-한국아이티평가원 선정, 11월 말까지 기준 마련 및 시범적용 진행

[디지털데일리 백지영기자] 서비스형 인프라(IaaS)에 이어 서비스형 소프트웨어(SaaS)에도 클라우드 보안 인증 기준이 마련된다. 미래창조과학부와 한국인터넷진흥원(KISA)가 부여하는 클라우드 보안인증은 국내 공공 기관에 클라우드 서비스를 제공하기 위해선 꼭 받아야 하는 필수 인증이다.

컴퓨팅 파워나 스토리지(저장공간)을 제공하는 IaaS는 지난해 인증 기준이 마련됐다. 3월 기준 KT와 네이버비즈니스플랫폼(NBP) 두 곳이 인증을 받았다. 몇 곳의 기업이 추가로 인증을 준비 중이다. 인증을 받은 IaaS 사업자 위에서 구동되는 SaaS는 별도의 인증을 받을 필요가 없지만, 아마존웹서비스(AWS)나 마이크로소프트(MS)와 같은 외국계 클라우드 서비스 인프라에서 SaaS를 운영하고 있는 SW기업들에 대해선 인증이 필요하다는 지적이 있었다. 외국계 기업들이 국내 정부의 인증을 받으려면 시간이 걸릴 것으로 예상되기 때문이다.

이에 따라 지난달 KISA는 2억4000만원 규모의 ‘클라우드 SaaS 보안인증 기준 개발 및 시범적용’ 용역과제 제안요청서를 배포, 최근 ‘한국아이티평가원’을 개발 기업으로 선정했다. 한국아이티평가원은 정보보호시스템 평가인증(CC평가)와 신용카드단말기시험, 정보보호 준비도 평가 등을 제공하는 민간 평가기관이다.

KISA는 이번 사업을 통해 공공기관에 적용 가능한 대표 SaaS 서비스 3종을 선정할 방침이다. 데스크톱 가상화(VDI)와 오피스, 보안서비스 등이 거론되고 있다. 또 시범사업 대상자(SaaS 사업자)를 선정해 대표 SaaS 서비스 3종에 대한 인증기준 및 점검 방법론 등을 개발한다. 가상환경 보안이나 접근통제 및 인증 등 SaaS 특화된 기술적 보호조치 개발 및 관리적·물리적 보호 조치 기준 간소화할 방침이다. 인증 평가 기준이 올해 말까지 완료되면, 2018년부터는 적용이 가능할 것으로 예상된다.

관련 업계에서는 어떠한 SaaS 서비스가 기준으로 정해지느냐에 따라 업체들의 대응도 달라질 것으로 내다보고 있다. 또 AWS와 MS처럼 국내에 클라우드 데이터센터를 운영하고 있는 업체들도 클라우드 보안 인증을 획득을 염두에 두고 있는 것으로 알려지면서 SaaS 인증에 회의적인 시각도 존재한다.

특히 정부는 공공부문 클라우드 서비스를 한 곳에 모은 클라우드 스토어 ‘씨앗(Ceart)’을 운영하고 있는데, 이미 74개의 SaaS가 등록돼 있다. SaaS 인증 기준을 이제 마련하는 상황에서, 이미 씨앗에는 한국MS의 오피스365와 같은 서비스도 올려져 있다. 일부 교육청의 경우, 오피스를 도입하는 과정에서 이미 오피스365와 같은 SaaS를 이용 중이다. 미래부와 행자부, 조달청 등 관련 부처의 협의가 제대로 이뤄지지 않다는 지적도 제기된다.

<백지영 기자>jyp@ddaily.co.kr