정부가 공공기관의 클라우드 서비스를 활용을 촉진하고, 안전성을 보장하기 위해 클라우드 서비스 사업자에 대한 보안성을 확인해 인증을 부여하는 '클라우드 보안인증제도'를 운영할 계획이다.
18일 한국개인정보보호협의회(KCPPI)와 개인정보보보호범국민운동본부가 한국프레스센터에서 공동 주최한 '클라우드 환경과 개인정보보호 과제' 포럼에서 발표를 맡은 한국인터넷진흥원(KISA) 손경호 보안산업단장은 "민간 클라우드 서비스 사업자가 일정 수준의 보안성을 갖췄는지 보증하기 위해 올해까지 보안인증 기준을 마련해 내년 6월부터 시범적용해 제도화를 추진할 계획"이라고 밝혔다.
보안인증은 미국이 2012년 6월부터 도입해 운영하고 있는 'FedRAMP'와 마찬가지로 민간 클라우드 사업자가 안전하게 서비스를 운영하고 있는지에 대한 보안성을 검토해 인증을 부여하는 제도다.
이전까지 공공기관이 어떤 시스템이나 서비스를 도입했을 때 반드시 국가정보원으로부터 보안성 검토를 받아야 했다. 손 단장에 따르면 현재 검토 중인 클라우드 보안인증은 사전에 이러한 보안인증을 받은 사업자의 서비스를 이용할 경우 보안성 검토 과정을 면제해 주는 방식으로 활용될 것으로 전망된다.
클라우드 서비스를 도입하려는 공공기관 입장에서는 기본적인 보안성을 검토한 서비스를 더 빠른 기간 내에 활용할 수 있게 되는 것이다. 일반적인 보안성 검토에 걸리는 시간은 길게는 수개월 이상에 달하는 것으로 알려졌다.
관련기사
- MS, 이스라엘 보안회사 속속 인수...왜?2015.11.18
- 클라우드법 시행 눈앞...보안은 어떻게?2015.11.18
- "클라우드로 보안 역량 강화할 수 있다"2015.11.18
- 클라우드가 PC보다 위험?…오해와 진실2015.11.18
현재는 보안인증제를 만들기 위해 미래창조과학부, KISA, 국정원 등이 관련 기준에 대해 협의 중이다.
손 단장은 "아직 입법까지 검토하고 있는 단계는 아니다"라며 "보안인증기준을 마련한 뒤 체크리스트, 사업자에 대한 인터뷰, 모의해킹 등을 통해 보안성을 검증할 계획"이라고 밝혔다.
