검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안 인증'통합검색 결과 입니다. (55건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

진앤현시큐리티, 美 사이버 보안성숙도모델 등록…국방 사업 기반 마련

진앤현시큐리티가 미국 국방부(DoD)와 보안 사업을 진행하기 위하 기반을 마련했다. 진앤현시큐리티는 미국 국방부의 사이버보안성숙도모델인증(CMMC) 등록을 완료했다고 19일 밝혔다. CMMC는 미 국방부가 국방 계약업체의 사이버 보안 역량을 평가하고 인증하는 제도다. 통제 비기밀 정보(CUI)를 취급하는 모든 조직이 CMMC 인증을 받아야 하며, 인증 수준에 따라 계약 기회 및 범위가 달라진다. CMMC는 총 3개 수준으로 구성되어 있으며, 각 수준마다 요구되는 보안 관리 및 제어 요구 사항이 점차 까다로워진다. 진앤현시큐리티는 이번 CMMC PRO 등록을 통해 미 국방부 계약에 필요한 최고 수준의 사이버 보안 역량을 갖추고 있음을 입증했다. 또한, 이미 3명의 CMMC 등록된 전문가(RP)를 보유하고 있으며, 지속적인 제어 구현(CI) 등록, RP 등록, 캠페인 진행 등을 통해 CMMC 인증 관련 역량을 강화할 계획임을 밝혔다. 특히, 방산 분야에 특화된 맞춤형 CMMC 컨설팅 서비스를 제공하며, 미 국방부 계약을 원하는 기업들의 성공적인 CMMC 인증 취득을 지원할 예정이다. 김병익 의장은 “이번 CMMC PRO 등록은 미국 시장 진출의 발판 마련에 중요한 성과”라며 “앞으로도 글로벌 시장에서 경쟁력을 갖춘 사이버 보안 솔루션과 서비스를 제공하여 국내 기업들의 해외 진출을 적극 지원하겠다.”고 밝혔다. 진앤현시큐리티는 CMMC PRO 등록 이후 미 국방부 계약 진출을 노리는 국내 기업들에 대한 지원을 본격화할 예정이다. 특히, 방산, 항공우주, 정부기관 등 미 국방부 계약이 활발한 분야에 집중 지원하며, 국내 보안 사업의 해외 시장 점유율 확대에 박차를 가할 예정이다.

2024.07.19 10:56남혁우

앤앤에스피, OT분야 품질경영 인증

사이버물리시스템(CPS) 보안 전문 기업 앤앤에스피(대표 김일용)는 운영기술(OT) 보안 부문에서 품질경영시스템 ISO9001인증을 획득했다. 앤앤에스피는 이번 인증 획득으로 OT분야 기술력과 신뢰성을 인정받았다. 앤앤에스피는 OT보안솔루션과 IT인프라솔루션, 통합아웃소싱, IT 및 OT 연구 개발 분야와 관련해 인증을 획득했다. ISO9001 인증으로 앤앤에스피는 명실상부한 CPS 보안 리딩 기업임을 입증했다. ISO 9001은 국제표준화기구(ISO)에서 제정·시행하는 품질경영시스템에 관한 국제인증이다. 고객에게 제공하는 제품 및 서비스의 품질, 유지관리 실태 등을 평가해 규정된 요구 기준을 충족하는 기업이 획득한다. 앤앤에스피는 독보적인 CPS 보안 기술로 시장을 선도하고 있다. 앤앤에스피는 물리적 일방향 망연계 솔루션을 중심으로 OT보안에서 진보한 CPS보안 전문기업으로 발돋움하고 있다. 앤앤에스피는 주요기반시설에서 운영되는 제조설비 등을 모니터링 하고 보호한다. 폐쇄망과 인터넷망을 안전하게 연결하는 일방향 망연계 기술로 공급망 보안과 제로 트러스트를 구현한다. 앤앤에스피는 서로 등급이 다른 네트워크간 안전하게 데이터를 전송하는 크로스 도메인 솔루션(CDS: Cross Domain Solution) 개발도 완료했다. CDS는 공공기관에 적용 중인 망분리 체계를 다중계층보안(MLS)로 전환할 때 유용한 솔루션으로 각광 받고 있다. 김일용 앤앤에스피 대표는 “이번 ISO 9001 인증으로 기술력과 신뢰성을 인정 받았다"면서 “경영 안정성을 강화하며 사업 확장과 서비스 수준 향상에 매진할 것"이라고 말했다.

