- 시범적용 거쳐 내년 제도화, 전문가 “ISO 27018 등 국제표준 반영해야” 지적

[디지털데일리 이유지기자] 공공기관이 민간 클라우드 서비스를 이용할 수 있도록 클라우드 사업자에 부여하는 보안인증 기준이 연내 확정될 전망이다.

클라우드 보안인증은 미국에서 연방정부의 클라우드 서비스 도입을 위해 지난 2012년 6월부터 운영하고 있는 ‘페드램프(FedRAMP)’의 한국판이다. 민간 클라우드 사업자가 보안기준을 준수해 안전하게 서비스를 운영하고 있는지 평가·검증해 인증을 부여하는 제도다.

미래창조과학부와 한국인터넷진흥원(KISA)은 올해 안에 클라우드 서비스 보안인증 기준을 수립해 내년 상반기 시범적용을 거쳐 제도화를 추진하기로 했다.

한국개인정보보호협의회(KCPPI)와 개인정보보보호범국민운동본부가 한국프레스센터에서 18일 개최한 개인정보보호 전문가 포럼에서 손경호 한국인터넷진흥원(KISA) 보안산업단장은 “공공기관이 민간 클라우드 사업자를 쓸 때 해당 서비스가 안전한지 확인하기 위한 인증기준을 올해 말까지 마련할 방침”이라며 “현재 수립하고 있는 ‘공공기관의 민간 클라우드 서비스 보안 기준’에 준하는 보안수준 평가가 이뤄질 계획”이라고 말했다.

손 단장은 “현재 공공기관이 클라우드 서비스를 안전하게 사용할 수 있는 가이드가 부족한 상황이고 아직까지 국내 클라우드 서비스 보안은 글로벌 사업자 대비 60~70% 수준”이라며 “필요한 보안통제 항목을 비롯해 이를 만족하는지, 현장실사와 모의해킹 방식을 포함해 안전성을 확인하는 절차가 필요하다”고 강조했다.

앞으로 클라우드 보안인증제도가 시행되면 공공기관은 이 보안인증을 받은 민간 클라우드 서비스를 선택해 이용할 수 있게 된다.

손 단장은 “공공기관이 IT 시스템을 도입할 경우와 마찬가지로 공공기관이 클라우드 서비스를 사용하기 위해서는 국가정보원에 보안성 검토를 신청해야 한다”며, “국내 공통평가기준(CC)인증을 받은 제품을 도입할 경우 보안성 검토를 면제해주는 것처럼 공공기관은 클라우드 보안인증을 받은 서비스를 바로 이용할 수 있도록 하는 방향에서 제도 추진을 논의하고 있다”고 설명했다.

공공기관이 민간 클라우드 서비스를 이용하기 위해서는 우선 국가정보원이 준비하고 있는 ‘공공기관 민간 클라우드 컴퓨팅 사용기준’ 등의 지침이 확정돼야 한다.

염흥열 순천향대 교수는 “개인정보보호 측면에서 신뢰할 수 있는 수준의 서비스를 제공하기 위해서는 클라우드 사업자에 대한 개인정보보호 인증기준이 필요하다”면서 “국내 사업자를 위한 개인정보보호 기준과 인증제도가 갈라파고스가 되지 않도록 ISO/IEC 27001(정보보호관리체계 요구사항)과 27002(보안관리 통제), 27018(클라우드사업자 개인정보보호 통제) 국제표준을 최대한 반영해 인증체계를 구축해야 한다”고 강조했다.

토론자로 나선 김명호 한국마이크로소프트 최고기술임원(NTO)은 “독자적인 모바일 플랫폼 국내 표준이었던 ‘위피(WIPI)’는 국내 기업 육성은 고사하고 IT갈라파고스화만을 촉진했을 뿐 육성된 기업은 극소수에 불과했다”며 “클라우드에서는 ISO27018 등을 포함해 국제적으로 통용되는 표준과 관행, 제도 등을 적극 채택하고 활용해 WIPI 실패를 반복하지 말아야 한다”고 지적했다.

미래부는 현재 클라우드 보안인증제도를 위한 기준과 평가체계 수립작업 외에도 클라우드 사업자의 관리적·기술적·물리적 보호 조치에 대한 정보보호 기준을 마련하고 있다. 이 지침은 내달 공청회 등을 거쳐 시행될 예정이다.

또한 사업자들이 자율적 정보보호 조치 현황을 공개하고, 정보보호컨설팅 전문기업을 통한 사업자 정보보호 수준을 진단할 수 있도록 지원할 방침이다.

사업자와 정부기관 간 취약점 등 정보공유를 위한 클라우드 정보공유분석센터(Cloud-ISAC) 구축, 이와 연계한 사고대응체계(Cloud-CERT) 단계적 구축, 사업자 대상 정기 보안점검 등도 계획하고 있다.

공공 클라우드 보안 관련정책은 국가정보원과 행정자치부, 미래창조과학부, 국가보안기술연구소, KISA 등이 함께 협의를 진행 중이다.

<이유지 기자>yjlee@ddaily.co.kr