3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014), pp.299-312 http://dx.doi.org/10.14257/jse.2014.08.03 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 이강찬 1), 이승윤 2), 양희동 3), 박철우 4) Development of Service Verification Methodology Based on Cloud Computing Interoperability Kangchan Lee 1), Seungyun Lee 2), Hee-Dong Yang 3), Chulwoo Park 4) 요 약 클라우드 컴퓨팅을 비롯한 모든 분야에서 표준의 확립은 해당 대상의 효율적 활용과 확산에 극적 인 기여를 할 수 있다. 하지만 현대 사회와 같이 다양성과 대량 고객화를 추구하는 현실에서는 대상 자체를 표준화하여 단일화 또는 획일화를 기하는 것보다 다양하게 존재하는 개체들을 필요할 때마다 연결하여 마치 하나처럼 사용할 수 있게 하는 상호 운용성에 대한 요구 사항이 더 높다고 할 수 있 다. 따라서 본 연구에서는 이러한 목적으로 진행되고 있는 상호 운용성에 대한 생각과 연구들을 정리 하고, 상호 운용성 기반의 클라우드 컴퓨팅 서비스 인증을 위한 절차적 제도적 시사점을 제시하고자 한다. 핵심어 : 클라우드 컴퓨팅, 상호 운용성, 클라우드 서비스, 표준 Abstract In every single field including cloud computing, to establish standards is a dramatic driver for using and spreading the subject efficiently. In this modern society where variety and mass customization are pursued, however, it is more important to emphasize interoperability by which various and different entities are connected seamlessly as a unified one than to make a single one through a simple standardization. Therefore, in this paper, we studied ideas and researches on interoperability under development and consideration in this context and suggested procedural and institutional insights for the development of service verification methodology based on cloud computing interoperability. Keywords : Cloud computing, Interoperability, Cloud Service, Standard 접수일(2014년07월18일), 심사의뢰일(2014년07월19일), 심사완료일(1차:2014년08월04일) 게재일(2014년08월31일) 1 305-700 대전광역시 유성구 가정로 218, 한국전자통신연구원 email: chan@etri.re.kr 2 305-700 대전광역시 유성구 가정로 218, 한국전자통신연구원 email: syl@etri.re.kr 3 (교신저자) 120-750 서울시 서대문구 대현동 11-1, 이화여자대학교 경영대학 email: hdyang@ewha.ac.kr 4 133-791 서울시 성동구 왕십리로 222, 한양대학교 공과대학 email: pakcw@hanyang.ac.kr * 본 연구는 미래창조과학부의 지원을 받는 정보통신표준화 및 인증지원사업과 미래창조과학부 및 정보통신 산업진흥원의 대학 IT연구센터 육성지원 사업의 연구결과로 수행되었음(NIPA-2013-(H0301-13-4006). ISSN: 1738-7531 JSE Copyright c 2014 SERSC 299

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 1. 서론 통신 기술의 발달과 주변 환경의 급격한 발달로 인해 많은 기술적 변화들도 생겨나고 있다. 축 적된 정보의 양이 증가하고 있고, 증가 속도 또한 기하급수적으로 빨라지고 있으며 일상생활과 비 즈니스 수행을 위한 사람 간 조직 간 또는 사람과 조직 간 의사소통의 방법과 형식에도 많은 변화 가 생겨나고 있다. 또한, 정보를 저장하는 저장 공간의 크기나, 플로피 디스크에서 USB 드라이브를 지나 네트워크 형 저장 장치까지 다양한 휴대용 물리적 스토리지의 시대를 거쳐 본격적인 가상 스토리지의 시대 로 나아가고 있다. 이러한 변화를 주도하는 여러 가지 정보 기술 중에 최근 몇 년간 빠지지 않고 등장하는 정보 기술 중에 하나가 바로 클라우드 컴퓨팅 이며, 관련 연구가 활발히 진행되고 있다. 클라우드 컴퓨팅을 비롯한 어떤 분야든 단일 표준의 확립은 해당 대상의 효율적 활용과 확산에 극적인 기여를 할 수 있다. 