[케이스스터디]클라우드 보안 인증제 Q&A

정부가 내년 클라우드 보안인증을 인프라형소프트웨어(IaaS)에서 서비스형소프트웨어(SaaS)로 확대한다. SaaS 보안인증 기준 방법을 올 상반기 안에 마련하고, 하반기 시범적용으로 인증기반을 다진다. 클라우드 보안인증 서비스가 확대될 전망이다.

클라우드 보안인증제는 그동안 논란이 많았다. 한국인터넷진흥원(KISA) 취재를 바탕으로 클라우드 보안인증제도와 정보보호관리체계(ISMS)중복, 물리적 위치·분리 조항 등 이슈에 대해 문답 형식으로 풀어봤다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

◇클라우드 보안인증제는 어떤 제도?

클라우드 보안인증제는 인증기관이 클라우드 서비스 정보보호 기준 준수여부를 평가·인증한다. 클라우드컴퓨팅서비스 사업자가 제공하는 서비스에 대해 정보보호 기준 준수여부 확인을 기관에 요청해야 한다.

'클라우드컴퓨팅 기본계획'이 바탕이다. 국가정보원·미래창조과학부·행정자치부는 2015년 클라우드 보안인증제도를 마련했다. 지난해에는 인증 실시에 들어갔다. 정보보호 기준 준수여부 확인을 규정한 '클라우드 정보보호 고시 제7조'도 근거다.

공공기관에 안전성·신뢰성이 검증된 민간 클라우드 서비스를 공급하는 것이 목적이다. 이용자 보안 우려 해소와 클라우드 서비스 경쟁력 확보도 도모한다. 클라우드 서비스 제공자는 클라우드 서비스를 이용하는 공공기관 정보화 사업 입찰 참여가 가능하다. 클라우드 서비스 이용자인 공공기관은 안전한 민간 클라우드 서비스 이용환경 조성과 보안 우려를 통한 이용 활성화를 노린다.

◇평가 과정과 종류·체계는?

최초평가·사후평가·갱신평가로 진행한다. '최초평가'는 클라우드서비스 보안인증을 처음 취득하기 위한 평가다. 중요한 변경사항이 발생하더라도 최초평가를 진행한다. '사후평가'는 인증 취득 후에도 지속적으로 보안 평가·인증 기준을 준수하는지 확인한다. 연 1회 이상 실시한다. 갱신평가는 유효기간인 3년 만료일 이전에 유효일 연장을 목적으로 수행한다.

KISA에서 평가·인증을 담당한다. △평가·인증 신청접수 △평가·인증기준 지침 개발 △평가를 통한 인증업무 수행 △인증서 발급·인증 클라우드 서비스 관리가 주요 업무다. 미래창조과학부는 △평가·인증 관련 법·제도 개선과 정책 수립 △평가·인증기관 지정·감독을 담당한다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

◇클라우드 보안인증과 ISMS는 중복인가?

KISA는 클라우드 보안인증과 ISMS 인증이 일정 부분 중복이 발생할 수 있다고 말한다. ISMS 인증 기준은 모든 정보통신 서비스를 포괄하는 기준으로 클라우드도 대상에 포함하기 때문이다.미국, 일본 등 주요국가도 클라우드 인증과 정보보호 인증을 별도로 실시한다.

클라우드 보안인증은 공공기관 조달 서비스를 대상으로 한정한다. 취약점·침투테스트 등 기술 점검에 초점을 맞췄다. KISA는 중복 부분 간소화 방안에 대해 인증 기준·범위를 고려해 개정해 검토하고 있다고 밝혔다. KISA 관계자는 “클라우드 사업자가 ISMS를 받으면 해당 영역은 보지 않는 방안으로 고려중”이라고 밝혔다.

클라우드 보안인증과 정보보호관리체계인증(ISMS) 비교. <자료 한국인터넷진흥원(KISA)>
<클라우드 보안인증과 정보보호관리체계인증(ISMS) 비교. <자료 한국인터넷진흥원(KISA)>>

◇클라우드 보안 인증이 글로벌 업체에 진입 장벽?

글로벌 기업은 공공기관용 민간 클라우드 보안 기준 중 '물리적 위치·분리 조항'이 과도하다고 지적한다. 한국 시장 진입장벽이 과도하다는 분석이다.

해당 조항은 '클라우드 정보보호 기준' 고시에 따라 적용됐다. 공공기관에서 사용하는 클라우드 시스템·데이터에 한해 국내에 물리 위치가 있을 것을 제한한다. 클라우드 데이터 국내 저장은 해외 주요국가도 적용하는 사안이다. 미국은 데이터센터 위치를 자국에 한정한다. 영국, 독일은 공공기관용 클라우드 시스템 자국 내 위치 제한이 필수다.

KISA는 민간·공공 정보 혼재로 발생하는 보안 위협 제거와 해외 유출 사고 시 행정·사법권 적용을 위해 필요한 조치라고 설명한다. 글로벌 기업을 대상으로 설명을 이어갈 계획이다.

클라우드 보안인증 물리 위치 해외사례. <자료 한국인터넷진흥원(KISA)>
<클라우드 보안인증 물리 위치 해외사례. <자료 한국인터넷진흥원(KISA)>>

◇클라우드 인증제 향후 확대 계획은?

정부는 내년 클라우드 보안인증을 IaaS에서 SaaS로 확대한다. SaaS 보안인증 기준 방법을 올 상반기 안에 마련한다. 하반기 시범서비스를 시행한다.

보안인증 대상 확대에 따라 민간 평가기관 활용·보안인증 평가원 양성 방안을 마련할 예정이다. 필요에 따라 보안인증제를 민간에도 적용한다 방침이다. 다만 수요 예측이 어렵고, 예산 문제가 걸림돌이다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com

위방향 화살표