검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안인증'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

포시에스, 정보보안 국제표준 3종 동시 인증…'이폼사인' 보안 전면 강화

포시에스가 고객 데이터 보호와 서비스 신뢰성 향상을 위해 정보보안 관리 체계를 강화했다. 포시에스는 글로벌 정보보안 국제표준인 'ISO 27001'의 최신 인증을 획득했다고 2일 밝혔다. 이와 함께 클라우드 서비스 보안 표준인 'ISO 27017'과 개인정보 보호 표준인 'ISO 27018' 인증도 동시에 완료하며 이미 적용돼 있던 강화된 서비스 보안 체계의 우수성을 다시 한번 검증받았다. 이는 기존 2013년 버전에서 디지털 진화와 클라우드화에 대한 변화를 반영한 강화된 표준으로, 포시에스는 올해 최신 ISO 기준에 부합하는 서비스 제공 환경을 선제적으로 마련했다. 최신 ISO 27001은 ▲조직의 통제 ▲인적 통제 ▲물리적 통제 ▲기술적 통제의 4가지 핵심 영역으로 구분해 정보보안을 체계적으로 관리하도록 규정하고 있다. 이러한 변경으로 조직이 보다 효과적으로 정보 보안 통제를 관리하고 보안 요구사항과 리스크 관리 목적에 맞춰 운영할 수 있게 됐다. 국내 전자문서 1세대이자 공공 분야에서 오랜 기간 기술력을 인정받은 포시에스는 이번 3종 인증을 통해 고객들이 안심하고 이용할 수 있는 전자계약 서비스의 신뢰성을 더욱 강화했다. 특히 디지털 전환이 가속화되는 환경에서 급증하는 신생 전자계약 서비스들과 차별화된 검증된 보안 체계를 토대로 서비스 이용자들에게 핵심적인 혜택을 제공한다는 방침이다. 함께 인증받은 ISO 27017은 클라우드 서비스에 특화된 보안 가이드라인으로, 포시에스는 ▲고객의 가상 환경 보호·분리 ▲클라우드 환경과 관련된 관리 작업·절차 ▲고객의 클라우드 내 활동 모니터링 등을 강화했다. 또 ISO 27018 인증으로 ▲동의와 선택 ▲합법성과 사용 목적 ▲데이터 최소화 ▲사용 및 공개 제한 등 개인정보 보호에 관한 엄격한 통제 체계도 구축했다. 포시에스의 대표 클라우드 서비스인 전자계약 플랫폼 '이폼사인'은 이번 3종 인증을 통해 고객 데이터 보호를 위한 더욱 고도화된 보안 시스템을 갖췄다. 계약 문서의 안전한 보관, 사용자별 접근 권한의 세밀한 통제, 첨단 데이터 암호화 기술 등 다층적 보안 체계로 고객들이 정보 유출 걱정 없이 편리하게 전자계약을 체결할 수 있게 했다. 포시에스는 강화된 보안 체계를 현재 준비 중인 독자 특허 기술 기반 인공지능(AI) 서비스 개발의 중요한 토대로 활용한다는 목표다. 이번 3종 인증으로 고객 데이터를 활용한 AI 서비스의 보안 신뢰성을 확보함으로써 향후 고객들에게 제공될 AI 기반 계약 분석 및 자동화 서비스에서도 데이터 보안과 품질을 모두 보장한다는 것이다. 이폼사인은 실시간 모니터링 시스템과 정기적인 보안 점검을 통해 고객의 중요 계약 정보를 지속적으로 보호한다. 이러한 보안 관리는 고객들에게 비즈니스 연속성 보장과 법적 위험 감소라는 혜택을 제공하며 서비스 이용 과정에서의 불안 요소를 제거하는 데 기여하고 있다. 포시에스는 앞으로도 고객 중심의 서비스 향상을 위해 보안 관리 체계를 꾸준히 개선해 나갈 계회이다. 고객들이 디지털 전환 과정에서 발생할 수 있는 보안 위험 없이 효율적인 전자계약 서비스의 이점을 안전하게 누릴 수 있도록 한다는 방침이다. 고객 니즈에 맞춘 지속적인 서비스 품질 향상과 보안 강화로 전자계약 시장에서 신뢰받는 파트너로 자리매김한다는 목표다. 포시에스 관계자는 "ISO 27001·27017·ISO27018 세 가지 최신 국제 보안 규격을 동시에 검증 받음으로써 고객에게 최상의 서비스 품질과 보안을 제공하려는 우리의 의지를 입증했다"며 "업계에서 선제적으로 최신 ISO 기준을 충족하며 전자문서 분야 1세대로서의 노하우와 검증된 기술력을 바탕으로 고객들이 더욱 안전하고 편리하게 이용할 수 있는 서비스를 지속적으로 발전시켜 나갈 것"이라고 밝혔다.