2024.07.09 17:03김인순

[기고] 임베디드 시스템의 발전 방향..."효율성과 보안의 중요성"

과거에는 특정 애플리케이션에만 국한되었던 임베디드 시스템이 이제는 어디에서나 찾아볼 수 있는 세상이 됐다. 공장, 가전 제품, 고가의 의료 기기, 유비쿼터스 웨어러블 기기에 이르기까지 세상이 더 연결될수록 임베디드 시스템은 혁신의 핵심에 자리잡았다. 이 시스템은 제품 개발뿐만 아니라 세상을 바꾸고 더 나은 미래를 이끌어가는 새로운 방법을 제시한다. 따라서 임베디드 시스템의 향후 방향을 살펴보고 적절한 전략을 세운다면, 이는 브랜드와 기업의 성공 여부를 넘어서 시장과 산업의 발전을 주도할 수 있다. 첫째, 컴퓨팅 효율성이 더욱 강화다. 본질적으로 효율성은 소비된 에너지량당 수행된 작업의 비율이다. 임베디드 애플리케이션에 사용되는 마이크로컨트롤러(MCU)의 경우 전기 효율을 의미한다. 효율성 향상은 동일하거나 더 많은 연산 처리량을 제공하면서 전력 소비를 낮추는 것이다. 임베디드 시스템 애플리케이션이 더욱 최적화되면서 주어진 컴퓨팅 처리량에 대한 애플리케이션의 복잡성은 새로운 효율성 비율로 등장했다. 시스템이 강화되고 애플리케이션이 최적화되면서 동일한 양의 연산 성능으로 더 큰 결과를 얻게 되었다. 예를 들어, 양자화된 신경망은 더욱 강력한 엣지 AI 시스템을 실현해 동일한 MCU에서 실행 가능한 애플리케이션이 증가했다. 또 새로운 모터 제어 알고리즘은 MCU가 모터를 더 정확하고 효율적으로 구동하게 하고 새로운 UI 프레임워크는 더 적은 메모리로 더 풍부한 그래픽을 제공한다. 이제 개발자는 클라우드, 머신러닝, 센서 융합, 그래픽 인터페이스를 활용하는 새로운 방법을 모색하고 있으며, 엔지니어는 디바이스가 얼마나 빠르게 실행되면서 애플리케이션의 복잡성과 풍부한 기능을 얼마나 잘 지원할 수 있는지를 고려해야 한다. 둘째, 다중 무선 프로토콜 지원이 활성화되고 있다. 지금까지 애플리케이션은 유무선 중 하나의 통신 모드만 선택했고 무선도 하나의 프로토콜을 사용했다. 그러나 최근 몇 년 동안 새로운 무선 프로토콜이 끊임없이 등장했다. 블루투스가 여전히 지배적이지만 지그비(Zigbee)와 스레드(Thread)의 인기가 높아졌고, 경쟁 또는 규제상의 이유로 맞춤형 IEEE 802.15.4 프로토콜이 많이 사용되는 추세다. 홈 오토메이션을 하나의 표준으로 통합하는 최신 이니셔티브인 매터(Matter)는 여러 무선 기술에서 실행되며, 지그비, Z-웨이브 등 여러 2.4GHz 브리지를 지원할 정도로 네트워크 프로토콜의 확산이 만연하다. 따라서 엔지니어들은 경쟁력을 유지하기 위해 여러 무선 프로토콜을 지원하는 시스템을 구축해야 한다. 여러 기술을 지원하는 디바이스를 채택함으로써 기업은 하나의 MCU로 시장의 요구에 부응할 수 있다. 코드 기반만 변경하면 한 지역에서 독점적인 IEEE 802.15.4 프로토콜로 작업하고, 다른 지역에서는 같은 하드웨어로 스레드를 채택할 수 있다. 이를 통해 시장 출시 기간을 단축하고 훨씬 더 큰 유연성을 누리게 된다. 셋째, 보안은 이제 필수사항으로 고려되어야 한다. 서버, 코드, 최종 사용자 데이터, 물리적 디바이스까지 공격으로부터 보호해야 하며, 임베디드 시스템의 보안 실패는 제품과 브랜드에 치명적인 영향을 미칠 수 있다. 더욱이 여러 국가의 표준화 기관에서 기능과 보호를 의무화하는 새로운 규칙을 제정하고 있으며 이는 계속 진행 중이다. 이런 표준은 미래를 대비한 설계 경로를 제공하고 엄격한 요구 사항을 충족하도록 지원한다. 하지만 보안을 나중에 고려하거나 설계 후에 이러한 인증을 받으려 한다면 소용이 없다. SESIP 레벨3 인증의 경우 엄격한 요건을 충족한다는 점을 보장해주지만 이 인증을 받을 수 있는 MCU를 선택하지 않았다면 전체 프로젝트가 손상될 수 있다. 제품이 특정 보안 인증을 충족하도록 보장하는 하드웨어 및 플랫폼 사항을 처음부터 고려해야 한다. 이 모든 트렌드를 살펴보면 에코시스템이 더욱 중요해진다는 결론에 도달하게 된다. 컴퓨팅 효율성은 MCU와 MCU상에서 실행되는 프레임워크, 미들웨어, 알고리즘에 따라 달라진다. 다중 무선 프로토콜을 지원하려면 새로운 개발 도구가 필요하며, 시스템을 보호하려면 하드웨어 IP 기반의 실용적 소프트웨어 솔루션이 필요하다. 이 모두를 아우르는 협력과 상호작용이 더 큰 가치를 창출할 수 있을 것이다.

