TECH M
TECH M
SaaS 보안인증 도입 추진...오피스, VDI 대상될까?
미래부, IaaS 이어 SaaS 대상 추진…적용 가능 대표 서비스 3종 선정
미래창조과학부와 한국인터넷진흥원(KISA)이 다음달 클라우드 소프트웨어(SaaS) 보안 인증제도 도입을 위한 대상 선정과 방법 개발에 나선다. 대상과 방법에 따라 IT업체들의 희비가 엇갈릴 수 있어 결과가 주목된다.
16일 정부 관계자들에 따르면, KISA는 최근 ‘클라우드 SaaS 보안인증 기준 개발 및 시범적용’ 용역을 진행한다고 공고했다. KISA는 3월 초 사업자를 선정해 11월까지 사업을 진행한다.
이번 사업은 정부의 클라우드 확산 사업의 일환으로 진행된다. 미래부와 행정자치부는 클라우드 산업 발전과 사용자 확대를 위해 정부, 공공기관들이 클라우드 서비스를 선도적으로 도입하는 정책을 추진하고 있다.
하지만 클라우드 서비스에 대한 안정성, 보안 등에 대한 우려가 있어 이를 불식시키기 위해 클라우드 보안 인증제도를 운영하고 있다. 지난해 5월 미래부와 KISA는 클라우드 인프라(IaaS) 서비스를 대상으로 보안 인증제도를 시행한 이후 KT가 처음으로 인증을 받았고 네이버 비즈니스 플랫폼(NBP), 가비아, NHN엔터테인먼트 등이 인증을 진행 중이다.
미래부와 KISA는 IaaS에 이어 SaaS 보안 인증제도를 도입하기 위해 이번 사업을 추진하는 것이다. 앞서 지난 3일 KISA는 클라우드 서비스 기업들을 대상으로 간담회를 열고 SaaS 보안 인증제도 추진계획을 알렸다.
사업 제안요청서에 따르면, 사업은 3단계로 진행될 예정이다. KISA는 우선 1단계로 의견 수렴과 시장 조사를 통해 공공기관에 적용 가능한 대표 SaaS 서비스 3종을 선정한다. 후보로는 데스크톱가상화(VDI), 오피스 소프트웨어(SW), 보안서비스 등이 거론되고 있다.
적용 가능한 서비스가 선정되면 2단계로 각각 SaaS 서비스에 대한 인증기준과 점검 방법론을 개발한다. 방법에는 공공기관에 SaaS 서비스를 제공하기 위해 필요한 정보보호 정책, 역할 및 책임, 서비스 계약, 서비스에 적합한 가상환경 보안, 접근 통제 및 인증 등이 포함된다.
![클라우드 SaaS 보안인증 기준 개발 및 시범적용 사업 진행 계획 [출처: 한국인터넷진흥원 제안요청서]](http://techm.kr/data/editor/1702/1981902326_1487225460.1596.jpg)
3단계로 개발된 보안인증 방법으로 시범사업자를 대상으로 시범인증이 진행된다. 인증은 서면 및 현장평가, 소스코드 점검, 취약점 점검, 모의침투테스트 등 방식으로 이뤄질 예정이다.
실제 SaaS 보안 인증은 2018년 도입될 것으로 보인다. 미래부 관계자는 “2018년 SaaS 인증제도 도입을 목표로 준비를 하고 있다”며 “이번에 진행하는 것은 현황조사와 의견 수렴 등 사전 준비 단계로 볼 수 있다”고 말했다.
SaaS 보안 인증제도는 공공사업을 진행하는 SW기업들과 클라우드 기업들에게 큰 영향을 줄 것으로 예상된다. 정부, 공공기관들이 SaaS를 도입하기 위해서는 인증을 받은 서비스를 선택하거나 별도로 국가정보원 보안성 검토를 거쳐야 한다. 다만 SaaS 보안 인증제도가 도입되기 전까지는 인증 받은 IaaS 위에서 동작하는 SaaS는 예외로 사용이 가능한 상황이다.