하지만 현대 사회와 같이 다양성과 대량 고객화(mass customization)를 추구하는 현실에서는 대상 자체를 표준화하여 단일화 또는 획일화를 기하는 것보다 다양하게 존재 하는 개체들을 필요할 때마다 연결하여 마치 하나처럼 사용할 수 있게 하는 상호 운용성 (interoperability)에 대한 요구 사항이 더 높다고 할 수 있다. 따라서 본 연구에서는 이러한 목적으로 진행되고 있는 상호 운용성에 대한 생각과 연구들을 정 리하고, 상호 운용성 기반의 클라우드 컴퓨팅 서비스 인증을 위한 절차적 제도적 시사점을 제시하 고자 한다. 2. 클라우드 컴퓨팅에서 상호 운용성의 개념 클라우드 서비스 수용자 관점에서 고려해야 하는 세 가지 이슈는 상호 운용성, 이식성, 보안성 이다 [1]. 상호 운용성(Interoperability: 공통적인 API)은 인터페이스가 어떤 제한된 접근이나 수행 없이, 현재나 미래, 다른 제품이나 시스템과 일할 수 있도록 완전히 이해되는 제품이나 시스템의 속성이 며, IEEE 용어집에서 교환되는 정보를 사용하기 위해서 혹은 정보를 교환하기 위해서 두 개 이상 의 시스템이나 요소의 기량이라 정의한다. 또한, 서로 다른 클라우드 제공자들이 데이터 스키마/ 포맷의 전환이 없이도 함께 작업하는 것이 가능하다. 표면/프락시 API와 다양한 API들에서 의존 성을 이해하는 것을 기반으로 한다. 이식성(Portability: 표준 패키징과 적용 포맷)은 원시 프로그램을 다른 기종으로 옮기기가 얼마 나 쉬운가를 나타내는 정도로 기술/사업자 종속(lock-in)이 없으며 서비스 제공자들 간에 서비스를 자유롭게 사용할 수 있으며 사용자들이 쉽게 그들의 사업 제공자를 사업 목표에 따라 전환할 수 있다. 기술에 들어가는 비용을 최소화하면서 경쟁력을 강화하는 것이 가능하다 300 Copyright c 2014 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014) 보안성(Security: 표준 기반의 보안 인프라스트럭처)은 데이터나 프로그램을 권한이 없는 이용자 가 사용할 수 없도록 하는 것을 의미한다. 한편, 클라우드 컴퓨팅 서비스의 상호 운용성 부분에서 자주 언급되는 용어들과 유사한 개념들 을 따로 정리하면 다음과 같다. 호환성(Compatibility)은 만약 모델 중의 하나를 작동하는 어떤 소프트웨어가 다른 모든 모델 집 합 또한 작동할 수 있다면 컴퓨터 모델 집합끼리는 호환되는 것을 말한다. 컴퓨터 모델들은 성과, 신뢰성 또는 어떤 다른 특성에서 차이가 있다. 이 차이는 소프트웨어의 작동 결과에 영향을 미친 다. 컴퓨터 과학에서 교환 가능성(Interchangeability)은 한 객체가 객체로 사용하는 영향 코드 없이 또 다른 객체에 의해 대체될 수 있는 능력을 말한다. 이 기회는 주로 특정 상황에서 정확히 같거 나 양립할 수 있는 인터페이스를 공유하는 두 객체가 필요하다. 통합(Integration)은 공학에서, 시스 템 통합은 시스템으로써 같은 기능을 수행하는 하위 시스템을 확정하고 시스템에 하위 시스템 요 소를 함께 가지는 것을 말한다. 정보 통신에서, 시스템 통함은 조직화된 전체로 행동하기 위해서 다른 컴퓨팅 시스템과 물리적 또는 기능적으로 소프트웨어 응용 프로그램을 함께 연결하는 과정이 다. 시스템 통합 요소는 컴퓨터 네트워킹, 기업 응용 프로그램 통합, 비즈니스 프로세스 관리나 매 뉴얼 프로그래밍과 같은 다양한 기술을 사용하여 구분된 시스템을 하나로 통합한다. 3. 클라우드 상호 운용성의 특성 3.1 기대 효과 IT 자원을 빌려서 사용하는 클라우드 컴퓨팅 환경에서 서비스 확산 시에 특정 기술 및 서비스의 종속 심화가 우려되며, 이를 극복하기 위한 기술과 서비스의 상호 호환성 보장을 위해 서비스 및 응용, 단말, 플랫폼 관점에서의 상호 운용성에 기반을 둔 서비스 평가 방법론의 개발이 시급하다. 즉, 클라우드 컴퓨팅 중심의 IT, 클라우드 컴퓨팅 중심의 소프트웨어 패러다임 변화에 상호 운용성 을 통한 신속한 대응을 통해 국내 기업의 산업경쟁력 향상과 함께 공정한 이용 환경의 조성이 필 요한 시점이다. 현재 주요 선진국들도 클라우드 컴퓨팅 효과를 인식하고 공공 전반에 도입하기 위한 각종 프로 젝트와 중장기 계획 수립을 추진 중이고, 국내에서도 대기업을 중심으로 클라우드 컴퓨팅에 대한 투자가 확대되고, 서비스 도입을 위한 준비가 진행되는 등 관심은 고조되고 있으나 글로벌 외국 기업의 국내 시장 잠식 위협과 클라우드 컴퓨팅 핵심 기술에 대한 외국의 의존도가 심화되는 점 등의 우려되는 사항들이 존재하고 있다. 따라서 조속히 클라우드 컴퓨팅의 상호 운용성 기반의 서 비스 평가 방법론의 개발을 위한 토대를 마련하여야 한다. 특히 클라우드 서비스 및 응용 분야는 서비스로 제공되는 클라우드 컴퓨팅의 특성에 따라 사용 자와 제공자의 간의 SLA가 중요하게 부각이 되고 있으며 정부 차원에서 상호 운용성에 기반을 둔 Copyright c 2014 SERSC 301

