클라우드 보안 인증 주무기관인 한국인터넷진흥원(KISA)은 이미 올초 ‘클라우드 SaaS 보안인증 기준 개발 및 시범적용’을 위해 한국아이티평가원을 개발 기업으로 선정한 바 있다. 이후 지난 13일에는 SaaS 사업자를 대상으로 인증기준에 대한 적합여부를 확인하기 위한 시범인증을 추진한다고 밝혔다.

‘클라우드 보안 인증제’은 국내 공공기관이 민간 클라우드 서비스를 안전하게 이용할 수 있도록 마련한 제도다. 지난해 5월부터 서비스형 인프라(IaaS) 사업자를 대상으로 시행 중이다. 6월 기준 KT(G클라우드), NBP(네이버 클라우드 BIZ-G), 가비아(G클라우드 공공) 등 3개사가 인증을 받았으며, 올해까지 최소 2~3개의 기업이 인증을 받을 것으로 예상된다.

KISA 측은 클라우드 보안 인증 받은 IaaS 서비스에 구축 예정이거나 민간 IaaS 클라우드에 구축해 운영 중인 SaaS 서비스 사업자를 대상으로 시범사업을 시행할 예정이다. 이를 통해 국내 SaaS 환경에 적합한 보안인증 기준을 수립하고, 사업자는 자체적인 보안 수준향상 및 인증을 사전에 준비할 수 있는 기회가 제공한다고 설명했다.

KISA에 따르면, 대상 서비스별 점검기준 및 방법론을 적용해 서면·현장평가, 소스코드 점검, 취약점 점검·모의침투테스트 등 SaaS 보안인증을 시범 적용할 예정이다. 당초 오피스 SW와 보안, 데스크톱 가상화(VDI) 등 많이 사용되는 SW에 한해 시범사업을 적용할 것으로 예상됐다. 하지만 KISA 측은 시범사업 공고에는 특정 서비스를 명시하진 않았다. 7월 중 사업자를 선정하고 시범 사업을 실시할 예정이다.

이와 관련, 국내 SW업체의 반응은 다양하다. 대체적으로 보안 인증을 통해 신뢰성을 확보할 수 있다는 점에선 긍정적이지만, 보안 인증에 소요되는 시간과 비용을 고려하면 또 다른 진입장벽이 될 수 있다는 우려섞인 목소리도 있다.

한글과컴퓨터 관계자는 “클라우드 보안인증이 SaaS로 확대되면, SaaS 기업들의 공공시장 진입장벽은, 아무래도 전보다 높아질 수 밖에 없을 것으로 예상된다”면서도 “다만 장기적으로 보았을때 클라우드 산업이 안고있는 과제인 ‘보안’ 해결을 위해 정부가 나선다는 점에서는 클라우드 산업전체에 신뢰를 높이는 긍정적인 영향도 있을 것으로 기대한다”고 설명했다.

그는 이어 “공공클라우드 시장규모를 적극적으로 키워나가기 위해서는, SaaS 기업들 중 많은 중소기업이나 스타트업들에게 클라우드 보안인증 비용이 인증획득의 변수가 될 수 있다는 점을 고려할 필요가 있다”고 덧붙였다.

국내 전사적자원관리(ERP) SW 업체 관계자는 “이미 미국이나 유럽 등 다른 나라에는 SaaS 인증이 있는 것으로 안다”며 “하지만 현재로서는 SaaS 인증을 준비하기보다는 보안 인증을 받은 IaaS 사업자 위에 공공기관용 ERP SaaS를 별도로 만들어 올리는 것을 고려 중”이라고 말했다.

KISA 측은 “우선 시범사업을 통해 이를 검증해보고, 올해 말 경 공청회나 설명회를 통해 관련 내용을 발표할 기회가 있을 것”이라며 “그때 전반적인 인증 로드맵 등이 논의될 것으로 보고 있다”고 말했다.

한편 현재 정부는 공공기관의 위한 별도의 클라우드 마켓 플레이스(스토어) ‘씨앗(ceart.kr)’을 운영 중이다. 여기에는 18일 기준 81개의 SaaS가 등록돼 있다. 다만 여기에는 MS 오피스365와 같은 해외 클라우드 서비스도 다수 올려져 있다.

<백지영 기자>jyp@ddaily.co.kr