향후 SaaS 인증이 적용되는 분야는 SW기업들 입장에서 공공시장 진출에 장벽이 될 수도 있고 다른 경쟁사의 진입을 막는 보호막이 될 수도 있다. 클라우드 업체 관계자는 “SaaS는 관련 기업들이 많고 외국계 기업들도 많아 IaaS 인증 보다 파장이 클 것으로 보인다”고 말했다. 이에 따라 대상 선정 결과에 따라 관련 분야와 기업들의 희비가 엇갈릴 것으로 전망된다.
업계에서는 SaaS 인증이 외국계 기업과 국내 중소 SW업체들에게 부담이 될 것으로 보고 있다. 인증 시간과 비용 측면에서 상대적으로 대기업, 중견기업보다 중소기업들에게 부담이 될 수 있다는 것이다. 또 외국계 기업들이 소스코드 점검, 취약점 점검, 모의침투 테스트 등을 흔쾌히 받아들일지도 미지수다. 한국MS, 한국오라클, SAP코리아, VM웨어 등 외국계 SW기업들은 최근 클라우드 사업에 집중하고 있다.
클라우드 업계에서는 외국계 기업들이 보안 요구사항을 받아들여 인증을 받기 어려울 것이라는 시각도 있다. 업계 한 관계자는 “외국 SW기업들이 시간과 돈을 투입하고 또 그들이 생각할 때 민감하다고 볼 수 있는 사항을 수용해 인증을 받을지 의문”이라며 “외국계 기업들이 대안을 요구할 수도 있는데 이를 받아들이면 국내 기업과 형평성 문제가 있을 수 있어 쉽지 않을 것”이라고 내다봤다.
[테크M = 강진규 기자(viper@techm.kr)]
-
악마의 편집, 가짜 뉴스를 막아라카카오톡, 트위터 등 마이크로 블로깅 플랫폼은 사용자들이 쉽게 정보를 생산, 소비, 확산시키는 주요 채널이 됐다. 하지만 이러한 플랫폼은 개인이 정보를 생산, 유통하는 정보를 검증하는 역할은 하지 않기 때문에 진실과 거짓 그리고 악성 루머가 공존하는 공간이 되기도 한다.지난 미국 대선에서는 ‘교황이 도널드 트럼프를 지지 선언을 했다’, ‘힐러리 클린턴이 ISIS에 무기를 팔았다’, ‘트럼프가 총투표에서도 이겼다’ 등의 가짜뉴스가 페이스북에서 48만~862017-02-20 11:59:22차미영 KAIST 교수 -
[AI기획]로봇뉴스 시대, 챗봇이 맞춤형 뉴스 전한다미국의 온라인 콘텐츠 기업 오토메이티드 인사이츠는 지난해 15억 개에 달하는 콘텐츠를 생산했다. 15억개라는 콘텐츠 수보다 더 주목받는 것은 모든 콘텐츠를 인공지능(AI)이 만들었다는 점이다.이 회사가 만들어낸 콘텐츠는 미국의 AP통신을 비롯,50개 이상의 기업에 공급된다. 오토메이티드 인사이츠는 전자상거래, 고객보고서, 재무분석, 시장보고서 등 다양한 분야에 걸쳐 데이터를 분석해 콘텐츠를 제작할 수 있다고 강조한다.인공지능이 콘텐츠를 만들어내는 일은 더 이상 새로운 소식이 아니다. 이미 미2017-02-19 16:06:01도강호 기자 -
공연예술,라이브로 ‘소셜하게’ 진화하다2016년 7월 미국 미네소타 주에서 경찰이 필랜도 캐스틸이라는 흑인 남자가 운전하던 차를 세우도록 지시했다. 차량의 후방 지시등이 고장 났다는 이유였다.경찰의 지시에 따라 뒷주머니에 있는 지갑에서 신분증을 꺼내려고 필랜도의 손이 뒤로 가는 순간 총격이 가해졌다. 총기를 꺼내려는 것으로 경찰이 오인한 것이다.필랜도의 여자친구 다이아몬드 레이놀즈는 조수석에 앉아 있었고 다이아몬드의 딸은 뒷좌석에 타고 있었다. 경찰이 총격을 가한 직후 다이아몬드는 페이스북 실시간 라이브 스트리밍을 통해 현장의 상황을 생중계하기 시작했2017-02-19 15:27:52김선영 예술경영지원센터 대표