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 서비스 개발을 주도하고 있다. 국내 클라우드 서비스의 성장에 큰 영향을 미칠 수 있기 때문에 이 에 대한 상호 운용성 기반의 평가 방법론의 제정이 필요하다. 또한, 클라우드 컴퓨팅을 이용하여 스마트 한 서비스 제공을 위한 정보 모델 및 기술 표준과 이종의 클라우드 컴퓨팅 환경 간 상호 운용성 지원을 위한 API 표준이 필요하다. 클라우드 컴퓨팅 환경에서 요구되는 신기술의 도출 및 개발을 통한 클라우드 컴퓨팅 개발 기술 의 확보 및 차세대 IT 시류 선도와 세계 최고의 기반을 활용한 생활, 문화 등 다양한 응용 서비스 활용 모델을 보급함으로써 클라우드 컴퓨팅 서비스 강국의 실현을 기대할 수 있다. 또 다른 기대 효과들을 나열해 보면 다음과 같다. - 글로벌 기업의 기술 서비스 독점 및 종속성 극복을 통한 시장 공정 경쟁 환경 마련 및 이용자 편익 증진 - 클라우드 컴퓨팅 산업을 통한 신생 기업 활성화로 제2의 IT 벤처 전성기 도래 효과 및 고용 창출 효과, 클라우드 플랫폼 기반의 창의적 고유 서비스 창출을 통한 비즈니스로 일자리 창출 - 초기 단계에 있는 클라우드 컴퓨팅을 선점하고 국내 산업체 보급 및 상용화를 통해 도메인별 클라우드 서비스를 포함한 소프트웨어 서비스 및 플랫폼 분야의 세계 시장 경쟁력을 제고시키 며, 차세대 소프트웨어 산업 강국 도약의 교두보 마련 - 클라우드 컴퓨팅의 가속화와 선진국에서도 경쟁적으로 개발 중인 분산 시스템 자원 관리, 시 스템 자원 가상화 및 클라우드 컴퓨팅의 대규모 데이터 처리 등 클라우드 컴퓨팅의 핵심 기술 을 조기에 획득하고 글로벌 주도권 확보를 통하여 국가 기술 경쟁력 강화에 기여 3.2 상호 운용성 기반의 클라우드 서비스 평가 요소 클라우드 서비스 분야의 상호 운용성을 확보하고 달성하기 위해서는 다른 분야와 유사하게 단 계적인 접근 방법이 필요하다. 단기 중기 장기적으로 해결이 필요한 과제와 우선순위를 정하고 달 성 정도를 파악하는 일이 전체 목표를 달성하는 데 중요한 일이기 때문이다. 먼저 어떤 과제들을 해결 대상으로 선정할 것인가 하는 문제가 있다. 이와 관련해서는 현재 제 기되고 있는 사회 기술적 관심과 우려를 살펴볼 일이다. 현재 개인과 조직, 정부 차원에서 큰 관심 을 보이고 있고, 모바일 환경의 확산으로 클라우드 컴퓨팅과 서비스의 활용은 생활 및 비즈니스, 행정 분야 등 사회 전 분야에 큰 변화를 가져올 것으로 예측되고 있다. 그렇지만 특히 기업과 같 은 조직 수준의 정보 시스템을 클라우드에 일원화시키는 과정에서 상호 운용성 문제가 걸림돌이 된다면 해당 시스템의 도입과 운영을 저해하는 장애 요인이 될 것이다. 이런 문제가 해결되어야 내부 정보 관련 서비스와 시스템을 클라우드로 이전하는 분위기가 확 산될 것이고, 이를 바탕으로 관련 비용이 줄고, 생산성 및 효율성이 매우 증가할 것이다. 또한, 현 재 대다수 기업이 핵심 역량과 직접적인 연관이 없는 시스템을 네트워크에 보관하고 있으며, 클라 우드 컴퓨팅은 이 부분을 해결할 수 있을 것이다. 302 Copyright c 2014 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014) 클라우드 컴퓨팅을 상호 운용성 관점에서 이해하기 위해서는 다른 분야와 마찬가지로 사회 기 술적 접근법(Sociotechnical Approach)을 취하는 것이 바람직하다. 궁극적으로 이러한 접근법을 적 용해 확인하는 것을 목표로 하고 우선은 기술적인 관점과 사회적인 관점 용어의 합의가 완전한 것 은 아니나 사회적 관점은 해당 분야의 절차적, 정책적 이해를 포함하는 것으로 한다. 일반적으로 클라우드 컴퓨팅의 상호 운용성 확보를 위한 기술적인 이슈로는 다음과 같은 네 가지를 들 수 있 다. - 서버 가상화를 위한 하이퍼바이저 관련 이슈 - 자료 및 작업 이동성 관련 이슈 - 보안과 식별자 관련 이슈 - 이기종 클라우드 플랫폼 관리 관련 이슈 이는 지식경제부 기술표준원의 2013 10대 표준화 전략 트렌드 [2]나 한국정보통신기술협회의 기술 보고서[3]에 공히 등장하는 것으로 기술적 차원에서는 관련 부문에서는 어느 정도 합의가 이 루어진 것으로 볼 수 있다. 이와 같은 이슈와 요구 사항들을 포함하여 더 넓은 범위로 진행되고 있는 표준 관련 논의를 살 펴보면 국내에서는 한국정보통신기술협회의 ICT 표준화 전략맵 [4][5]을 통해 개괄적인 현황을 파 악할 수 있다. 크게 실감 융합 미디어, 지능형 서비스 SW, 융합 콘텐츠, ICT 융합, 유무선 통신 인 프라, 정보 보호 등 총 6개의 종합 보고서가 포함된 표준화 전략맵 Ver. 2012에서는 클라우드 컴퓨 팅은 종합 보고서 2편인 지능형 서비스 SW에 웹, 스마트 디바이스 협업 및 서비스 분야와 함께 클라우드 컴퓨팅/SOA 라는 이름의 항목으로 포함되어 있었다. Ver. 2013에서는 실감 융합 방송, 융합 콘텐츠 SW, ICT 융합, 유무선 통신 인프라, 정보 보호 등 총 5개 분야로 재편성되었고, 클라 우드 컴퓨팅은 종합 보고서 2편인 융합 콘텐츠 SW에 포함되어 있다. 여기에는 스마트 미디어 분 과와 클라우드 컴퓨팅 SOA 분과가 속해 있다. 이처럼 상호 운용성은 클라우드 컴퓨팅 전체를 구성하는 여러 표준 항목 중 하나이고, 다른 항 목과의 차별성과 연계성을 고려하여 상호 운용성의 특징들을 이해할 수 있고, 각각의 요구 사항의 기능을 추출해 개략적인 로드맵 작성의 기초에 포함되어야 하겠다. 이러한 구체적인 기술적 관점 이외에 기술 발전의 전략적 트렌드 차원에서 클라우드 컴퓨팅 분야의 주요 관심사를 정리해 보면 다음과 같다 [2]. - 클라우드 컴퓨팅 보안 - APM(Application Performance Management) - 클라우드 컴퓨팅 가상 데스크톱 서비스 - 클라우드 컴퓨팅 상호 운용성 - 클라우드 컴퓨팅 SLA(Service Level Agreement) - 클라우드 컴퓨팅 브로커 서비스 - 인터클라우드 - 클라우드 컴퓨팅 스토리지 - 클라우드 컴퓨팅 IDC(Internet Data Center) - 클라우드 컴퓨팅 기반 빅 데이터 관리 Copyright c 2014 SERSC 303

