한국인터넷진흥원, SaaS 보안인증 방안 발표

정부가 추진 중인 클라우드 소프트웨어(SaaS) 보안인증의 윤곽이 드러났다. 새로 도입될 SaaS 보안인증은 인프라 보안도 함께 요구하는 것이 특징이다.

이에 따라 인증을 받지 않은 아마존웹서비스(AWS) 클라우드, 마이크로소프트(MS) 애저 등에서 구동되는 SaaS는 공공부문 진입이 사실상 어려워질 전망이다. 

7일 한국인터넷진흥원(KISA)은 서울 양재동 엘타워에서 ‘SaaS 보안인증 기준 및 평가방법 설명회’를 개최하고 내년에 도입될 SaaS 보안인증 방안을 발표했다.

2016년 7월 행정안전부와 미래창조과학부는 ‘공공기관 민간 클라우드 이용 가이드라인’을 발표하고 공공기관이 민간 클라우드 서비스를 사용하게 하겠다고 밝혔다. 다만 민간 사업자가 공공기관에 서비스를 제공하려면 KISA의 클라우드 보안인증을 받아야 한다.

그 첫 단계로 인프라인 IaaS 보안인증이 만들어졌다. KT와 네이버 비즈니스 플랫폼(NBP), 가비아가 인증을 받았고 NHN엔터테인먼트와 LG CNS가 인증을 진행 중이다.

KISA는 두 번째 단계로 SaaS 보안인증을 시행할 예정이다. 향후 인증을 받은 SaaS만 공공부문에 공급이 가능해질 것으로 예상된다.

대상은 오피스, 협업도구, 데스크톱가상화(VDI), 보안서비스 등 퍼블릭 SaaS다. 구축형 SaaS와 프라이빗 클라우드 서비스는 대상에서 제외됐다. 

KISA는 앞서 도입된 IaaS 인증에서 정보자산 중 논리적 자산의 비중을 늘리고 소프트웨어 개발보안, 공급망 관리 보안, 데이터 암호화 등을 인증에 추가했다.

반면 물리적, 인프라 보안 항목은 축소했다. KISA는 IaaS 보안 인증 117개의 항목을  SaaS에서는 78개로 줄였다고 밝혔다. 인증은 2~3개월이 소요된다.

앞서 KISA는 검증을 위해 가비아(전사적자원관리(ERP) 서비스, 그룹웨어), 인프라닉스(클라우드 시스템 모니터링 서비스), 지니언스(클라우드 지니안 NAC)와 올해 6월부터 11월까지 SaaS 보안인증 시범 사업을 진행했다.

임채태 KISA 클라우드보안관리 팀장은 “당초 설명회 후 SaaS 보안인증을 할 계획이었지만 의견 수렴과 협의가 필요하다는 지적이 있어 타 부처 협의를 거쳐 도입 일정 등을 정할 것"이라며 "협의가 되면 2차 설명회를 개최하고 정확한 일정을 공지할 것”이라고 말했다. KISA는 내년 1분기 중 2차 설명회를 할 계획이다.

특히 KISA는 SaaS 보안인증은 인프라단도 함께 볼 예정이다. 임 팀장은 “SaaS 보안인증에서 IaaS를 구분하지 않을 것”이라며 “SaaS 보안인증을 위해서는 서버, 플랫폼까지 다 받아야 한다”고 말했다. SaaS 보안인증을 받으려면 구동되고 있는 IaaS도 인증을 받아야 한다는 것. 

이날 설명회에서 이 부분에 대한 기업의 질문이 집중됐다. 인증 받은 IaaS에서 구동되는 SaaS에 대한 질문에 대해 라영선 책임은 “이미 인증받은 IaaS 위에 운영되는 SaaS는 중복 부분의 인증을 생략하거나 간소화할 것”이라고 말했다.

반면 비인증 외국계 IaaS에서 구동되는 SaaS의 인증에 대해서는 “IaaS를 제외하고는 어렵다”며 IaaS를 포함해 인증을 받아야 한다고 설명했다.

때문에 이미 인증을 받은 IaaS에서 구동되는 SaaS는 인증에 유리한 반면 그렇지 않은 IaaS에서 구동되는 SaaS는 인증받기 어려워질 전망이다.

실제로 시범 인증 시 가비아는 자사의 인증 받은 IaaS를 기반으로, 인프라닉스와 지니언스는 KT 클라우드를 기반으로 받았다.   

외국계 클라우드 업체에 직격탄

이같은 방침은 외국계 IT 기업들에 직격탄이 될 것으로 보인다. AWS, MS의 클라우드 기반 SaaS 기업들은 공공부문 서비스를 위해 인프라를 포함해 인증을 받아야 하지만 현실적인 어려움이 있기 때문.

AWS와 MS 등은 클라우드 인증을 받을 수 있다고 밝혔지만 명확한 움직임이 아직 없는 상황이다. 개별 고객을 위해 IaaS 보안 인증을 받을지 미지수인 데다 인증을 받으려고 신청해도 내년 여름 이후에나 인증 획득이 가능할 전망이다.

국내 소프트웨어 기업 입장에서는 IaaS 인증을 받은 클라우드 서비스로 전환하는 것이 더 편리할 수 있다.

SAP, 오라클 등도 정부, 공공기관에 SaaS를 공급하려면 부담이 클 수밖에 없다. 국내 업체들 중에서는 공공부문 사업 비중이 큰 보안 기업들이 부담을 느낄 것으로 보인다.

이를 의식해 KISA는 내년에는 SaaS 인증을 무료로 시행하고 2019년에도 일부 지원을 하는 방안을 고려하고 있다.

한 클라우드 업체 관계자는 “외국계 기업들은 워낙 다양한 영역에서 사업을 하고 있기 때문에 공공부문에 못 들어가더라도 큰 영향을 받지 않을 것”이라며 “사업을 하려고 한다면 국내 기업과 협력해 진행할 수 있을 것”이라고 말했다.

이에 따라 IaaS 인증 기업들과 국내외 기업들간 협력이 더 강화될 전망이다.

한편 업계 일각에서는 외국계 기업들이 클라우드 인증을 통상 문제로 제기할 수 있다는 관측도 나오고 있다. 미국 기업들이 미국 정부를 통해 압력을 넣을 수 있다는 것.

하지만 미국, 영국, 중국 등 선진국들도 독자적인 클라우드 인증 제도를 만들어 서비스를 제한하는 추세여서 한국에만 클라우드 서비스 개방을 요구하는 것은 명분이 약하다는 지적이다.

그렇다고 클라우드 규제를 계속 강화하면 외국계 서비스를 이용하는 기업이 피해를 볼 수도 있다. 때문에 당분간 클라우드 보안인증을 둘러싼 논란이 계속될 전망이다. 

[테크M = 강진규 기자(viper@techm.kr)]