공공 부문 클라우드 서비스 보안 인증 기준 수립 작업이 본격화된다. 정부가 공공 분야 클라우드 서비스 선제도입 계획을 밝힌 가운데 핵심 쟁점으로 떠오른 정보보호 문제를 해결하는 조치다.
한국인터넷진흥원(KISA)은 내달 클라우드 사업자 정보보호 기준을 마련하는 공청회를 개최한다. 인증제도를 만들어 민간은 자율에 맡기되 공공기관은 보안 기준을 인증 받은 서비스를 이용하게 한다는 구상이다.
KISA는 지난달 클라우드 보안 태스크포스(TF)를 구성했다. 내년 초 조직개편과 함께 공식 활동에 들어간다.
국제 클라우드 보안표준과 미국 클라우드 보안인증(페드램프·FedRAMP) 등을 고려해 기준을 마련한다. 미국, 영국, 일본 등 클라우드 기술을 조기 도입한 국가 대부분 인증제도를 도입한 점을 감안했다.
미국 정부가 2012년 도입한 페드램프는 클라우드 제품과 서비스 보안 평가, 허가 기준 등을 담은 정부기관 클라우드 서비스 인증제도다. 페드램프 인증을 받은 서비스는 다른 정부 기관에도 별도 인증절차 없이 도입 가능하다.
KISA 관계자는 “클라우드 서비스는 결국 글로벌 기업과 경쟁하는 구도가 될 것”이라며 “국내 업계가 경쟁에서 밀리지 않으려면 우선 공공기관에 적용되는 수준으로 올라서야 한다”고 말했다. 국내 클라우드 기업이 자생력과 경쟁력을 갖추려면 공신력을 가진 보안 인증 기준 체계가 필요하다는 설명이다.
지난 9월 발표된 클라우드 서비스 정보보호 대책에 따라 클라우드 정보보호 전문기업 육성과 클라우드 기술에 기반한 정보보호(SecaaS) 기업 지원도 강화한다. 단말·네트워크·사업자보안, 보안정책, 감사 등 클라우드 보안 4대 기술 개발에 집중 투자한다. 시범사업과 실증사업으로 우수기술 적용과 확산을 유도한다.
보안업계 화두로 떠오른 SecaaS는 사업 아이디어와 기술을 평가해 지원한다. 사업화가 이뤄진 서비스나 연구결과도 산업 발전에 도움된다면 지원대상에 포함한다.
강필용 KISA 보안사업단 클라우드보안 TF 팀장은 “클라우드 활성화가 이뤄진 나라는 모두 인증제도로 보안성 기준을 마련했다”며 “우리도 민간은 자율에 맡기지만 공공기관은 제3자 기관에서 인증 받은 제품을 쓸 수 있도록 개선 방안을 수립한다”고 말했다.
<클라우드 정보보호 기준(안)>
박정은기자 jepark@etnews.com