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 사실 각 분야가 상호 배타적이지도 않고, 어느 한 분야가 다른 분야를 모두 포함하거나 그 안에 완벽히 종속된다고 보기 어렵다. 여기에 상호 운용성이 포함되어 있는데, 이 모두를 전제로 클라우 드 서비스 산업의 규제를 위한 표준이 아니라 산업 활성화와 정보 및 사용자 보호, 만족도를 증가 하기 위한 지원 편의 지향형 표준이 구축되어야 한다. 이를 위해 우선 서비스 제공자들이 산업 활 성화의 기대로 표준 작업에 참여하여 가치 있는 결과를 도출할 수 있도록 하는 분위기를 제도적으 로 마련해야 하며, 궁극적으로 시장 기술 중심의 산업 활성화가 이루어질 수 있도록 해야 한다. 클라우드 서비스 상호 운용성 부문의 특징은 확장성(Scalability), 범용성(Universality), 계속성 (Continuity), 특수성(Speciality) 등 네 가지로 요약할 수 있다. 확장성은 시스템 규모의 조정(주로 증가)이 필요할 때, 이를 즉시 수용할 수 있는 성질이다. 같은 시스템을 병렬로 연결하는 수평적 확장과 더 큰 시스템으로 이전하는 수직적 확장을 모두 포함한다. 범용성은 사업자, 하드웨어(서버 나 클라이언트), 네트워크, 운영 체제 등에 종속적이지 않는 성질을 말한다. 즉, 다양한 환경을 지 원하기 위한 요구 사항을 말한다. 계속성은 클라우드 서비스 자체가 업그레이드 또는 업데이트되 거나, 사업자가 변경되거나, 서버의 위치가 이전(국외에서 국내로 등)되거나, 데이터 등 콘텐츠의 소유권이나 형식에 변동 사항이 생겼을 때 이를 자연스럽게 수용할 수 있어야 하는 성질이다. 특 수성은 클라우드 컴퓨팅이 SaaS, IaaS, PaaS 등 다양한 형태로 제공 및 활용되고 있는 현실에서 각 부문에 고유한 특성은 그대로 유지하면서 서로 유연하게 연동될 수 있도록 하는 성질을 말한다. 위와 같은 요구 사항이 절대적으로 포함되어야 이를 상호 운용성이 있는 클라우드 서비스 라 고 말할 수 있을 것이다. 구체적으로 각 요구 사항에 해당하는 기능들은 [그림 1]과 같이 정리할 수 있다. [그림 1] 클라우드 컴퓨팅 상호 운용성의 평가 요소 [Fig. 1] Evaluation Elements for Cloud Computing Interoperability 304 Copyright c 2014 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014) 4. 클라우드 서비스 인증 제도 4.1 우리나라 클라우드 서비스 인증 제도 우리나라 방송통신위원회는 2012년 6월 18일, KT의 기업형 클라우드 서비스인 ucloud biz(유클 라우드 비즈)에 대해 국내 최초 민간 클라우드 서비스 인증을 부여한다고 밝혔다. 클라우드 서비스 인증 제도란 2011년 5월 관계 부처 합동으로 발표한 클라우드 컴퓨팅 확산 및 경쟁력 강화 전략 의 하나로 마련된 제도로, 클라우드 서비스의 품질과 정보 보호, 서비스 지속성 등 각 분야의 수준 을 평가하여, 일정한 체계 및 절차를 확보한 경우 방송통신위원회에서 인증을 부여하는 것이다. 4.2 미국 클라우드 컴퓨팅 보안 인증 제도(FedRAMP) 2012년 6월 6일에 미국 연방조달청(GSA)은 공공 분야 클라우드 보안 인증 프로그램인 FedRAMP(Federal Risk and Authorization Management Program)의 운영 게시를 발표하였다 [6]. 클라우드 서비스 전체에 대한 인증이라기보다는 보안 분야에 특화한 것으로 이해할 수 있다. FedRAMP의 주요 내용은 다음과 같다 [7]. - FedRAMP는 미 연방 정부에 도입되는 클라우드 제품 및 서비스에 대한 보안성 평가 인증 및 지속적인 모니터링을 위해 도입된 프로그램이다. - do once, use many times 를 기본 개념으로 기존 정부 기관별로 수행하던 IT 시스템에 대한 보안성 평가(Federal Information Security Management Act, FISMA)를 클라우드에 한해 FedRAMP로 통합하여 비용, 시간 및 인력 절감을 목표로 한다. - 클라우드에 특화된 보안 평가 기준을 제시하여 신뢰성을 높이고 전문 평가 대행 기관(3PAO, Third Party Assessment Organization)을 선정하여 일관성 있는 보안 평가 인증을 수행한다. 4.3 한국형 모바일OK 인증 일반 데스크톱이나 서버 기반의 운영 체제에서 작동하는 각종 웹 브라우저는 기본적인 표준을 준수하고 있다고는 하지만, 자체적으로 다양한 변형 기술들을 사용하고 있다. 그렇다고 하더라도 운영 체제의 기능이나 사용자의 선택에 따라 이를 적절하게 선택 수용하면서 서로 다른 목적으로 큰 불편 없이 사용하고 있다고 볼 수 있다. 그러나 휴대 전화, PDA, 스마트폰, 태블릿 PC와 같이 제한한 하드웨어 속성을 지닌 모바일 기기에서는 사용자가 선택한 수 있는 폭도 넓지 않고, 인터 페이스의 제약 등이 심해 다양한 형태의 웹 문서(웹 페이지)를 수용하기가 어렵다. 따라서 이러한 모바일 인터페이스에 적합한 웹 문서를 작성하고 배포하는 일이 무엇보다도 중요한데, 이와 관련 하여 국제 웹 기술 표준화 기구인 W3C에서 정한 것이 바로 모바일OK(mobileOK)이다. 이 표준을 Copyright c 2014 SERSC 305

