미래부, 클라우드서비스 보안인증사 연내 5곳으로 확대

내년부터 소프트웨어 영역까지 확장 검토 중

최근 ‘워너크라이(WannaCry) 랜섬웨어’ 해킹 공격으로 보안 중요성이 급부상하는 가운데 클라우드 서비스 보안인증업체가 기존 3곳에서 5곳으로 늘어날 전망이다.

28일 미래창조과학부와 한국인터넷진흥원(KISA)에 따르면 클라우드 서비스 보안인증제에 등록하는 업체가 기존 3곳에서 이르면 3·4분기 중에 2곳이 추가돼 총 5곳까지 늘어날 전망이다. 현재 네이버 비즈니스 플랫폼(NBP)과 KT, 가비아 등이 인증을 받은 상태로, 2곳이 추가로 인증업체 명단에 이름을 올릴 것으로 관측된다.

클라우드 시스템에는 빅데이터가 수시로 드나들기 때문에 보안이 핵심이다. 지난해 5월 정부 부처 등 공공기관이 안전하게 민간 사업자의 클라우드 서비스를 이용하려는 목적에서 클라우드 서비스 보안인증제가 도입됐다. 보안 인증을 받지 못한 민간 클라우드 업체는 공공기관의 입찰에 지원할 수 없다. 글로벌 클라우드 업체는 정부의 평가 기준에 반발하며 이러한 보안 인증을 받지 않은 상태다. 공공기관에서 사용하는 클라우드 시스템의 저장 장비를 국내로 제한한 규정 때문이다. 일부 글로벌 업체들은 홍콩이나 싱가포르 등에 구축한 장비를 통해 국내 고객에 클라우드 서비스를 제공하고 있다.

임채태 KISA 클라우드보안관리팀장은 “클라우드 서비스를 사용하는 공공기관의 데이터 유출 사고 시 해외 지역에 저장 설비가 있으면 행정권이나 사법권을 행사하는데 어려움을 겪게 될 것”이라며 “이러한 현실적인 문제를 글로벌 업체에 설명해 추후에라도 (부족한 부분을 보완해) 인증을 받도록 유도할 것”이라고 말했다.


한편 정부는 내년까지 보안인증제 적용 범위를 넓힌다는 계획이다. 현재 마련된 보안인증제는 정보기술(IT) 장비를 빌려주는 기본 클라우드 서비스(IaaS·이아스)만을 대상으로 한 것이다. 앞으로는 운영체제(OS)나 앱(응용 프로그램) 등의 소프트웨어까지 가상의 공간에서 해결할 수 있도록 한 클라우드 서비스(SaaS·사스)까지 영역을 확대하겠다는 것이다. 임 팀장은 “Sass 클라우드 서비스의 보안인증 평가 기준은 업체가 데이터를 어떻게 엄격하게 관리할 수 있는지에 초점을 맞춰 마련할 예정”이라고 밝혔다.

/지민구기자 mingu@sedaily.com

◇ 클라우드 보안인증 절차

최초평가(117개 평가 기준) → 사후평가(연 1회 이상) → 갱신평가(유효기간 3년 만료일 전 실시)

* 자료 : 한국인터넷진흥원(KISA)


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>