KISA, 상반기 SaaS 클라우드 보안인증 기준 마련

정부가 상반기 서비스형소프트웨어(SaaS) 사업자를 위한 클라우드보안인증 기준을 마련해 하반기 시범 적용하기로 했다. 내년부터 클라우드보안인증 제도 운영 대상을 SaaS로 확대할 계획이다.

클라우드보안인증은 민간 사업자가 공공기관에 클라우드서비스를 제공하기 위해 받아야 하는 인증으로 1년전인 2016년 5월부터 시행됐다. 그간 서버, 네트워크, 스토리지 등 서비스형인프라(IaaS)를 제공하는 사업자만 인증 적용 대상이었다.

인증 제도 주무 부처는 미래창조과학부다. 평가와 인증 관련 정책 수립, 인증기관 지정과 감독을 맡고 있다. 인증기관은 산하기관 한국인터넷진흥원(KISA)이다. KISA는 공공기관에 클라우드서비스를 제공하려는 민간 사업자로부터 신청을 받아, 인증 기준에 맞춰 평가 후 인증을 부여해 왔다.

29일 현재까지 클라우드보안인증을 받은 민간 사업자는 KT, 네이버비즈니스플랫폼(NBP), 가비아, 3곳이다. 이들은 모두 IaaS 사업자로 분류됐다. 최근 KISA는 SaaS 사업자도 인증을 받을 수 있도록 클라우드보안인증 기준을 마련하는 중이라고 밝혔다.

KISA 임채태 클라우드보안관리팀장은 "상반기 SaaS 보안인증 기준을 개발하고 하반기 시범 적용해 연내 SaaS 대상으로 클라우드보안인증 기반을 마련할 것"이라며 "내년(2018년) 클라우드 시장 상황과 여건을 고려해 인증 대상을 IaaS에서 SaaS로 확대할 예정"이라고 말했다.

임 팀장은 이어 "공공기관은 SaaS 인증 기준이 적용되기 전에 SaaS를 이용하지 못하느냐는 의문이 있는데, 원천 이용 불가는 아니다"라며 "특정 서비스를 필요로할 때 기존 보안성검토 체계를 그대로 따르면 되고, 지자체나 일부 기관은 이미 SaaS를 이용 중"이라고 덧붙였다.

그는 "어느 정도 규모가 있는 클라우드사업자는 (SaaS 클라우드보안인증 기준에 관해) 문의를 하고 있고, 일부는 (인증 신청을) 검토하고 있다"며 "하반기중 인증을 받는 SaaS 사업자가 "적어도 5개 나올 것"이라고 전망했다.

인증 제도는 인증 기준 확대와 별개로 아직 갈 길이 멀다. 인증 수요가 많지 않아 정부의 관련 정책 추진 일정이 아직 불명확하다. 사업자가 지불해야 하는 인증수수료, 인증 평가 업무를 맡을 인증평가원 인력 양성, 민간 분야 대상 인증제도 확대 여부 등이 미정 상태다.

임 팀장은 수수료, 평가원 양성, 인증제도 민간분야 적용 확대 계획 등 질문에 "현재 인증수수료는 정부가 일정 기간 진흥 차원에서 지원한다는 정책"이라며 나머지 제도 운영과 관련된 세부 사항은 하반기 시장 변화를 보고 "연말쯤 전체적인 일정과 계획을 발표"할 예정이라 답했다.

인증 제도의 적은 수요를 늘려 나가려면 제도를 둘러싼 부정적인 시각을 극복해야 할 듯하다.

일각에선 클라우드보안인증 제도가 민간 사업자의 부담을 가중시키는 측면이 있다고 지적하고 있다. 일례로 공공기관에 클라우드서비스를 제공하려는 민간 사업자는 클라우드보안인증과 정보보호관리체계(ISMS) 인증의 중복 의문을 제기할 수 있다. 현행 ISMS 인증제도는 일정 규모 이상의 사업자에게 인증 의무를 부과하는데, 그 바탕이 되는 기준은 ISO/IEC 27001로 클라우드보안인증과 마찬가지다.

임 팀장은 "두 인증제도의 기준은 많은 부분이 중복되지만 ISMS는 관리체계 중심이고, 클라우드보안인증은 (ISMS에 없는) 취약점 점검과 모의침투테스트 등 실제 보안장치와 외부 해킹에 대한 방비가 돼있는지 보는 것으로, 취지가 다르다"면서 "또 클라우드보안인증을 신청한 사업자가 ISMS를 이미 받았을 경우 (중복되는) 해당 부분은 점검하지 않는다"고 답했다.

관련기사

오히려 정부와 KISA 측은 인증 제도가 공공기관이 민간 사업자의 클라우드를 쓸 수 있게 '물꼬'를 터 주는 성격이라 강조한다.

임 팀장은 "법률 수준 근거를 갖고 있는 다른 인증제와 달리, 클라우드보안인증은 고시에 근거를 두는데, 이는 규제가 아니라 진흥 차원에서 새로운 시장을 여는 데 도움을 주는 취지"라며 "타 부처에서도 이런 취지로 공통된 목소리를 내면서 인증제가 시행된 것"이라고 말했다.