2025.05.02 10:17한정호

마이크로소프트, CSAP '하' 등급 인증…국내 기업 '행보 주목"

마이크로소프트가 클라우드 서비스 보안인증제(CSAP) '하' 등급 인증을 획득하며 국내 공공소프트웨어(SW) 사업 진출 기반을 확보했다. 이에 국내기업들은 아직 CSAP 등급기준이 명확하지 않은 만큼 대응은 시기상조라고 평가하면서도 추후 행보에 주목하는 모양새다. 2일 관련 업계에 따르면 국내 기업들이 마이크로소프트 등 해외 빅테크 기업의 공공SW 사업 진출에 관심을 보이는 것으로 알려졌다. 명확하지 않은 기준과 규제 혼재로 시장 분석 어려워 CSAP는 공공 부문에 민간 클라우드를 도입해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 지난해 1월 마련됐다. 각 업무 환경과 데이터의 중요도에 따라 민간기업의 클라우드 서비스를 제공함으로써 클라우드 생태계를 활성화한다는 의도도 포함된다. 마이크로소프트도 보안인증제 획득으로 공공 사업 일부에 애저 클라우드 서비스를 도입될 수 있게 됐다. 또한 구글클라우드, 아마존웹서비스(AWS)와 알리바바 클라우드 등도 CASP 심사를 준비하며 인증 취득을 앞두고 있는 것으로 알려졌다. 관련 업계에서는 이번 마이크로소프트의 인증 획득이 공공 SW 시장에 어떤 영향을 미칠지 판단하기 아직 시기상조라는 반응이다. 심사를 통해 취득한 인증이 가장 낮은 '하'등급이며 상등급과 중등급의 서비스 기준이 공개되지 않아 해당 인증으로 참여할 수 있는 사업 규모가 얼마나 되는지 파악이 안되기 때문이다. 또한 국가정보원에서 지난 10월 새로운 국가망 보안정책 개선 방안으로 다층보안체계(MLS)를 제시하며, 두 보안 체계가 공공SW 사업에 영향을 미칠지 조율되지 않아 시장 분석이 어렵기 때문이다. MLS는 국가 전산망 업무 정보 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개 (Open) 등급으로 분류하는 등급별 차등적 보안통제다. 이를 통해 보안성을 확보하면서도 AI와 클라우드 등 신기술과 원활한 데이터 공유까지 진행하는 것을 목표로 한다. 클라우드서비스산업협회 함재춘 사무국장은 "마이크로소프트 외에도 많은 해외 기업들이 CSAP인증을 받기 위해 준비하는 것으로 알고 있다"며 "워낙 정책이 많이 추가되고 명확한 기준이 마련되지 않아 내년에 어떤 변화가 있을지 예상하긴 어려운 상황"이라고 말했다. 이어서 그는 "정책 변화는 항상 맞추기 위해 노력하고 외산 기업 참여도 시대의 흐름이라고 인식하고 있다"며 "그보다 중요한 것은 클라우드 시장이 활성화되는 것으로 산업이 활성화될 수 있도록 정부에서 좀더 적극적으로 관련 사업을 마련해 주길 바란다"고 강조했다. 빅테크 공공 진출, 서비스 옵션 확대…국내기업 "차별화 강화" 마이크로소프트 등 빅테크의 공공SW 시장 진출에 대해 관련 업계에서는 의견이 갈리는 추세다. 각 부처에 맞춰 시스템을 구축하고 운영하는 IT서비스나 클라우드관리(MSP)의 경우 고객사에 제공할 수 있는 옵션이 다양해지는 만큼 긍정적이라는 반응이다. 늘어나는 클라우드 인프라나 관련 서비스의 기능이나 옵션이 늘어날수록 이를 전문적으로 다룰 수 있는 역량을 가진 기업의 도움이 필수적이기 때문이다. 특히 최근 급증한 IT서비스 장애 위협을 최소화하기 위해 여러 클라우드 서비스와 온프레미스 환경을 동시에 관리해야 할 필요성이 늘어나고 있다. 한 IT서비스 관계자는 "클라우드 기업이 늘어날수록 고객사에서 활용할 수 있는 옵션이 늘어나고 더 좋은 서비스를 구축할 수 있는 환경이 마련된다"며 "IT서비스 기업 입장에서는 이미 민간에서 적극적으로 빅테크와 파트너십을 맺고 있는 만큼 공공 시장 진출은 이런 비즈니스가 늘어나는 기회가 될 것으로 예상한다"고 말했다. 반면 해외 기업들과 공공 시장에서 직접 경쟁해야 하는 클라우드서비스사업자(CSP)의 경우 보다 더 민감하게 시장 반응을 살피고 있다. 더불어 해당 기업들이 제공하기 어려운 서비스 등으로 차별화에 나설 계획이다. 한 클라우드 기업 관계자는 "아직은 이렇다할 변화나 영향을 파악하기 힘들지만 장기적으로는 경쟁을 해야 할 관계라고 보고 있다"며 "이에 대비해 24시간 고객 지원 서비스, 현장 인력 지원, 고객 맞춤 서비스 개발 등 우리 만이 제공할 수 있는 서비스와 시스템으로 차별화에 나설 계획"이라고 강조했다.

