조달청이 공공 부문에 공급되는 클라우드 서비스가 해킹을 당할 경우 최대 9개월 간 공공 부문 거래를 중지하는 방안을 추진한다. 또 보안이 갖춰지지 않은 데이터센터에서 클라우드 서비스를 하는 것이 적발될 경우 계약 해지가 가능하도록 할 방침이다. 이는 정부가 앞으로 보안이 허술한 클라우드 서비스를 공공 부문에서 사실상 퇴출하겠다는 뜻으로 해석된다.

정부 관계자들에 따르면 조달청이 나라장터 종합쇼핑몰에서 공급 중인 클라우드 서비스 특성에 맞춘 계약 이행을 위해 '클라우드 서비스 다수공급자계약 특수조건' 제정을 추진하고 있다.

조달청은 현재 법률자문을 받고 있으며 8월 13일경 전자공청회를 통해 내용을 공개해 의견을 수렴하고 8월말 계약심사협의회 회부 및 시행에 들어갈 것으로 알려졌다.

정부는 현재 한국인터넷진흥원(KISA)의 보안 인증을 받은 클라우드 서비스만 공공 부문에 공급할 수 있도록 하고 있다. 정부, 공공기관들의 클라우드 서비스 사용에 대해 해킹, 정보유출, 서비스 중단 등 우려가 있었기 때문이다. 이에 정부는 보안 검증을 받은 곳만 공공 부문에 클라우드 서비스를 제공할 수 있도록 하고 있다.

KISA의 클라우드 보안 인증을 받은 곳은 KT, 네이버비지니스플랫폼(NBP), 가비아, NHN엔터테인먼트, LG CNS 등 5곳이다.

조달청은 이들 클라우드 서비스를 공공 부문에 공급할 수 있도록 나라장터 종합쇼핑몰에서 제공하고 있다. 종합쇼핑몰에는 LG CNS, NHN엔터테인먼트, 가비아, KT 등의 클라우드 서비스가 다수공급자 계약 상품으로 올라가 있다. 

조달청은 클라우드 서비스의 특성을 고려해 계약 이행에 대한 내용을 정의하기 위해 '클라우드 서비스 다수공급자계약 특수조건'을 제정하려는 것으로 알려졌다. 

NK경제가 입수한 '클라우드 컴퓨팅 서비스 다수공급자계약 특수조건 제정 추진계획'과 '클라우드 컴퓨팅 서비스 다수공급자계약 특수조건'에 따르면 조달청은 보안을 준수하지 않는 클라우드 서비스 사용을 못하도록 할 방침이다.

조달청은 특수조건 제8조에서 해킹 등 침해사고, 이용자 정보의 유출, 서비스 일시 중단, 서비스 종료 등의 경우 클라우드 서비스 계약자가 지체없이 해당 수요기관장과 담당 공무원에게 알리도록 하는 의무를 부여했다. 

특히 제22조에서는 불공정행위 등에 대한 거래정지 조치를 명시했다. 해킹, 보안사고 등으로 사회적 물의를 야기한 경우와 우대가격 유지 및 각종 변동사항 통보 위반 등에 해당될 경우 거래 정지를 할 수 있도록 했다. 조달청은 침해사고와 관련해 계약상대자에게 경미한 과실이 있는 경우에는 3개월, 중대한 과실의 경우에는 9개월 간 거래정지를 하도록 하는 내용도 담았다.

제26조 계약을 해지할 수 있는 경우에는 개통일까지 미개통된 경우로 사업목적을 달성하기 어려운 경우와 보안 미인증망(데이터센터)에서 서비스 공급 시 계약 해지가 가능하도록 했다.

이미 보안 인증을 받은 기업도 공공 부문에 클라우드 서비스를 제공하면서 사고가 나면 그 이후로 일정 기간 공공 부문 사업을 하기 어려워지는 것이다. 인증을 받지 않은 데이터센터의 자원으로 서비스를 제공하다가 적발될 경우 계약 해지를 당할 수도 있다. 

그만큼 공공 부문에 클라우드 서비스를 제공하는 기업들에게 보안을 철저히 해줄 것을 정부가 요구하고 있는 것이다.

또 특수조건은 서비스 전환, 연장, 지연 등에 관한 내용도 규정하고 있다.

클라우드 서비스 가격이 조정될 경우와 대금 지급 방법에 관한 부분도 특수조건에 담긴다.

조달청은 8월 중 의견 수렴과 제정 절차를 거쳐 이르면 8월말 늦어도 9월 중으로 특수조건을 시행할 것으로 예상된다.

강진규 기자  maddog@nkeconomy.com