KISA "클라우드 보안인증, 미국이 더 엄격"

클라우드 보안인증 제도를 둘러싼 한국과 미국의 정부 및 사업자간 시각차가 극명하다. 한국 공공부문 클라우드시장 기회를 포착하기 위한 국내외 사업자에게 중대 변수가 될 전망이다.

민간 클라우드사업자가 한국 공공기관에 서비스를 제공하려면 '클라우드보안인증'을 받아야 한다. 인증 제도는 1년 전인 2016년 5월 시행됐다. 사업자가 인증을 받으려면 공공기관의 데이터를 물리적으로 국내에 두고, 보안 공통평가기준(CC)인증을 받은 기반 기술을 써야 한다. 또 사업자는 서비스를 이용하는 민간기업과 공공기관의 데이터를 물리적으로 분리해야 한다.

한국 정부가 보안인증으로 국내에 데이터센터를 두지 않은 사업자에게 클라우드 시장 접근을 제한한다는 게 미국 정부가 파악한 현지 사업자의 목소리였다. 그런데 최근 정부가 요구하는 보안인증 요건은 한국보다 미국이 더 엄격하다는 진단이 나왔다. 한국 공공기관에 클라우드서비스를 제공하기 위한 국내 보안인증 기준을 문제삼는 미국 기반의 다국적 클라우드사업자 입장을 정면 반박하는 메시지다.

발언 주인공은 클라우드보안인증제도 인증기관 한국인터넷진흥원(KISA)의 임채태 클라우드보안관리팀장이다. 임 팀장은 우선 각국 정부의 공공부문 클라우드 시장 동향과 규제 현황 질의에 정부가 보안인증을 전제로 민간 클라우드사업자 서비스를 이용하는 방향은 세계적인 추세라고 진단했다.

"미국이 이미 연방정부에서 (민간 클라우드서비스를) 사용하는 정책으로 흘러가고 있다. 싱가폴도 마찬가지고 영국, 독일, 일본도 공공 쪽에서 클라우드를 이용케하는 정책 방향이 강화되고 있다. 어떻게 보면 우리나라가 속도나 진도 면에서 좀 늦은 감이 있다."

그는 이어지는 발언을 통해 인증 기준이 한국과 대동소이한 다른 나라에 비해 미국의 인증이 좀 더 까다롭다고 주장했다.

"인증 규정은 미국을 제외한 많은 나라가 ISO27001 표준을 바탕으로 만들어졌고, 대동소이하다. 차이는 그걸 어떤 형태로 점검하냐는 방법론 차원이다. 우리가 규정을 참조한 나라 중에 미국 페드램프(FedRAMP)는 더 엄격하다. 인증기준 자체가 300개를 넘고, 제3자가 매 분기별 감사(audit) 후 인증사무국에 결과를 전달하는 식이다. 싱가폴이나 영국 등 나머지는 거의 (한국과) 유사하다."

이런 얘기다. 정부가 민간 클라우드사업자 서비스를 이용하기 위해 공공기관 환경에 맞는 보안인증 기준을 갖추고 있는 것은 일반적인 움직임이다. ISO 27001이라는 국제표준을 기반으로 삼고 있어 한국을 비롯한 각국의 인증 기준이 크게 다르지 않다. 오히려 미국 정부의 '연방 위험 및 인증관리 프로그램(FedRAMP)', 일명 '페드램프'가 갖고 있는 인증 요건이 상대적으로 까다롭다.

임 팀장은 클라우드보안인증 기준 가운데 '클라우드를 사용하는 민간기업과 공공기관의 데이터를 따로 둬야 한다'는 요건을 예로 들었다. 이는 지난 2016년 4월 미래창조과학부가 제정, 고시한 '클라우드컴퓨팅서비스 정보보호에 관한 기준'에 포함된 보안기준 '물리적 위치 및 분리' 조항이다. 이 기준은 클라우드보안인증 제도의 모체 법률인 '클라우드컴퓨팅 및 이용자 보호에 관한 법률'에서 클라우드서비스의 정보보호 기준을 위임한 것이다.

임 팀장은 해당 기준의 조항이 클라우드상의 공공 데이터가 민간 데이터와 혼재돼 발생할 위협을 제거하고, 유출돼도 한국 정부의 행정권, 사법권을 행사하기 위해 필요하다고 설명했다. 미국, 영국, 독일 등 타국 정부도 자국내 위치제한, 민간시스템과의 물리적분리 요구는 동일하다고 덧붙였다. 그런데 다국적 사업자가 한국에서만 이를 받아들이지 못한다면 그건 투자부담을 지기 싫어서일 뿐이라고 지적했다.

"(AWS와 MS는) 우리나라에 투자하지 않고 클라우드서비스만 제공하고 싶어하는 것이다. 민간기업용 데이터센터를 갖고 공공시장에 그대로 진출하고 싶다는 생각인데, (국내 보안)인증을 받기 위한 투자와 설비 확충이 필요한 부분이다. 우리는 시장 규모가 미국만큼 크지 않기 때문에, 하나의 센터로 민간과 공공 서비스 제공을 허용한다. 그 안에 (물리적으로) 분리를 해서 서비스를 제공하라는 기준일 뿐이다."

