기업의 보안 수준이 어느 정도 안전한지 판단하는 인증이 정보보호관리체계(ISMS)가 있다면, 클라우드 서비스가 안전한지 판단하는 인증에는 클라우드 보안 인증(CSAP, Cloud Security Assurance Program)이 있습니다. 사실 클라우드 보안 인증의 경우, 최근 국내 클라우드 업체에서 공공기관에 클라우드 서비스를 공급하는데 있어 굉장히 중요한 이슈입니다.
그리고 최근 클라우드 보안 인증 등급제에 대한 고시 개정안이 행정예고에 들어갔는데, 이번 글에서는 간단히 어떠한 상황 때문에 클라우드 보안 인증이 이슈가 되었는지 그 쟁점에 대해 말씀드려보도록 하겠습니다.
저희가 알고 있는 국내 클라우드 서비스 기업이라고 하면 네이버 클라우드, NHN 클라우드, KT 클라우드 등이 있습니다. 보통 이름이 알려진 클라우드 기업들은 대부분 IaaS(Infra as a Service) 형태로 운영하고, 이 외 업체에는 SaaS(Software as a Service) 형태로 운영하고 있죠.
그런데 이들 중 공공기관에 납품할 수 있는 IaaS용 CSAP 인증을 받은 곳은 몇 기업 밖에 없습니다. IaaS용 CSAP 인증을 받으려면 상당히 까다로운 평가 항목을 만족해야하기 때문인데, 그래서 대부분은 SaaS 인증을 받아서 공공기관에 납품하고 있습니다.
그런데 최근 정부에서 이 클라우드 보안 인증 제도인 CSAP를 새롭게 정하겠다고 했는데요. 지금까지 IaaS, SaaS 등급으로 분류했던 것을 미국의 클라우드 보안 인증 제도인 페드램프(FedRAMP)를 본따 데이터의 민감도에 따라 상, 중, 하 등급으로 나눠서 개편하겠다고 언급했습니다.
그런데 이렇게 되면 지금까지 해외 기업에서 CSAP 인증을 받기 어려웠지만, 이후 하 등급을 받은 해외 클라우드 기업도 공공기관에 쉽게 진출할 수 있어서 국내 클라우드 업체와 경쟁을 할 수 밖에 없는 구조가 되어버려 업계에서 우려의 시선을 보내고 있죠.
[CSAP 논의점 ②] ‘망’ 재정의 요구…‘중’ 등급 확대해야 SaaS 기업, CSP 성장 가능 - 아이티데일
[아이티데일리] 클라우드 보안인증(CSAP)이 ‘상’, ‘중’, ‘하’ 3단계의 등급제로 개편된다. 그러나 구체적인 사안에 대해서는 시장에 떠도는 소문만 난무할 뿐 아무것도 정해지지 않은 상황
www.itdaily.kr
사실 해외 CSP(Cloud Serivce Provider)가 들어온다고 해서, 공공기관 클라우드 도입 시 국내 클라우드 기업들의 경쟁력이 약화된다고 하는 업계의 주장은 쉽게 이해되진 않습니다. 해외의 CSP가 국내 클라우드 보안 인증을 받는다면 그만큼 공공기관에 적합하다는 이야기일테니 말이죠.
사실 여태까지 공공기관에서 소프트웨어 도입 시 국내 기업을 많이 밀어주긴 했지만, 개인적으로는 클라우드 도입에 있어서는 해외 기업들에게 밀리지 않을 만큼 경쟁력을 갖췄으면 합니다. 그럼 이번 글은 여기서 줄이고, 다음 글에서는 CSAP 개편에 대한 조금 더 자세한 내용을 풀어보도록 하죠. 읽어주셔서 감사합니다.
댓글