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 따라 웹 페이지를 작성하고 사이트를 구성해야 모바일 웹이라고 부를 수 있다. 이는 강제 규정이 아니므로, 반드시 따라야 하는 것은 아니나, 사용자 친화적인 모바일 웹 사이트를 구축하기 위한 척도로 널리 사용되고 있으며, 웹 페이지 방문자보다는 웹 페이지 개발자 입장에서 필요성이 강조 되는 사안이다. 이 모바일OK 준수 정도와 문제점을 확인할 수 있도록, W3C에서는 웹 문서를 검증하는 기능을 담은 별도의 웹 페이지인 W3C mobleok Checker [8]를 제공하고 있다. 일반적으로 홈페이지의 모바일 웹 표준 준수 여부를 확인할 때, 이 페이지에서 산출한 점수를 인용하기도 한다. 이 W3C 모바일OK를 바탕으로 2008년부터 한국형 모바일 OK 인증 사업이 시작되었다. ETRI를 비롯하여 국내 기업들이 참여하여 문화체육관광부 지원하에 모바일OK 시범 사업 이라는 이름으로 진행되 고 있다 [9]. 여기에서 모바일OK 인증이란 시험 및 인증 심의를 거쳐 지정된 기준을 만족시키는 경우 해당 웹 사이트가 모바일OK 기본 테스트와 KMWBP(Korea Mobile Web Best Practice) 1.0 표준을 준수함을 보장하는 것을 말한다. 인증 업무는 인증 신청과 접수를 시작으로 인증 심의를 거쳐 합격 또는 불합격을 고지받게 된 다. 관련 심의 의결을 수행하는 인증 심의 위원회는 학계, 업계, 관련 기관 전문가 등을 대상으로 위원장 1인을 포함한 10인 이내의 위원으로 구성한다. 웹 환경뿐만 아니라 모바일 기기의 특성의 급속한 변화를 수용해야 하고, 개발자 입장에서 모바일 웹 표준 여부를 점검하는 수준이 아니라 URL 중심의 웹 사이트에 인증을 부여해도 수시로 바뀌는 개별 페이지의 구성과 내용 등을 고려할 때 현실적인 적용이 어렵다는 단점이 있다. 또한, 관련 분야에서는 모바일OK 인증을 말할 때, W3C와 한국형을 혼동하는 경우가 있고, 언어와 국경의 구분 자체가 필요 없는 웹 환경에서 독자 적인 표준을 확보하는 일은 궁극적으로 범세계적인 표준화에 걸림돌이 될 수 있다는 문제도 제기 될 수 있다. 4.4 클라우드 서비스 품질 평가 시스템 우리나라 미래창조과학부는 2014년 1월부터 클라우드 서비스 품질 평가 시스템 [10]을 개발하 여 시범 운영하고 있다. 이 서비스는 국내외 클라우드 서비스 기업의 자발적인 품질 개선을 유도 하고 이용자가 자신에게 알맞은 서비스를 선택할 수 있도록 품질 정보를 제공하기 위해 한국인터 넷진흥원과 한국클라우드서비스 협회가 개발하였다. 현재 Olleh ucloud biz(kt), Tcloud biz(skt), LGU+, Hostway, Innogrid 등 5개 국내 서비스와 아마존 AWS, Rackspace 등 국외 2개 서비스, 총 7개 서비스에 대한 품질 정보를 제공하고 있다. 품질 평가를 위한 세부 측정 항목은 아래와 같다. - 시스템 성능: CPU, 메모리, 디스크, 종합 성능(단일 작업, 다중 작업) 기준 측정 - 네트워크 품질: 대역폭, 지연 시간, 손실률 기준 측정 - 서비스 품질: 웹 응답 시간, 웹 요청 처리율, 데이터베이스 트랜잭션 시간, 데이터베이스 요청 처리율, 파일 전송 시간, 메일 전송 완료율 기준 측정 306 Copyright c 2014 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014) - SLA 보장: 서버 가동률 기준 측정 이 평가 시스템을 현재 서류상으로만 평가하여 실효성이 지적되고 있는 클라우드 서비스 인증 제도 와 연계하여 인증 제도를 개선 보완하고, 향후 공공 부문의 민간 클라우드 사용에 필요한 안 전성 검증에 활용하는 방안을 마련하는 등 클라우드 서비스에 대한 이용자의 신뢰 향상을 통해 클 라우드 산업 활성화 토대를 마련하겠다는 취지에 그 의의가 있다. 이 품질 평가의 경우 현재 사용자 입장에서 해당 서비스의 현상을 파악하고 상호 비교하는 데 유용할 수는 있으나, 현재 사용자가 미래에 서비스를 전환하거나 잠재 사용자가 특정 서비스를 선 택하는 데 충분한 역할을 할 수 있을지는 미지수이다. 서비스 간 절대 비교뿐만 아니라 상대 비교도 필요하며, 횡단적이고 간헐적인 정보 제공이 아니 라 종단적이고 장기적인 정보 제공 및 이상 현상과 조치 결과를 포함한 예외 관리 실태에 대한 정 보도 필요하다. 또한, 드릴다운 형식의 상세 정보 제공을 통해 구체적인 내용을 확인할 수 있어야 한다. 