2024.12.02 15:46남혁우

카테노이드, '대한민국 정부 박람회' 참가…공공 클라우드 기반 동영상 플랫폼 공개

카테노이드(대표 김형석)가 공공기관, 지자체를 위한 공공 클라우드 AI 영상 제작 및 디지털 자산 관리 플랫폼을 선보인다. 카테노이드는 광주 김대중컨벤션센터에서 열리는 '2024 대한민국 정부 박람회'에 참가한다고 11일 밝혔다. 오는 13일부터 15일까지 개최하는 이번 박람회는 '내일을 위한 정부혁신, 함께 하는 디지털플랫폼 정부'라는 슬로건 아래 행정안전부와 디지털플랫폼정부위원회가 주최한다. 본 박람회는 디지털 플랫폼 정부의 추진 현황과 향후 협력 방안을 공유하는 자리로 마련됐다. ▲편리한 서비스 ▲똑똑한 정부 ▲안전한 사회를 주제로 정부 및 공공기관, 민간기업 총 130개 기관이 함께한다. 카테노이드는 이번 행사에 '공공 클라우드 기반 동영상 솔루션'을 주제로 참가해 공공 클라우드 기반 AI 영상 제작 및 디지털 자산 관리 플랫폼 '룸엑스(Loomex)'를 소개한다. 현장에는 체험 부스를 마련해 공공기관, 지자체의 미디어 홍보 담당자와 기록물 관리 부서 담당자들이 룸엑스를 직접 경험하며 미디어 관리 서비스를 이해하고, 효과적인 콘텐츠 관리와 활용 방법에 대한 컨설팅을 받을 수 있도록 할 예정이다. 룸엑스는 공공기관이 미디어 콘텐츠를 고도화하고 보안성이 강화된 공공 클라우드 환경에서 안전하게 보관 및 관리할 수 있도록 지원한다. 이를 통해 부처 내·외부 구성원들이 손쉽게 디지털 자산에 접근해 다양한 프로젝트에 활용할 수 있어 행정 효율성이 한층 높아질 것으로 기대된다. 또한 비전문가도 간편하게 콘텐츠를 편집하고 여러 채널로 배포하며 대국민 홍보 활동을 진행할 수 있다. 룸엑스는 AI 영상 제작 기능도 지원한다. 공공기관은 인물 사진을 활용해 디지털 휴먼을 생성하고, 음성과 대본을 입력해 간편하게 AI 영상을 제작할 수 있다. 이를 통해 촬영이나 외부 모델 섭외 없이 다채로운 콘텐츠를 빠르게 제작하고 시간과 비용을 절감할 수 있다. 이번 박람회 부스에서는 B2B 라이브 커머스 플랫폼 '콜러스 라이브 커머스' 또한 만나볼 수 있다. 콜러스 라이브 커머스의 라이브 스튜디오인 '콜러스 스튜디오 시스템'은 지난해 11월 라이브 커머스 업계 클라우드 보안인증(CSAP)을 획득했다. 방송정보통계, 채팅, 실시간 주문 등을 한눈에 확인 가능해 체계적으로 라이브 방송을 진행할 수 있다. 현재 공영홈쇼핑, 중소기업유통센터, NS홈쇼핑, 신세계면세점 등에서 활용 중이다. 카테노이드의 룸엑스는 디지털 콘텐츠 관리, AI 기반 영상 제작 및 편집, 콘텐츠 공유 기능을 통합한 SaaS 기반 플랫폼이다. 이미 원주시의 영상 제작 관리 사업을 성공적으로 완료해 그 실효성을 입증한 바 있다. 지난 7월 한국정보통신기술협회(TTA)의 GS(Good Software) 인증 1등급을 획득하며 높은 품질과 기술력을 인정받았다. 올해 연말까지 CSAP 또한 획득할 예정이다. 김형석 카테노이드 대표는 "올해 1분기 공공 분야 SaaS 도입이 전년 대비 3.5배 증가하며 역대 1분기 최고치를 기록하는 등 행정∙공공 분야의 클라우드 전환이 가속화되고 있다"며 "이번 박람회에서 안정적이고 효율적으로 미디어 콘텐츠를 관리할 수 있도록 지원하는 룸엑스, 라이브 커머스 업계 최초 CSAP 인증을 획득한 콜러스 라이브 커머스를 체험하고, SaaS 기반 서비스의 필요성과 효용성을 느껴보길 바란다"고 전했다.