2024.06.26 11:16최경화

"망분리 개선 긍정적, 정책 실효성·기업지원 부족"...보안 B학점

지디넷코리아는 창간 24주년을 맞아 윤석열 정부 정책 2년을 평가했습니다. 전년과 마찬가지로 통신·플랫폼·로봇·금융·반도체·SW·AI·자동차·배터리 디지털헬스케어·게임 등의 분야를 대상으로 했습니다. 현 정부 출범 이후 의욕을 갖고 시작한 정책들이 일관성 있게 효율적으로 추진되는지 살펴보았고, 정책의 실수요자들은 이를 어떻게 평가하고 있는지 들어보았습니다. 일부 분야를 제외하고는 전반적으로 평가 점수가 지난 해보다 하락한 것을 확인할 수 있었습니다. 아직 현 정부의 정책이 추진된 지 반환점조차 지나지 않은 시점이기 때문에 '중간평가'의 의미이지만 정책당국에서는 평가자들의 목소리를 귀담아들어야겠습니다. 이번 기획이 향후 정책이 좋은 평가로 발전하는데 보탬이 되기를 바랍니다. [편집자주] #. 최근 신한금융지주의 인공지능(AI) 자회사 '신한AI'가 문을 닫았다. 실제 시장예측·투자자문·컴플라이언스(준법감시) 등 여러 AI 서비스를 신영자산운용 등과 함께 선보이며 의욕적으로 나섰으나, '망분리 규제'에 발이 묶여 경영 효율성은 점차 떨어졌다. 물리적 망분리 규제는 내부망과 일반 인터넷망을 분리해 외부데이터를 차단해 보안을 강화하는 취지로 지난 2013년 금융권에 도입됐으나, 이는 AI 사업 확대에 걸림돌로 작용했다. 결국 오픈소스, 클라우드 소프트웨어(SaaS) 등 외부 데이터를 적극 활용하지 못한 신한AI는 설립 5년 만에 역사 속으로 사라졌다. '망 분리 규제'는 보안업계의 대표적인 대못 규제 중 하나로 꼽힌다. 최근 생성형 AI가 급속도로 확산되면서 금융권 뿐 아니라 보안 업계에서도 '망분리 규제' 문제가 대두되고 있다. 윤석열 정부는 어느 정부도 시도하지 않았던 망분리 규제 개선을 시도했다는 점에서 높은 평가를 받았다. '망분리 규제' 개선은 윤석열 정부가 지난해 내놓은 '디지털플랫폼정부 실현 계획'을 제대로 구현하기 위해서도 꼭 필요한 것으로 지적되고 있다. 망분리 규제 개선 외에도 윤 대통령은 취임 2년간 보안 분야에서 역대 정부에 비해 새로운 정책들을 다양하게 쏟아내고 있다는 점에서 일단 좋은 평가를 받고 있다. 하지만 정보보호제품 평가 인증(CC 인증) 개선, 사이버 보안 인력 양성 대책 등에선 실효성이 부족하다는 지적이 많다. 최근 드러난 공공기관의 정보 유출 문제도 나날이 늘어나고 있지만, 이를 책임질 '정보보호 최고책임자(CISO)'를 선임하려는 시도가 없다는 점도 아쉬움으로 지목됐다. 윤석열 정부 2년차 보안 정책 평가에 참여한 전문가들은 '망분리 규제 개선' 시도에 높은 점수를 부여했다. 기존 정부에서 시도하지 않았던 정책들을 내놓으며 AI 시대 흐름에 맞춰 개선하려는 의지를 보였다는 점을 높이 평가해 A학점을 준 전문가도 있었다. 