일기예보 형식을 빌려 여러 서비스의 품질 상태를 보여 주고 있으나, 요즘 날씨 정보도 폭과 깊이에서 상당한 규모의 정보를 제공하고 있어, 상대적으로 정보 활용도가 낮아질 수 있다. 이러한 과거 및 현재 지향적인 정보 제공 이외에 이를 바탕으로 예측 정보를 제공할 필요도 있다. 교통 정보 시스템도 현재의 교통 상황만 전달하는 것이 아니라 미래 교통 정보를 예측해 보여주기도 한 다. 따라서 클라우드 서비스 인증 제도와 연계 사용을 전제로 한다면, 상호 인증성에 대한 검증 항 목도 평가 항목이나 시스템에 적절하게 접목하는 노력도 필요한 것으로 판단된다. 5. 클라우드 상호 운용성 평가 및 인증제 운영을 위한 제언 5.1 현행 클라우드 서비스 인증 제도의 문제점 2012년 2월부터 실시된 우리나라의 클라우드 서비스 인증 제도를 보면 2013년 12월까지 KT와 SK텔레콤 두 곳만 인증을 획득했고, 최근에는 신청 자체가 없는 것으로 알려져 있다. 인증을 받아 도 비용과 시간만 소모될 뿐 실질적인 혜택이 없다는 업계 내 인식이 중요한 요인 중 하나로 이해 된다. 처음 시행 전에 정부는 10개의 인증 대상 업체, 30가지 이상의 서비스를 예상했지만, 제도의 본래 취지가 무색해졌다는 지적이 나올 수밖에 없다. 이러한 부진의 요인을 몇 가지 정리해 보면 아래와 같다. - 인증 받은 기업들에 대한 혜택 이점이 거의 없다. - 정부 인증이 아니라 민간 인증이다. - 인증에 걸리는 시간과 비용이 과다하다. KT, SK텔레콤도 컨설팅 업체의 도움을 받아 3~5개월 에 걸쳐 자료를 마련, 심사를 통과했다. 단, 인증 비용 자체가 낮으면 오히려 신뢰성이 떨어진 다는 지적도 있다. Copyright c 2014 SERSC 307

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 - 재무 상황과 데이터 센터 운영 현황 등의 평가 항목으로 중소기업이 쉽게 접근하기가 어렵고, 기업 정보 유출 우려가 있다. - 점수제, 등급제가 아니라 합격 불합격 여부로만 평가한다. - 국가정보원과 교육과학기술부 등 정부 부처에서 보안성을 이유로 클라우드 서비스를 규제하고 있다. - 인증 제도에 대한 홍보가 부족하다. 클라우드 서비스 인증은 사전에 마련된 인증 평가 기준에 합격한 서비스에 대해 부여하는 인증 으로 조건이 까다로울수록 서비스 자체의 질을 보장할 수 있다. 그러나 자칫 이 조건이 인증 제도 의 확산에 장애가 될 수도 있다. 예를 들어, 클라우드 서비스 우수 SLA 인증은 일반 인증을 획득 한 기업 중 서비스 가용성이 99.5% 이상, ISMS(정보 보호 관리 체계) 인증[11]과 ISO 27001 같은 보안 관련 인증, SLA에 따른 글로벌 기업 수준의 손해 배상액을 제시하는 등 3가지 요건을 충족 하는 기업만이 받을 수 있다. 이 정도의 요건을 갖추었으면 별도의 인증을 받을 필요도 없을 뿐만 아니라 해당 요건을 갖출 수 있는 대상 업체 및 서비스도 제한적일 수밖에 없다. 해당 인증을 확 보하기 위해 들어가는 금전적 비금전적 노력과 비교하면 결과로 얻을 수 있는 혜택이 가시적일 때 인증 제도의 취지가 살아날 것으로 기대할 수 있다. 한편, 클라우드 서비스 인증은 국내뿐만 아니라 세계 시장에 걸쳐 서비스를 하고 있는 외국 업 체들도 대상이 될 텐데, 한 기업의 경우 컨설팅 업체까지 선정해 심사 서류 준비를 시작했지만, 너 무 상세한 기술 자료를 요구받아 컨설팅비 2천만 원을 날리고 신청을 중도에 포기한 것으로 알려 졌다. 클라우드 서비스 인증제를 잠정 중단한 업체로는 세일즈포스닷컴, 마이크로소프트, 아마존 등도 있다. 상세한 자료 요구 및 민감한 시설에 대한 실사 문제뿐만 아니라, 관련 자료는 모두 한 국어로 작성해 제출해야 하는 어려움도 있다. 서비스의 특성상 주요 기술에 대한 서면 심사나 실 사가 불가피한 점도 있고, 해석의 차이로 인한 외국어(영어) 자료에 대한 평가 위원들의 오해 등을 고려하면 절차상의 고충도 충분히 이해할 수 있지만, 지역 언어 문화의 물리적 한계를 허용하지 않 는 클라우드의 태생적 특성을 합리적으로 수용할 필요가 있다. 5.2 클라우드 컴퓨팅 상호 운용성 평가ㆍ인증 체계 제안 5.2.1 인증 절차 우선 클라우드 서비스 인증 운영 체계를 살펴보면 우선 인증 수행 기관인 한국클라우드서비스 협회는 신청 기관에서 제출한 서류를 심사하고, 실사가 필요한 항목의 경우 직접 방문하여 점검한 후 종합적인 평가를 내린다. 평가는 준비, 심사, 인증, 사후 관리 등 네 개의 단계로 구성된다. 인 증에 유효 기간이 있으며 재평가 후 인증이 취소될 수도 있다. 한국인터넷진흥원의 ISMS나 PIMS(개인 정보 보호 관리 체계)에서는 별도의 인증 절차를 진행한 308 Copyright c 2014 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014) 다. 단, ISMS 인증과 달리 PIMS 인증 심사 운영은 업무 위탁 협약(2012. 1. 31.)을 통해 개인정보 보호협회(OPA)에서 위탁 수행하고 있다. 심사 운영 업무에는 인증 상담 및 신청 접수, 계약 체결, 인증 수수료 수납 및 심사비 지급, 심사원 섭외 및 심사팀 구성, 인증 심사, 심사결과 보고서 작성 및 인증 위원회 심의 요청 등이 포함된다. 