가온아이 비아이매트릭스 비젠트로 아이티콤 엠투소프트 지티원 티맥스소프트 토마토시스템 포시에스 핸디소프트 데이터스트림즈 알티베이스 나무기술 알서포트 위엠비 엔키아 인프라닉스 마크애니 스콥정보통신 이글루시큐리티 지란지교시큐리티 파수닷컴 피앤피시큐어
12.19
뉴스홈 > 종합/정책
“SaaS 보안인증, 클라우드 활성화 걸림돌은 아니다”클라우드 활성화 걸림돌로 지적된 KISA의 답변

[아이티데일리] 우리나라 전체 공공기관의 민간 클라우드 서비스 활용률은 얼마나 될까? 클라우드 발전 기본 계획서에 따르면 올해 말까지 40% 이상 활성화를 목표로 설정해 놓고 있지만, 목표의 절반을 약간 웃도는 수준인 것으로 파악되고 있다. 활성화가 제대로 안 되는 가장 큰 이유로는 ▲공공기관 담당자들의 클라우드 서비스에 대한 인식 부족 ▲까다로운 보안인증과 오랜 인증 기간 ▲클라우드 서비스 조달 방식 등의 문제라는 게 전문가들의 공통된 지적이다.

본지는 이에 대한 해답을 찾기 위해 지난달 9일 ‘클라우드 서비스 유통 활성화 방안’이라는 주제로 관련 기업, 수요기관, 그리고 관련 부처인 과학기술정보통신정부와 산하기관인 한국정보화진흥원 등과 공동으로 좌담회를 개최했다.

좌담회에 참석한 패널들은 위와 같은 문제들을 지적했고, 그동안 쌓였던 정부의 활성화 정책, 특히 보안 및 조달 방식 등에 대한 문제점 지적에 대해서는 봇물 터지 듯 성토와 하소연을 쏟아냈다. 서비스 기업들은 기업들대로, 수요기관은 수요기관들 대로 각각 어려움을 호소했던 것이다. 그것은 곧 제대로 된 정책을 마련하지 못했다는 것임에 분명하다. 물론 완벽한 정책이나 제도를 마련하기는 쉽지 않다. 그러나 기본적으로 시장이 활성화 될 수 있도록 여건은 만들어 주는 게 산업을 육성하고 일자리 창출도 가능하다.

이번 좌담회에서 가장 뜨거운 감자로 떠오른 이슈는 ‘보안’이었다. 본지는 이에 따라 한국인터넷진흥원(KISA)에 클라우드 활성화에 걸림돌로 지적된 ‘클라우드 보안 인증 제도’에 대해 질문했고, KISA는 이에 대한 답을 보내왔다. 그 내용을 그대로 전달한다. (좌담회 상세 내용은 컴퓨터월드 12월호 참조)

   
 
1. SaaS 시행 이후 보안인증을 신청한 기업은 몇 군데고, 인증을 받은 기업은 어디인가?

SaaS 인증은 7월부터 정식 시행되고 있다. 현재는 사업자 평가 및 인증 부여가 진행 중이다. 최근(20일) 네이버 비즈니스 플랫폼에서 ‘웹 시큐리티 체커’, ‘시스템 시큐리티 체커’ 등 2종의 SaaS에 인증이 부여됐다. 현재 인증 신청 건수는 없으며, 신청을 위해 IaaS에 시험 구축하고 있는 사업자가 4개 정도다. 실제 신청을 이어질지는 아직 미지수다. 공공존에 들어갈 때 인증을 요구하는 것은 맞지만, 인증 신청을 위해 임시로 올릴 수 있도록 진행하고 있다. 한 기업이 지적했던 공문 이야기는 잘못 알고 있는 것으로 생각된다. 이미 임시로 올려 추진하고 있는 기업이 있기 때문에 반증이 됐다고 생각한다.


2. 인증보안 신청 시 소요되는 기간은 얼마나 되고, 인증심사 대상자는 어디인가.

클라우드 서비스 보안인증 평가는 신청부터 발급까지 총 3~9개월 소요된다. IaaS 인증 심사 중 평가 기간은 예비점검 3~5일 – 서면/현장평가 5~7일 – 취약점 점검 7~10일 – 모의침투테스트 10일로 최장 1개월 정도 소요된다. SaaS 인증의 평가기간은 예비점검 3~5일 – 서면/현장평가·취약점 점검(동시)7~10일 – 모의침투테스트 10일로 최장 25일이 소요될 것으로 예상된다.

인증심사 대상자는 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 제 20조에 따라 공공기관의 업무를 위해 클라우드 서비스를 제공하려는 자다. 더불어 동법 시행령 2조에 따라 클라우드 컴퓨팅 기술을 이용해 정보시스템의 인프라, 응용 프로그램, 개발환경 중 하나 이상을 제공하는 클라우드 서비스가 평가대상에 해당된다. 현재 PaaS는 인증 수요가 적어 평가대상에서 제외되며 향후 수요 증가 시 시행을 검토할 예정이다.

SaaS 서비스의 경우 기본적으로 클라우드 보안 인증을 받은 IaaS 환경에서 구축돼야 하며, 망분리 규정에 따라 외부망에서 이용할 수 있는 서비스도 보안인증의 평가대상에 속한다. 신청기관은 도입인증 요건을 만족시킨 정보보호 제품의 보안기능을 활용해 서비스를 구축해야 하며, 평가기관은 보안 기능을 제외한 나머지를 평가한다.


3. 인증으로 인해 클라우드 서비스 활성화가 안 된다는 지적인데, 왜 이런 지적이 나오는가.

이런 문제 제기에 관해서는 주관적인 요소가 있는 것으로 보인다. 인증 취득 기준은 모든 기업에게 동일하며, 인증에 대한 준비 여부에 따라 기업들이 상대적으로 느낄 것으로 생각된다.

가이드라인이 없다는 주장에 대해서는 이미 몇 차례 설명회를 개최한 바 있으며, 홈페이지를 통해 안내서를 제공하고 있어 참고하면 된다. 안내서 내용이 어렵다고 한다면, 우리 담당팀에서 안내해주고 있다.


4. IaaS 사업자와 협력해야만 통과(IaaS, SaaS 평가기준 중복 등)할 수 있는 항목이 있다는 문제가 제기되고 있다.

이런 부분에 대해서는 기업의 정확한 피드백이 있으면 개선에 도움이 될 것 같다. 아직 제도 시행이 초기인 만큼 지속적인 관심과 의견을 주면 제도 개선을 위해 노력해 나가겠다.


5. 클라우드 보안 인증 운영은 어떻게 되고 있는가.

현재 클라우드 보안 인증 담당 팀은 11명으로 구성돼 있다. SaaS, IaaS 인증팀을 따로 구분하고 있진 않다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오