2024.11.11 17:37남혁우

에쓰핀테크놀로지, ISMS 인증 획득 AI MSP 성장 가속

인공지능(AI) 및 플랫폼 전문기업 에쓰핀테크놀로지가 한국인터넷진흥원(KISA)로부터 정보보호관리체계(ISMS) 인증을 취득했다. ISMS는 기업이 보유한 정보 관리 및 보호 체계를 평가하고 정보보안 운영 실태와 위기 관리 능력을 심사하는 정보보호 인증이다. 에쓰핀테크놀로지는 이번 인증 과정에서 서비스 관리 체계, 운영 및 보안 정책, 사고 예방 및 대응 등 총 80개 항목을 통과했다. 에쓰핀테크놀로지는 글로벌 클라우드를 선도하는 마이크로소프트의 CSP(Cloud Solution Provider)이며 애저 엑스퍼트(Microsoft Azure Expert) MSP(Managed Service Provider)이다. 마이크로소프트 애저 오픈 AI 서비스(Azure OpenAI Service)에 대한 전문적인 기술력과 영업력을 바탕으로 클라우드 도입부터 운영까지 포괄적인 클라우드 관리 서비스를 제공한다. 또한, 생성형 AI 사업 확대의 일환으로 올해 3월 깃고GPT(GitgoGPT)를 선보였다. 에쓰핀테크놀로지는 정보보호 관리체계의 글로벌 표준인 'ISO27001', 마이크로소프트 애저 'AI · ML 분야 어드밴스트 스페셜라이제이션(Advanced Specialization)', '애저 엑스퍼트 MSP(Azure Expert MSP)' 를 보유하고 있다. 국내 클라우드 업계에서는 처음으로 2021년 국제 준법경영시스템 ISO37301 인증도 받았다 이번 정보보호관리체계 인증을 통해 에쓰핀테크놀로지는 국내 마이크로소프트 파트너사 중 유일하게 MSP 사업과 관련된 모든 인증을 획득하고 AI MSP 리딩기업으로 전문성을 강화해 나간다는 계획이다. 이승근 에쓰핀테크놀로지 대표는 "이번 ISMS 인증을 계기로 정보보호 관리 체계를 더욱 강화해 고객과 파트너에게 안전하고 신뢰할 수 있는 클라우드 관리 서비스를 제공할 예정"이라며 "앞으로 AI MSP로서 혁신 서비스와 기술력을 바탕으로 고객의 성공을 지원하고 업계에서의 리더십을 확고히 다져 나갈 것"이라고 밝혔다.

2024.09.02 16:15김인순

CSAP 전면 시행…공공 클라우드 새로운 기회될까

