[아이뉴스24 김국배기자] 아마존웹서비스(AWS), 마이크로소프트(MS) 등 외국계 클라우드 기업의 클라우드 인프라를 이용하는 서비스형 소프트웨어(SaaS)는 당분간 공공부문에 진입하기 어려울 전망이다.
정부가 SaaS 사업자에 요구하는 보안인증 범위에 인프라가 포함돼 있어 사실상 현재 인증을 받은 KT, 네이버비즈니스플랫폼(NBP) 등 국내 기업을 이용할 가능성이 커졌기 때문이다.
7일 한국인터넷진흥원(KISA)은 'SaaS 보안인증 기준 및 평가방법' 설명회를 열고 내년에 운영하게 될 SaaS 대상 클라우드 보안인증 추진 계획을 발표했다.
앞서 지난해 시행된 클라우드 보안인증 제도는 서비스형 인프라(IaaS)를 대상으로 해 KT, NBP, 가비아가 인증을 받은 상태다. KISA에 따르면 연말까지 1곳, 내년초까지 1곳이 추가된다.
SaaS 인증 평가 대상은 오피스, 협업도구, 데스크톱가상화(VDI), 서비스형 보안(SECaaS) 등이다. IaaS 인증 기준과 비교하면 물리적·인프라 보안은 축소하고 개발 보안, 공급망 관리 등을 강화했다.
실제로 통제 항목수가 IaaS 인증 평가기준의 경우 117개였으나, SaaS에서는 78개로 33% 감소했다. 인증을 받으려면 최소 2~3개월 이상 소요될 것으로 예상된다. SaaS 대상 클라우드 보안 인증 제도는 내년 1분기 2차 설명회 이후에나 운영될 것으로 보인다.
세부 평가 기준을 떠나 주목할 부분은 SaaS 보안 인증 범위에 해당 SaaS가 구동되는 IaaS, 즉 인프라 보안까지 포함된다는 점이다.
즉, SaaS 보안 인증을 받으려면 IaaS 범위까지 함께 인증을 받거나 이미 인증을 받은 IaaS를 이용해야 한다는 뜻이다. 대부분의 SaaS 사업자가 영세하다는 점을 감안하면 직접 인프라를 구축하고 인증을 받기 어려워 후자를 택할 수 있다.
더욱이 AWS, MS 등은 현재 클라우드 보인인증을 받지 않은 상태다. 향후 받게 된다면 상황이 변할 수 있지만 현재로선 가능성이 낮게 점쳐지는 상황이다.
이에 따라 민간 클라우드 시장에서 고전을 면치 못하고 있는 국내 클라우드 기업이 공공부문에서 수혜를 입을 지 주목된다. 다양한 SaaS 사업자를 우군으로 확보할 경우 진입하기 조금 더 쉬워질 수 있다는 분석이 나온다.
다만 현재 공공부문의 민간 클라우드 도입이 매우 더딘 편이라는 점이 넘어야 할 산이다. 현행 가이드라인 적용 시 민간 클라우드를 이용할 수 있는 공공기관의 정보자원이 극히 제한적인 수준이라는 지적이 나오는 것이 현주소다.
임채태 KISA 클라우드보안관리팀장은 "공공부문에서는 민감 데이터 이전 문제로 오피스, ERP보다는 부담이 적은 시스템 모니터링 서비스, 보안 서비스 등의 SaaS가 활성화될 것으로 예상된다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기