하지만 전반적인 지원 정책에 대한 보안업계의 시선은 비교적 싸늘했다. 취재에 응한 익명의 보안업계 관계자들은 정책 실효성과 기업 지원책이 턱없이 부족하다는 점을 들어 C학점으로 평가했다. 이들의 평가를 종합하면 윤 정부가 꾸준히 보안 분야에 관심을 보인다는 점에 대해서는 대체로 긍정적이었다. 전문가들은 이런 부분과 함께 망분리를 비롯한 중요한 규제 개선을 향한 움직임을 응원하는 차원에서 평균 B학점을 부여했다. AI 혁신 막은 '망분리 규제' 10년…드디어 메스 든 尹 정부 국내 망분리 정책은 2006년 국가사이버안전전략회의에서 최초 보고된 이후 주요 정부 부처를 중심으로 본격적으로 확산했으며 민간기업에도 확대 적용됐다. 공공부문은 국가정보보안기본지침에, 민간은 개인정보보호법 시행령에, 금융은 전자금융감독규정에 관련 법적 근거가 마련돼 있다. 윤 대통령은 지난해 말 열린 국방혁신위원회 회의에 참석해 '망분리 제도 개선이 필요하다'는 학계 의견을 들었다. 기관·기업 내부망과 일반 인터넷망을 단절하는 망분리가 가장 확실한 보안 조치라는 평가와 달리 업무 효율성을 저해하고 신기술 활용 등 혁신을 가로막는다는 비판이 대립하며 그간 망분리 제도는 해결 방안을 찾지 못했다. 그러나 정부·민간 간 자유로운 데이터 이동과 디플정 최상위 통합플랫폼인 'DPG 허브' 구축 등 디플정 구현에 망분리는 도움이 되지 못했다. 클라우드 전환, AI 확산 분위기 속에 기존 방식으로는 효과적인 업무에 한계가 있다는 판단도 섰다. 이에 윤 대통령은 망분리 제도 개선을 지시하며 범부처 합동 태스크포스(TF)를 구성했다. 국정원이 주도하는 TF는 민감 개인정보, 공개정보, 기밀 등 데이터 보안 중요성에 따라 망분리 정도를 달리하는 방향으로 가닥을 잡은 것으로 알려졌다. TF는 오는 9월 구체적인 내용을 발표할 계획이다. 김승주 고려대 정보보호대학원 교수는 "우리나라 망분리는 근본적으로 외국과 다른 형태라는 게 문제"라며 "해외에선 회사 업무망이 중요도에 따라 등급별로 나누어져 있어 일반 직원들 업무는 인터넷에 연결된 상태로도 할 수 있다"고 설명했다. 이어 "해외는 데이터 중요도 중심의 망분리를 하고 있는 반면, 한국식 망분리는 모든 시스템을 인터넷과 단절시켜 재택근무나 4차 산업혁명에 맞지 않는다"며 "해커들이 넘기에 보안 장벽이 높을 수 있겠지만, 넘었을 경우에는 외국보다 기밀 안전 위협이 더 크다는 점에서 개선이 반드시 필요해 보인다"고 덧붙였다. 해커 막겠다더니 더 크게 터졌다…뒷짐 진 공공기관, 책임은 '모르쇠' 이 같은 우려는 결국 최근 공공기관의 잇따른 정보 유출 문제로 현실화됐다. 실제 법원 내부 전산망에서 지난 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐고, '정부24'에서도 개인정보가 유출되는 등 관련 사고가 잇따랐다. 