정부가 클라우드 보안인증(CSAP) 등급제를 전면 확정하면서 공공 부문의 클라우드 비중이 확대될 전망이다. 국내외 주요 클라우드 기업들도 공공 시장 공략을 위한 준비 작업에 들어갈 것으로 예상된다. 공공 클라우드 확대로 국내 소프트웨어업게에겐 새로운 성장 발판이 될 것으로 기대되고 있는 가운데 일부에선 해외 기업들과 경쟁으로 인해 큰 성과를 기대하기 힘들 것이란 지적도 고개를 들고 있다. 7일 관련 업계에 따르면 관련 국내외 주요 클라우드 기업들은 앞으로 발주될 공공 클라우드 사업을 위한 사전 작업을 진행 중인 것으로 알려졌다. CSAP는 공공 부문의 민간 클라우드 이용 활성화를 통해 지난 해 1월 처음 도입됐다. 과기정통부는 당시 하등급 보안인증 기준이 담긴 고시를 개정하면서 하등급부터 우선 시행했다. 이런 가운데 과기정통부가 지난 6일 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 행정예고 하며 상·중등급까지 본격 시행하겠다고 밝혔다. 클라우드 기업들은 지난해 하등급으로 제한됐던 CSAP 등급제가 온전히 시행되는 만큼 참여할 여지가 더욱 늘어날 수 있을 것으로 기대하고 있다. 클라우드 업계의 한 관계자는 “그동안 CSAP 규정에 맞춰 강화된 보안 규정 등 만반의 준비를 갖춘 만큼 시행을 기다려 왔다”며 “새로운 사업 기회가 열리는 만큼 추가적인 성과를 낼 수 있을 것으로 기대한다”고 말했다. 하지만 일부에서는 CSAP 등급제가 본격적으로 시행되더라도 즉각 효과를 기대하긴 어려울 것으로 전망했다. 대규모 공공SW 사업인 차세대 서비스 사업이 대부분 진행 중이거나 마무리 단계여서 대규모 클라우드 인프라를 필요로 하는 사업이 예정돼 있지 않기 때문이다. 공공SW사업 특성상 수익성이 높지 않아 사업에 참여한다 하더라도 기대하는 만큼 성과를 낼 수 있을 지 의문이라는 지적이다. 또한 아마존웹서비스, 알리바바 클라우드 등 해외 클라우드 기업도 참가를 고려하는 것으로 알려지면서 경쟁 과정에서 수익성이 더욱 하락할 수 있다는 우려도 나오고 있다. 한 클라우드 기업 임원은 “공공 서비스에 민간 클라우드가 참여할 수 있는 비중이 확대되며 서비스를 혁신할 수 있다는 점은 긍정적이라고 생각한다”며 “하지만 기존 공공SW의 사업 구조를 유지한다면 그동안 발생했던 오류나 문제점이 반복될 여지가 크다”고 지적했다.

