5월 클라우드컴퓨팅 서비스가 정보보호 기준을 준수하는지 인증하는 제도가 시행된다. 인증제가 활성화되면 공공기관이 안심하고 민간 클라우드 서비스를 이용할 수 있을 전망이다.
미래부와 한국인터넷진흥원(KISA·원장 백기승)은 다음 달부터 클라우드 보안인증제를 시작하며 다음 달 13일까지 사전 참여기업을 모집한다. KISA는 다음 달 9일 양재동 엘타워에서 `클라우드서비스 보안 인증제` 설명회를 개최한다.
사전 모집이 시작되면서 가장 먼저 인증을 획득할 사업자가 어느 곳이 될지 관심이 모인다. 과거 정보보호 시장은 CC인증 획득 순서와 여부에 따라 점유율에 영향을 받았다. 클라우드서비스 보안 인증이 관련 시장 기업 판도에 영향을 줄 가능성이 크다.
클라우드서비스 보안인증제는 공공기관 업무용으로 클라우드를 제공하는 사업자가 대상이다. 클라우드 자산과 조직에 대해 관리적·물리적·기술적 보호조치와 공공기관용 추가 보호조치 등 총 14개 부문 117개 항목을 준수했는지 평가하고 인증한다. 인증 소요 기간은 최소 3개월 이상이다. 사업자별 준비정도에 따라 차이가 발생해 연내 인증 획득을 목표하려면 6월 이전에 신청해야 한다.
KISA는 우선 서비스형인프라(IaaS:Infrastructure as a Service) 서비스를 대상으로 보안인증제를 시행하며 향후 서비스형소프트웨어(SasS:Software as a Service)와 개방형플랫폼(PaaS:Platform as a Service) 등으로 확대한다.
KISA는 클라우드서비스 보안인증 수검을 위해 최소 요구 사항을 점검한다. 클라우드 컴퓨팅 서비스를 위해 도입된 서버와 PC 가상화 솔루션, 정보보호 제품 중에 국제공통기준(CC) 인증이 필수인 제품군을 확인한다. 도입 전산장비 안전성을 점검한다.
클라우드 시스템과 데이터 물리적 위치는 국내로 한정된다. 공공기관용 클라우드컴퓨팅 서비스를 위한 서버와 네트워크, 보안 장비 등 물리자원, 출입통제, 운영인력은 일반 이용자 서비스 영역과 분리 운영해야 한다.
클라우드컴퓨팅서비스 제공 사업자는 네트워크 스위치, 스토리지 등 주요 장비를 이중화해야 한다. 서비스 가용성을 보장하기 위해 백업체계를 갖춰야 한다.
클라우드컴퓨팅서비스로 생성된 주요 자료를 암호화해야 할 경우 검증된 국가표준암호화 기술을 제공해야 한다.
백기승 KISA 원장은 “클라우드산업 등 ICT융합산업 발전을 위해 정보보호가 기본이 돼야 한다”며 “보안인증제 시행, 클라우드 보안 기술·서비스 개발·공유 등 이용자가 안심하는 클라우드 환경과 산업 활성화를 도모할 것”이라고 밝혔다.
미래부는 1월 양재동 엘타워에서 `클라우드컴퓨팅 발전 및 이용자보호에 관한 법률(클라우드 발전법)` 관련 고시안을 발표했다. 4월 4일에는 클라우드 보안 인증제가 포함된 `클라우드컴퓨팅 서비스 정보보호에 관한 기준 고시`를 제정하고 시행했다.
클라우드 서비스 보안인증 수검 최소 요구사항 (자료:KISA)
김인순 보안 전문기자 insoon@etnews.com