더불어민주당 윤영덕 의원이 개인정보위로부터 제출받은 자료에 따르면, 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천 건에서 지난해 8월 기준 339만8천 건으로 크게 늘었다. 같은 기간 민간기업에서 신고한 유출 건수는 1천398만9천건에서 261만7천건으로 줄었다. 공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다. 업계에선 민간기관과 달리 공공기관에서 개인정보보호책임자(CPO)가 없기 때문이란 지적이 해마다 나왔다. 개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다. 반면 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다. 김승주 고려대 정보보호대학원 교수는 "개인정보 유출 사고가 벌어질 때 공공기관은 담당자에 대한 처벌이나 사과하는 모습을 보기 힘들다"며 "개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'를 둘 의무가 공공기관에 없기 때문으로, 현 정부가 민간기업과의 형평성을 맞출 필요가 있다"고 말했다. 정보보호 인증제 개선 '환영'…실질적 지원책은 '미흡' 업계에선 지난달 윤 정부가 '정보보호·SW분야 인증제도 개선 방안'을 내놓은 것에 대해 일단 환영했다. 정보보호기업은 공공시장 진출을 위해 CC인증(정보보호제품 평가·인증) 등 사전인증을 취득해야 하지만 중소·영세 기업이 대다수다 보니 5천만원이나 되는 비용을 들여야 하는 등 부담이 컸다. 특히 스타트업이나 인증취득 경험이 없는 기업은 어려움이 더 많았다. 공공기관에 클라우드 관련 제품을 공급하기 위한 클라우드 보안인증(CSAP) 역시 마찬가지다. 평균 5개월 이상 소요되고 3천만원에 달하는 수수료 비용을 들여야 했다. 이에 과기정통부는 인증 소요 기간을 평균 5개월에서 최장 2개월 이내로 단축하고, 인증 수수료를 50% 이상 낮추는 등 개선안을 발표했다. 그러나 일부 기업들은 이런 정책 실효성에 물음표를 던졌다. 인증 소요 기간을 단번에 줄이긴 힘들다고 입을 모았다. 인증 과정에 생기는 이해관계가 복잡하게 얽혀있다는 이유에서다. 한 업계 관계자는 "해당 정책은 돈 받고 인증 업무 돕는 기관들 밥줄 뺏는 꼴이 될 수 있다"며 "해당 기관들이 소요 기간 단축에 반기를 들 수 있다"고 말했다. 또 "해당 정책은 과기정통부뿐 아니라 국정원 등 여러 정부 이해관계도 복잡히 엮여 있다"며 "인증 간소화는 당장 실현되기 힘들 것"이라고 덧붙였다. "사이버 인재 10만 육성, 질 낮고 디테일 부족" 업계에선 사이버 보안 인재 육성 정책이 효과가 없을 것이라고 내다봤다. 정부가 인재를 육성하는 건 좋은 취지지만, 이에 대한 사후 관리 정책이 없다는 이유에서다. 고급 개발 인력 육성도 힘들다는 목소리도 나왔다. 