2024.02.07 17:00남혁우

CSAP 시행 본격화 "공공SW 발전"vs"데이터주권 위협" 찬반 팽팽

클라우드컴퓨팅서비스 보안인증(CSAP) 등급제가 본격 시행되며 해외 클라우드 사업자(CSP)도 일부 공공 클라우드 사업에 참여할 수 있게 됐다. 6일 관련 업계에선 이번 정책에 대해 의견이 갈리고 있다. 클라우드 서비스 기업들은 민간 클라우드 시장이 아마존웹서비스(AWS), 마이크로소프트 애저 등 글로벌 기업이 독점적 위치를 차지하고 있는 상황에서 공공시장까지 내주는 것은 데이터 주권에 악영향을 줄 수 있다고 지적했다. 반면, 다른 업계 관계자는 이번 정책으로 공공 서비스의 질적인 성장을 비롯해 정부에서 강조하는 디지털 정부의 해외 수출까지 대할 수 있을 것이라고 의견을 밝혔다. CSAP는 클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 지난해 1월부터 부분적으로 도입됐다. 그동안 클라우드 인프라의 물리적 망분리 등 도입요건이 제한돼 아마존웹서비스(AWS), 마이크로소프트 애저 등 글로벌 기업의 참여가 어려웠다. CSAP는 등급에 따라 클라우드 보안인증의 평가기준도 완화된 것이 특징이다. 이를 통해 해외 클라우드 기업도 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 하 등급에 참여할 수 있게 됐다. 이미 AWS와 구글 등 해외 기업이 CSAP 하 등급을 신청해 인증 평가절차를 밟고 있으며, 알리바바 클라우드, 세일즈포스, 오라클 등도 공공 클라우드 사업에 관심을 보이고 있는 것으로 알려졌다. 해외 기업의 공공 클라우드 시장 진출이 예고되면서 관련 업계에서는 이에 대한 우려의 시선이 나오고 있다. 특히 서비스 장애 등 문제가 발생했을 때 즉각적인 처리가 어려울 것이라고 지적했다. 한 클라우드 기업 임원은 “해외 기업에 모든 것을 내주면 국내 기업은 성장할 여지를 갖출 수 없을 뿐 아니라 직접 클라우드 관련 장비를 제어할 수 없다”며 “이로 인해 서비스 장애 등 문제가 발생했을 때 원인을 파악하고 이를 개선하는데 한계가 있을 수밖에 없다”고 말했다. 이어서 ”국내 기업이 클라우드에 대한 인프라부터 서비스까지 모든 역량을 갖춰야 해외 기업과 경쟁할 수 있는 기반을 마련할 수 있을 것”이라며 “이러한 기반이 될 공공 사업까지 내주는 것은 국내 IT사업에 상당한 위협을 초래할 수 있다”고 지적했다. 반면, 다른 기업 임원은 국내 기업도 충분히 서비스 노하우와 역량을 보유하고 있다며, 글로벌 기업의 진출은 오히려 경쟁을 통해 더욱 발전할 수 있는 기회가 될 수 있을 것이라고 이번 정책을 평가했다. 그는 “이미 국내 클라우드 기업도 중소, 중견기업 등을 기반으로 서비스를 제공하며 기술력을 확보하고 있고 고유의 경쟁력을 만들어가고 있다”며 “오히려 글로벌 기업의 진출을 통해 그들이 보유한 서비스를 활용해 더욱 안정적이고 효율적으로 공공 서비스를 구축할 수 있을 것”이라고 말했다. 이와 함께 “특히 해외 기업의 인프라를 활용한다면 국내 디지털 정부 플랫폼을 글로벌 시장에 보다 효율적으로 선보일 수 있는 기회가 될 것”이라고 덧붙였다.

