
AI 추천 시스템이 사용자 환경에 완벽하게 맞지 않을 수도 있다는 점이 인상적이네요. 민감한 정보에 대한 보안 관점에서 맹신하기보다는 신중하게 접근하는 것이 중요할 것 같습니다.