Update: 서울대에선 iCloud 사용금지

update: 23일 밤에 이것저것 알아봤던 내용이니 부족한 팩트가 많습니다. 몇 가지 추가로 확인된 얘기를 말씀드려야 이 글에 검색, 링크, 기타 경로로 접근하시는 분들에 대한 예의 같아서... 1. 24일자 다른 언론사 보도들을 통해 밝혀진대로 서울대의 조치가 아닙니다. 교육과학기술부에서 전국 국립대에 내려보낸 공문에서 클라우드 컴퓨팅 서비스를 차단해 달라고 한 것이죠. 50개 차단 서비스 목록은 국가정보원에서 나온 거라고 합니다. 2. 교과부에만 간 것도 아닙니다. 국정원에서 정부 모든 부처에 협조 요청을 했습니다. 그런데 차단 대상은 정해지지 않았다고 합니다. 우선은 '중요 업무 문서를 관리하는 국가공무원'을 대상으로 했다네요. 그걸 교과부가 유권해석해 국립대까지 내려보내면서 알려지게 된 것이죠. 3. 결론적으로 국정원은 공무원의 클라우드 서비스 사용을 금지하려 했던 겁니다. 그것도 이달 초 갑자기. 일종의 보안 안전지침인데, 이런 식으로 급작스레 전 부처 정보보안담당자에게 '서비스 차단 요청' 조치가 내려가는 일은 흔치 않다고 합니다. 교과부가 국립대까지 공문을 내려보낸 것도 뭔가 심상찮아 보였기 때문에 그랬던 거라고 하고요. 4. 그러니까 지난달 이전에 정부망에 뭔가 클라우드 서비스를 이용한 자료 절취, 계정 도용, 스파이웨어 배표 등 부적절한 일이 발생했다는 짐작이 가능합니다. 국정원 국가사이버안전센터가 바보들이 아닌데 굳이 공문에 '좀비PC 확산에 사용될 우려'를 적어넣었다는 건 이런 식으로 클라우드 서비스에서 악성코드를 일반 문서 파일처럼 공유시키려는 시도가 있었다는 얘기로도 추정할 수 있겠죠. 5. 하지만 모든 건 짐작입니다. 국정원은 정부망에 대한 각종 공격을 100% 공개하지 않습니다. 지난해 농협 해킹이 북한 소행이라고 했을 때 이러저런 의혹이 제기되자 그제서야 슬그머니 공개되지 않았던 다른 공격을 설명하기도 했죠. 정보기관이란 곳이 원래 그런 곳이라고 하니 할 말은 없지만 이번에도 결국 이 일은 이렇게 유야무야 넘어갈 모양입니다.

23일 온라인에서 화제가 됐던 '서울대 클라우드 사건'의 배경이 된 공문.

요지는 뭔지 알겠다. 클라우드 서비스는 운영 주체가 해외 기업이니 여러 가지 중요한 연구나 국책 사업 관련 연구를 하는 서울대 연구진과 학생들이 이런 해외 기업의 서비스에 기밀 연구 자료를 올리지 말라는 얘기다. 나름 타당한 부분이 없지 않고 이해도 간다. 그런데 이런 조치가 비웃음을 사는 건 어이없는 표현과 몰이해 탓이다. 도대체 한국 최고의 국립대 정보보안팀의 클라우드 서비스에 대한 인식이 이렇다면 어쩌라는 건지.

1. 클라우드 서비스가 좀비PC를 양산한다는 말도 처음 들었고, 2. 직원 전체의 클라우드 서비스 사용을 금지한다면 스마트폰은 다 내다버리라는 뜻과 다를 바 없다. 3. 구성원 전체가 개인PC에서 클라우드 관련 프로그램을 제거해야 한다면 맥을 쓰는 학생들은 그냥 맥 자체를 내다버려야 할 지경이겠고, 4. 심지어 차단 조치 미이행시 학내구성원 전체를 대상으로 서비스를 차단하겠다니 이건 무슨 연좌제를 보는 느낌이다.

심지어 이들은 언론사 취재요청을 받자 "무조건 서비스 이용을 금지한다는 내용이 아니다"라고 반박했다고 한다. 그 말이 틀린 건 아니라서 '무조건 금지'는 아닌 모양인데, 결과적으로 이 공문 내용대로라면 무조건과 별다를 바 없는 아주 이상한 상황이 됐다. 그래서인지 해당 기사에 답한 담당자께서는 공문은 공개할 수 없다고 하신 모양이다. 하지만 꼼꼼하지는 못하셔서 각 단과대 및 학과 게시판에 모두 올려놓으신 공문은 미처 삭제하지 못한 모양이다. 이런 얘기를 쓰는 내 얼굴이 다 화끈거린다. 참고로 서울대 정보화본부가 얘기한 사용을 자제해야 할 클라우드 서비스 목록을 보면 더 황당. 서비스에 서열을 매길 생각은 없지만 아마존 웹서비스가 아이슛과 동급의 취급을 받는 것은 무엇이며, 유플러스박스는 쓰면 안 되는데 드롭박스는 써도 되는 식의 기준은 또 뭔가.

아래는 참고로 서울대 정보화본부가 밝힌 클라우드 서비스 목록.