2024.02.06 13:53남혁우

CSAP 등급제 본격 시행…상등급 '보안인증 강화'

정부가 클라우드컴퓨팅서비스 보안인증(CSAP) 등급제를 확정하고 본격 시행에 나선다. 국가 안보와 연결된 상 등급은 평가기준이 강화됐으며, 중등급은 명확한 점검을 위해 평가항목이 일부 수정됐다 과학기술정보통신부(이하 과기정통부)는 클라우드 보안인증 등급제의 상중등급 평가기준이 반영된 클라우드컴퓨팅서비스 보안인증에 관한 고시 일부 개정안을 26일까지 행정예고 한다고 6일 밝혔다. 지난해 1월 도입된 클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 마련됐다. 과기정통부는 등급별로 보안인증 평가기준을 차등화해, 상등급은 기존 평가기준을 보완‧강화, 중등급은 현행 수준을 유지, 하등급은 합리적으로 완화하는 것으로 발표했다. 하등급 보안인증 평가기준이 담긴 고시를 개정하면서 하등급을 우선 시행하였고, 상중등급은 관계부처와 함께 실증‧검증을 거쳐 보안인증 평가기준을 마련하기로 한 바 있다. 과기정통부는보안인증 실증사업을 추진하며 민간 클라우드 이용 환경에 대한 보안성을 검증했다. 행정내부시스템을 민간 클라우드로 전환한 실증환경을 구축하고, 이를 대상으로 실시한 국정원의 보안진단 결과를 반영해 상중등급 평가기준을 마련하였다. 별도의 고시개정 연구반을 운영하면서 국제표준 인증(ISO 27001(정보보안), 27017(클라우드 보안))과 미국 연방정부 클라우드 보안인증(FedRAMP) 등의 인증 평가항목을 분석하고, 추가 보완이 필요한 평가기준을 도출하였다. 상등급은 국가 중대이익(안보, 외교 등), 행정 내부업무 등을 운영하는 상등급 시스템의 업무 중요도와 시스템 규모를 고려하여 평가항목을 4개 신설하였다. ▲외부 네트워크 차단, ▲보안감사 로그 통합관리, ▲계정 및 접근권한 자동화, ▲보안패치 자동화 항목을 추가한다. 중등급은 추가하는 항목은 없으나, 점검 내용을 명확히 하기 위해 ▲시스템 격리, ▲물리적 영역 분리 평가항목을 일부 수정하였다. 상중등급이 시행되더라도 기존에 인증 받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들이 제도 개편으로 인해 겪는 혼란과 불편을 최소화하기 위해 유효기간 내에서는 중등급으로 인정할 예정이다. 클라우드 보안인증 상중등급 시행과 함께, 클라우드 환경 변화에 따른 사업자의 부담 해소를 위한 제도개선도 추진한다. 클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영하여, 인증평가시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다. 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우, 중복되는 평가항목은 40~50% 수준으로 생략하고, 수수료 할인 폭도 50% 확대했다. 인증 수수료 유료화에 따른 중소‧중견 기업의 부담을 경감시키기 위해 수수료 지원도 최대 70%로 강화할 예정이다. 과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역(행정내부업무 등)이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”면서, “본격적인 민간 클라우드 활용에 앞서, 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증하여 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다”고 밝혔다. 또한 “향후, 제도가 현장에서 안정적으로 정착될 수 있도록 지속적으로 모니터링하고, 제도 운영 과정에서 추가 개선이 필요한 부분은 보완해 나갈 방침이다”라고 강조했다.

2024.02.06 11:23남혁우