클라우드 보안인증제는 서비스형 인프라(IaaS) 분야의 경우 지난 2016년 6월, SaaS분야는 2018년 8월부터 시행 중이다. IaaS 분야에선 KT와 네이버 비즈니스 플랫폼(NBP), NHN 등 6개 서비스, SaaS 분야는 3개 서비스가 인증을 받은 상태다. 2018년 12월 기준 100여개 이상 공공기관이 클라우드 보안 인증을 획득한 서비스를 이용 중인 것으로 전해진다.

이번에 바뀌는 부분은 SaaS 분야다. 서비스의 중요도 등을 고려해 보안인증제를 두단계로 나누는 방안을 검토 중이다. 이미 해외의 경우에는 제공되는 클라우드 서비스의 중요도와 민감도에 따라 인증을 구분하고 있다.

예를 들어 지난 2012년부터 시행된 미국 페드람프(FedRAMP)의 경우 총 143개 서비스가 인증을 받아 152개 기관에서 클라우드를 이용 중이다. 페드람프의 경우, 서비스의 중요도 및 민감도에 따라 가중치를 부여해 상(High), 중(Moderate), 하(Low)로 구분해 인증을 진행하고 있다. 상의 경우 인증기준수가 421개 항목으로 가장 많으며 중은 325개, 하는 125개로 가장 적다. 상을 받은 서비스는 7개 불과하며, 중이 123개 서비스로 가장 많다. 하는 13개 서비스만 받았다.

또, 싱가포르 정부에서 실시하는 MTCS(Multi-Tier Cloud Security) 인증의 경우, 2018년 10월 기준 127개 서비스가 인증돼 공공 및 민간 부분에서 활용 중이다. MTCS 인증은 자율 인증이지만, 공공 클라우드 입찰 시 필요요건이며 인증 취득 비용의 70%를 정부에서 지원한다.

MTCS 인증 역시 ISO 27001:2005를 기반으로 총 19개 분야 117개 인증 기준과 3단계 보안 인증을 갖추고 있다. 1단계에는 테스트 및 개발, 웹사이트와 같이 보안수준이 낮은 일반적인 서비스, 2단계는 이메일, CRM, 개인식별정보 등 일반적으로 기업에서 요구하는 서비스, 3단계는 금융이나 민감정보를 요구하는 헬스케어시스템 등 특정기업에서 요구하는 서비스가 해당된다.

국내의 경우 IaaS와 SaaS 분야에서 인증제를 운영하고 있다. SaaS 인증은 기존 IaaS 인증항목 117개 중 물리적 보안 등 39개 항목을 제외한 78개의 필수 항목으로 심사를 받고 있다. 하지만 SaaS 분야에서 활동하는 국내 SW업체 대부분 중소기업이어서 인증을 받기에는 장벽이 높다는 지적이 제기돼 왔다.

이에 따라 정부에서도 SaaS 항목 일부를 축소, 중요도나 민감도 낮은 분야의 서비스에 도입될 경우에는 인증 기준을 완화하는 방안을 검토 중인 것으로 나타났다.

KISA 관계자는 “SaaS 이용 활성화와 보안 필요성을 종합적으로 고려해 보안인증제 개선을 추진할 예정”이라며 “7~8월 중 관련 내용을 과학기술정보통신부에서 발표할 것”이라고 말했다.

<백지영 기자>jyp@ddaily.co.kr