방송통신위원회의 업무를 한국클라우드서비스협회가 맡 고 있는 클라우드 서비스 인증제와 유사하다. 5.2.2 인증 제도 운영안 (1) 민간 평가 기관의 활용 본 연구에서 첫 번째로 제안하는 형태는 공신력 있는 민간 평가 기관을 활용한 평가 인증제이 다. 현재 KCSC 제도는 한국클라우드서비스협회의 인력풀을 활용하여 평가를 의뢰하는 형태로 구 성되어 있다. 기존 인력풀의 구성과 평가 체제는 자의적일 수 있는 개연성이 높아 다소 객관적이 지 못하는 단점이 존재한다. 미국의 FedRAMP의 경우는 이러한 단점들을 보완하기 위해 전문 평 가 대행 기관(3PAO, Third Party Assessment Organization)을 선정하여 운영하고 있다. 국내에서 도 이와 같은 신뢰성 및 공신력을 제공하는 평가 기관에 의뢰하는 형태도 구상해 볼 수 있다. 공신력의 정도를 파악하는 일차적인 문제가 존재할 수 있으나, 자격 요건에 대한 논의를 거치면 충분히 가능한 일이며, 전체적인 인증 과정에 대한 감시를 인증국 등 해당 조직에서 진행하고, 이 후 인증 조건의 유지, 갱신 등의 절차 역시 인증국 등에서 담당한다. 특히, 평가 기관을 국내에 한 정하지 않고, 국제적으로 개방하여 관련 인증 결과 증빙을 전체 인증 과정의 하나로 간주할 수 있 도록 한다. (2) 클라우드 서비스 인증 제도와 상호 운용성 평가 요소의 통합 활용 현행 클라우드 서비스 인증제의 7개 심사 항목에 포함된 세부 평가 지표에는 명목적으로 상호 운용성이 들어있지 않다. 이 7개 항목에 상호 운용성을 추가하여 총 8개의 항목으로 재편하고, 세 부 평가 지표 중 상호 운용성에 포함될 수 있는 것들을 추출, 통합하는 형태로 설계하는 것이다. 이 방법은 클라우드 서비스와 관련된 인증 시스템을 수직적으로 여러 개 운영하는 단점을 해소할 수 있다. 또한, 상호 운용성, 보안 등 별도의 항목을 분리해서 인증해야 하고 받아야 하는 관계 기 관 및 서비스 제공자의 불편을 없애고, 거시적인 인증 체계의 통합과 관리를 꾀할 수 있는 장점이 있다. 한편으로 평가 항목의 수를 최소화하고 밀도 있는 평가와 운영을 위해, 평가 항목을 재편성하고 심사 항목 자체를 조정할 수도 있다. 앞서 도출된 상호 운용성 평가 항목의 내용을 고려해 보면, 기존 클라우드 서비스 인증 항목 중 확장성과 서비스 지속성을 상호 운용성에 포함하는 것이 바람 직하다. 앞서 제시한 클라우드 컴퓨팅 상호 운영성의 요구 사항과 기능도 기존 항목과 연계될 수 있도 록 조정 통합되어야 하므로, 향후 인증 절차와 운영 방식의 확정과 함께 세부 항목의 선별도 요구 Copyright c 2014 SERSC 309

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 된다. 물론 그 전에 기존 클라우드 컴퓨팅 인증 제도와 정책적 제도적 기술적으로 협력과 보완이 가능한 지 다각적인 검토가 선행되어야 한다. 5.3 향후 과제 및 논점 이렇게 기존 클라우드 서비스 인증제와 효율적으로 통합하기 위해서는 다음과 같은 점들이 고 려되어야 한다. - 인증 취득 기업에 대한 가시적인 혜택: 인증 자체가 주는 효과뿐만 아니라, 이를 통해 인증 취 득 기업들이 얻을 수 있는 금전적 비금전적 혜택을 제시할 필요가 있다. - 인증 요구 사항의 완화: 인증에 필요한 요구 사항들이 기업의 업무 기밀이나 과도한 업무 부 담을 요구하게 된다면, 해당 기업에는 일종의 규제로만 인식될 가능성이 크다. 점검 항목뿐만 아니라, 각종 증빙 절차 및 실사 과정을 간결하게 유지해야 한다. - 인증 평가단 구성의 전문성 신뢰성 확보: 전문적이고 믿을 수 있는 객관적 인증 절차를 수행하 기 위해 인증 평가단을 구성하는 전문가들을 학계, 산업계, 정부에서 단순 지정하는 것이 아니 라, 이들에 대한 철저한 검증과 심사가 선행되어야 하고, 인력풀의 공개도 이루어져 한다. 전 문적인 국내외 민간 평가 기관을 선정해 활용하는 것도 방법이다. - 업체 인증과 서비스 인증의 분리: 하나의 업체에서 여러 개의 서비스를 제공할 수도 있고, 하 나의 서비스에 종과 횡으로 여러 개의 업체가 연관되어 있을 수도 있다. 일반적으로 서비스 중심의 인증이 이루어지고는 있으나, 이를 더욱 확실하게 규정할 필요가 있다. 정보 통신 기술 자체와 관련 서비스의 급속한 발전과 보급으로 양적인 확산이 어느 정도 진전 된 지금, 질적 평가뿐만 아니라 서비스 지속성 등을 보장하기 위한 제도적인 뒷받침이 필요한 것 은 사실이다. 다만, 이러한 제도적인 노력이 통일성과 획일성으로 비추어져 서비스 제공자들이 추 가로 창의적이고 혁신적인 제품과 서비스를 개발하는데 걸림돌이 되어서는 안 된다. 우리나라 미 래부의 통신 서비스 품질 평가[12]와 같이 기존 서비스 제공자의 경쟁을 촉발하고 서비스 수용자 의 이해를 도모하고, 관련 정보를 제공하는 수준도 넘어서야 인증 제도의 의의가 있다고 할 수 있 다. 클라우드 상호 운용성 기반의 서비스 평가 인증은 그만큼 정밀하고 전문적인 요소가 요구되므 로 다음과 같은 사항들이 추가로 논의될 수 있어야 할 것으로 보인다. - 정부, 학계, 산업계의 전문적인 평가 시스템 연구 및 구성 - 국내 및 국외 시장을 대상으로 한 국제 수준의 범용 평가 시스템 - 상호 운용성을 비롯한 클라우드 서비스의 핵심 요인 및 클라우드를 포함하는 정보 통신 환경 요소 반영 - 인증 수여 기관의 책임성 확보 - 투명하고 객관적인 평가 및 인증 시스템의 자동화 절차 구현 310 Copyright c 2014 SERSC

