아마존웹서비스(AWS)는 클라우드서비스 인프라에 대한 한국인터넷진흥원(KISA) 정보보호관리체계(ISMS) 인증을 획득했다고 16일 밝혔다. 이를 통해 고객들의 ISMS 인증 절차가 간소화할 것이라는 주장을 내놨다.
ISMS는 과학기술정보통신부 산하기관 KISA가 시행 중인 인증제도다. 인증은 심사를 통해 정보자산을 안전하게 보호하기 위한 체계를 안정적이고 신뢰성 있게 운영 중이라 인정된 기업과 기관에 부여된다. 인증심사 기준은 정보보호 관리과정 5개 분야 12개 통제항목, 정보보호대책 13개 분야 92개 통제항목을 포함한 104개 통제항목으로 구성돼 있다.
그간 ISMS 인증심사는 기업이나 기관이 자체 운영 중인 전산시스템이나 데이터센터 인프라를 포함한 정보자산을 대상으로 이뤄졌다. ISMS 인증 의무가 있는 조직이 클라우드서비스를 사용 중일 경우, 해당 서비스는 물리적으로 소유했거나 직접 관리할 수 없는 자산을 기반으로 이뤄지기 때문에 인증 범위로 잡을 수 없었다. 그래서 클라우드서비스 사용 환경에 ISMS 인증이 적용되지 않았다.
지디넷코리아는 앞서 AWS코리아가 ISMS 인증을 획득했다는 소식을 전한 바 있다. [☞관련기사] 다만 엄밀히 말해 ISMS 인증 획득 주체는 AWS코리아가 아니라 미국 본사(Amazon Web Services, Inc.)다. 서울 리전 인프라를 소유 및 관리하는 주체는 AWS코리아가 아니라 미국 본사이기 때문이다. ISMS 인증은 심사 대상이 되는 정보자산의 물리적 소유 및 관리 권한을 갖고 있는 조직에게 주어진다.
■"ISMS 인증 클라우드, 고객 인증 비용·시간 절감" 주장
AWS는 지난해말 서울 리전의 인프라 운영 범위에 대한 ISMS 인증을 받았다. 인증 유효 기간은 2017년 12월 27일부터 2020년 12월 26일까지 3년간이다. 회사측은 KISA가 컴퓨트, 스토리지, 네트워킹, 데이터베이스, 보안 등 28개 서비스를 포함한 AWS 서울 리전 인프라 운영 심사를 마쳤다고 설명했다. 이로써 한국 최초로 ISMS 인증 사업자가 된 글로벌 클라우드 서비스 제공업체가 됐다고 강조했다.
AWS는 자사처럼 ISMS 인증을 받은 사업자의 클라우드서비스는 이를 사용하는 조직이 ISMS 인증심사를 받는 절차를 간소화하는 효과를 제공한다고 주장했다. 특히 ISMS 인증 의무대상 기업이 자사 클라우드서비스를 사용하면 인프라 신뢰성을 높이고 인증 획득에 소요되는 비용과 시간을 절감할 수 있을 것이라고 강조했다.
AWS 보안부문 채드 울프(Chad Woolf) 부사장은 "ISMS 인증 획득은 한국 고객과 고객 보안에 대한 우리 책무를 강화할 수 있는 계기였다"며 "ISMS 인증 절차를 간소화할 수 있을 뿐아니라 민감한 워크로드에 AWS 클라우드를 사용할 수 있을 것"이라고 말했다.
하지만 이는 KISA 측에 문의 결과 사용 기업이나 기관의 ISMS 인증심사 범위나 항목이 줄어든다는 의미는 아니었다. 실제로 AWS 클라우드서비스 사용 조직이 ISMS 인증심사를 통해 어떤 비용 및 시간 절감 효과를 얻을 수 있을 것이라 단언하긴 어렵다.
■ISMS 인증 반기는 AWS 클라우드 사용 기업, 기관들
AWS는 신한금융지주, 네오위즈, 티몬, 고려대학교 등 국내 고객이 자신들의 클라우드서비스에 대한 ISMS 인증 획득을 반긴다고 전했다. 이들 중에 네오위즈, 티몬 등 ISMS 인증을 획득한 회사도 있다.
신한금융지주 조영서 디지털전략팀 본부장은 "AWS가 ISMS인증을 획득한 것은 금융 분야를 비롯해 다양한 산업에서 클라우드 도입에 따른 보안 과제를 해결하기 위한 끊임없는 노력의 결과"라며 "신한금융그룹은 앞으로도 계속 AWS와의 긴밀한 협력을 바탕으로 의사결정을 앞당기고 IT 비용을 절감하는 동시에 의미 있는 통찰력을 확보함으로써 차별화된 고객 가치를 창출해 나갈 예정"이라고 말했다.
네오위즈의 최중섭 정보보안실장(CISO)은 "이번 인증 획득으로 AWS는 네오위즈의 미래 비전과 비즈니스 목표를 달성하는 데 매우 신뢰할 수 있는 조언자라는 사실을 보여줬다"며 "AWS의 검증된 클라우드 서비스를 바탕으로 네오위즈는 인프라 관리에 대한 규정 준수 부담을 줄임으로써 핵심 비즈니스에 보다 집중할 수 있게 됐다"고 말했다.
관련기사
- AWS코리아, 클라우드 서비스에 ISMS 인증 받았다2018.01.16
- AWS, 비즈니스용 알렉사 공개2018.01.16
- AWS, 클라우드 네이티브 IDE '클라우드9' 공개2018.01.16
- 염동훈 AWS코리아 대표, 본사 CEO 기술자문으로2018.01.16
티몬의 장석은 정보보안실장(CISO)는 "AWS는 국내 고객과 정부의 정보보안 요구사항을 지속적으로 충족시켰다"며 "이러한 성과는 AWS가 탁월한 서비스를 제공함과 동시에 보안을 최우선 순위로 두고 있음을 보여준다"고 말했다.
고려대학교 정보전산처장 이경호 교수(CIO/CISO)는 "AWS의 ISMS 인증 획득으로 교육분야에서도 비용효율적인 클라우드 서비스를 이용해 IT 인프라 관리 비용과 노력을 절감할 수 있게 됐다"며 "정보보호와 규정 준수에 대한 정부의 요구사항을 효과적으로 만족시킬 수 있을 것으로 기대한다"고 말했다.