이 설명만 놓고 보면 마이크로소프트(MS)나 아마존웹서비스(AWS)처럼 미국에 기반을 두고 있는 다국적 클라우드서비스 사업자는 현지 정부의 더 까다로운 클라우드 보안인증 요건을 충족하고 있다는 얘기가 된다. 이들이 한국의 공공부문 클라우드 시장에 진입하면서 그 요건을 충족하기 어렵다고 얘기한다면 그건 '핑계'라는 노골적인 비판이다.

"초기에는 국내에 데이터센터도 짓고 싶어하지 않았다. 영업만으로 매출을 거두고 싶어 했다는 다만 최근 금융권에서 비중요 정보를 클라우드에서 처리할 수 있게 제한이 완화됐고, 다른 산업 분야에서도 규제가 풀리면서 전체적인 국내 시장도 상응하는 규모가 있다고 판단해 한국 데이터센터를 마련한 것이다. 그 뒤 별 얘기 없다가, 트럼프 정권 들어서며 다시 글로벌 벤더 입장을 대변하는 얘기가 나오고 있다."

실제로 다국적 클라우드사업자의 입장을 대변하려는 미국 정부의 의지는 미국 통상대표부(USTR)를 통해 지난 3월말 발표된 '2017년 국별 무역장벽 보고서'에 반영돼 있다. 보고서는 미국이 우선협상 대상국과 감시대상국을 선정하고 통상정책 방향을 설정하는 근거가 된다.

이 보고서가 앞서 인용한 미래부의 클라우드컴퓨팅서비스 정보보호 기준을 문제삼고 있다. 보고서의 해당 본문 일부를 한국어로 옮기면 아래와 같다.

"클라우드컴퓨팅서비스 정보보호(CCPA) 기준은 현지 클라우드컴퓨팅업체를 선호하게 하고 해외 클라우드컴퓨팅업체에 손해를 끼치는 효과가 있다. CCPA 기준은 공공기관을 지원하는 클라우드컴퓨팅 네트워크가 일반 사용자가 소비하는 클라우드컴퓨팅 서비스와 물리적으로 분리되도록 요구한다. 이는 보안전문가들이 가장 민감한 유형을 제외한 나머지 애플리케이션에 대해 불만을 제기한 요구사항이다."

보고서는 CCPA 기준에 담긴, 클라우드서비스 기반기술의 CC인증 요구사항에 대해서도 문제를 제기하고 있다.

"또한 이 기준은 공공기관이 널리 사용되는 많은 국제 표준 알고리즘을 제외하고 정부가 인정하는 특정 암호화 알고리즘을 사용하도록 제한한다. 한국 정부의 정의에 따르면 교육기관, 공공 은행, 공공 병원을 포함한 1만개 이상의 기관이 CCPA 기준을 적용받는다. 이 기준은 준수하지 않더라도 처벌을 받지 않는 '권고'일 뿐이지만 한국 기관은 일반적으로 이 기준을 준수하고, 따라서 시장 접근 기회가 제한된다. 미국의 클라우드컴퓨팅업체는 글로벌 기업이 이런 요구사항을 충족시키는 데 비용 효율적이지 않으며, 한국업체만이 이런 표준을 충족시킬 수 있는 유일한 업체로 남게 된다고 보고했다. 미국 정부와 업계는 이 문제를 계속 면밀히 주시할 것이다."

임 팀장은 USTR 보고서에 인용된 CC인증 요구사항에 대해서는 다국적 사업자들의 오해가 있다고 지적했다.

관련기사

"클라우드보안인증 제도에서 CC인증은 국내 것만이 아니라 국제 CC인증까지 인정하고 있다. AWS에서 제기했던 이슈 중 하나는 가상화 솔루션 기반이 되는 하이퍼바이저의 CC인증이다. 이건 KISA에서 정한다기보다 국가정보원에서 갖고 있는 기준이 있다. 그에 상응하는 수준을 맞춰 줘야 한다. 다른 공공기관과 정부부처는 CC인증 받은 제품을 쓰는데, 클라우드서비스라고 해서 이걸(CC인증 요건을) 풀어줄 수는 없다는 것이다. MS애저의 경우 하이퍼바이저 CC인증 이슈는 없다. 애저는 하이퍼V 기반이고 이미 CC인증을 받아 제공하는 것이라서."

임 팀장에 따르면 클라우드사업자의 기술 CC인증과 관련된 이슈는 이전보다 덜 제기되고 있다. 앞서 언급된 데이터의 물리적 위치, 민간과의 분리 조항이 지속 제기되는 중이다. 그는 다만 보호무역 기조를 강조하고 있는 미국 트럼프 정부가 출범한 이후 과거 이슈가 재부상하고 있고, 이 분위기에 맞춰 사그러졌던 이슈가 재점화할 가능성도 있다고 내다봤다.