보안공학연구논문지 Journal of Security Engineering Vol.11, No.4 (2014) 정부 기관과 기업과 같은 조직 수준의 관심뿐만 아니라 일반 개인 사용자를 포함하는 개인 클 라우드(Personal Cloud) 열풍이 개인용 컴퓨터(Personal Computer)를 능가하는 새로운 PC 혁명으 로 자리를 잡아가기 시작했다. 1980년대 이후 PC 산업에서는 IBM 호환형 이라는 말이 있었다. 이를 통해 수많은 관련 부품 산업들이 경쟁력 있게 성장했고, 사용자들도 자신의 목적과 용도에 맞는 같지만 다른 특색 있는 시스템을 사용할 수 있게 되었다. 이는 궁극적으로 해당 산업의 발 전과 대중화에 큰 기여를 한 것으로 평가할 수 있다. 클라우드 서비스 분야에서도 각 수준의 다양한 클라우드 서비스들이 다양한 목적과 용도로 결 합하고, 분해하며, 진화할 수 있도록 이러한 상호 운용성에 대한 이해와 공감대가 형성되어 개인과 조직의 효과성 효율성을 높일 수 있는 기반이 되도록 할 필요가 있다. References [1] http://blogs.vmware.com/console/2010/07/open-standards-for-interoperability-portability-and-security.html, Jul 19 (2010) [2] National Standard Coordinator, 2013 Insight Into Technology and Standards, December (2012), pp. 188-190. [3] Telecommunications Technology Association, Interoperability Issues and Requirements for Cloud Computing, TTAR-10.0035, December 4 (2012) [4] Telecommunications Technology Association, ICT Standardization Strategy Map Ver. 2012, January 31 (2012) [5] Telecommunications Technology Association, ICT Standardization Strategy Map Ver. 2013, January 31 (2013) [6] K. Kou, A Study on Security-Enhanced Cloud Service E&C (Evaluation and Certification) Scheme, Journal of Security Engineering. (2012), Vol.9, No.6, pp.481-494. [7] http://www.fedramp.gov/, Jul 25 (2014) [8] http://validator.w3.org/mobile/, Aug 12 (2014) [9] http://mobileok.kr, Aug 12 (2014) [10] http://www.cloud-qos.or.kr, Aug 12 (2014) [11] http://isms.kisa.or.kr/kor/intro/intro01.jsp, Aug 12 (2014) [12] http://www.smartchoice.or.kr/smc/smartreport/evaluatepage.do, Aug 12 (2014) Copyright c 2014 SERSC 311

클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발 Authors 이강찬 (Kangchan Lee) 2001~현재한국전자통신연구원 표준연구센터 책임연구원 2001~현재W3C 대한민국 사무국 부국장 2010~현재 TTA 클라우드 컴퓨팅 그룹(SPG21) 부의장 2010~현재 ITU-T 클라우드컴퓨팅 표준작업반(Q17/13) 라포처 관심분야:클라우드 컴퓨팅, 차세대 웹, 빅데이터 이승윤 (Seungyun Lee) 2003년 현재 ETRI 표준연구센터 서비스표준연구실장 (책임연구원) 2008년 현재 W3C 대한민국사무국 사무국장 2006년 현재 TTA 웹프로젝트 그룹(PG605) 의장 2011년 현재 ISO/IEC JTC 1 SC38 WG3(클라우드컴퓨팅) 컨비너 관심분야 : 클라우드컴퓨팅, 차세대웹, 모바일웹, 유비쿼터스웹, ICT DIY 등 양희동 (Hee-Dong Yang) 1991년 7월 : 삼성 SDS 컨설팅팀 1998년 9월 : University of Massachusetts, Boston 조교수 2000년 9월 ~ 현재 : 이화여자대학교 경영대학 조교수, 부교수, 교수 관심분야 : 클라우드 컴퓨팅, 기술 혁신, e-비즈니스, 모바일 비즈니스 박철우 (Chulwoo Park) 2005년 2월 : 서울대학교 경영학 박사(MIS) 2007년 : 서울대학교 경영전문사업단 BK조교수 2008년 ~ 2013년 : 서울대학교 경영연구소 객원연구원 2013년 ~ 현재 : 한양대학교 공과대학 겸임교수 관심분야 : 기술 혁신, 정보 전략, 전자 상거래, e-비즈니스, 모바일 비즈니스, 정 보 자원 관리, 비즈니스 컴퓨팅 312 Copyright c 2014 SERSC