정부가 클라우드 서비스 안전성과 신뢰성 검증 방법을 마련한다. 보안 문제로 클라우드를 도입할 수 없던 공공기관도 서비스를 받을 길이 열린다.
한국인터넷진흥원(KISA)은 공공기관이 이용할 클라우드 서비스의 안전성과 신뢰성을 검증할 평가 방법을 개발한다. 클라우드 서비스는 소프트웨어나 하드웨어를 직접 구매하는 것보다 저렴하고 효율적으로 자산을 활용하는 방법이다. 하지만 클라우드는 웹으로 서비스돼 웹과 애플리케이션을 노리는 각종 지능형 공격에 노출됐다.
지난 2012년 방송통신위원회, 지식경제부, 행정안전부 3개 부처와 국가정보원은 공공 클라우드 서비스 보안을 위한 협의체를 구성했지만 이렇다 할 활동을 하지 못했다. 미래부는 지난해 국회에 클라우드 보안책을 담은 ‘클라우드컴퓨팅발전 및 이용자보호에 관한 법률’을 제출했다. 클라우드법은 현재 국회에 계류 중이다. 법에 따르면 공공기관이 클라우드를 도입할 경우 보안 인증을 받은 서비스를 이용하도록 규정했다.
KISA는 관련 법률 제정이 늦어지면서 공공기관 클라우드 도입도 함께 지연돼 먼저 안전성과 신뢰성을 검증할 제도적 장치를 만든다고 설명했다. 우선 클라우드 서비스 안전성 검증 평가 방법을 개발한다. 공공기관이 클라우드 서비스 이용 시 고려해야 하는 보안 점검 항목을 만든다. 클라우드 서비스에 특화한 보안 점검 항목도 제시한다.
KISA는 20여개 클라우드 서비스 기업이 자체적으로 보안 상태를 점검할 수 있는 방법을 만든다. 클라우드 사업자는 조사지 항목을 기반으로 자사 서비스 보안 상태를 분석한다.
이용필 한국인터넷진흥원 정보보호산업기획팀장은 “현재 클라우드 사업자의 보안 실태를 점검해 현실성 있는 안전성 평가 기준을 만들 것”이라며 “공공기관이 보다 안전하고 편리하게 클라우드 서비스를 도입할 수 있는 기반을 조성하는 목적”이라고 설명했다.
[표]클라우드 서비스 보안 실태조사(안)
김인순기자 insoon@etnews.com