한 보안 업계 관계자는 "인재 10만명이 보안 분야에 정착할 수 있는 가이드라인이 없다"며 "장기적으로 보안 산업 활성화에 도움 주긴 힘들 것"이라고 지적했다. 이에 "현재 국내 보안 기업은 다수가 중소기업"이라며 "10만 인재 모두 국내 보안업계로 오는 것도 비현실적"이라고 설명했다. 고급 인재를 육성할 수 있는 보장도 없단 지적도 나왔다. 김승주 교수는 "개발 인력 양성은 시간도 오래 걸리고 비용도 많이 든다"며 "정부가 고급 보안 개발 인재 양성에 지금보다 예산을 더 투입해야 한다"고 말했다. 그는 "현재 정부 예산안, 운영 중인 여러 교육 프로그램 모두 보안 분석 전문가 쪽"이라며 "정부가 여러 차례 보안 내재화 얘기를 하는데, 이를 위해서도 보안 개발 인력을 늘려야 한다"고 강조했다. "보안 관심 갖는 尹, 실효성 있는 정책 더 내놔야" 전문가들은 윤석열 정부가 꾸준히 보안 분야에 관심을 보인다는 점에 대해서는 긍정적으로 평가했다. 김승주 고려대 정보보호대학원 교수는 "어떤 역대 대통령도 손대지 않은 망분리를 개선하기 위해 나섰다는 점과 미국 체계를 본받아 지난달 12일 한국형 위험관리체계(K-RMS)를 도입했다는 점에선 긍정적으로 평가한다"며 "앞으로는 공공부문 CSIO 선임, 보안 분석 전문가와 보안 개발 전문가의 인력 양성 밸런스를 맞추려는 노력에 좀 더 집중해주길 바란다"고 말했다. 보안 관련 예산도 늘려야 한다는 지적이 나왔다. 업계 관계자는 "정보통신산업진흥원(NIPA)과 한국인터넷진흥원(KISA) 등에서도 보안 사업 규모와 범위를 줄이는 추세"라며 "보안 기업 다수가 중소기업인 현실에서 지원사업을 활용한 R&D 투자가 줄 수밖에 없다"고 지적했다. 그는 "이는 곧 한국 보안 기술 경쟁력 저하를 일으킬 수 있다는 의미다"라며 "실질적인 보안 정책을 위해 R&D 예산을 충분히 확보해야 한다"고 강조했다. 조영철 한국정보보호산업협회장은 "정부는 올해 사이버 보안 펀드 조성을 확정하는 등 국내 정보보호 산업의 탄탄한 기반을 조성했다"며 "앞으로 정보보호 생태계 조성을 위해 정보보호 예산 확보에 신경 쓰길 바란다"고 말했다.

2024.05.22 10:20장유미

알테어, 국제표준 정보보호 인증 'ISO 27001' 획득

지능형 컴퓨팅 기업 알테어는 개인정보보호 경영시스템 국제표준인 'ISO·IEC 27001:2022' 인증을 획득했다고 16일 밝혔다. 'ISO/IEC 27001'은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 분야 국제 표준 인증이다. 알테어가 이번에 획득한 인증은 2022년 최신 기준으로, 디지털 보안 위협과 대응 상황에 맞게 기업의 정보 자산을 안전하게 보호할 수 있는 체계를 갖추고 있음을 의미한다. ISO/IEC 27001 인증은 정보보호에 관한 정책, 기술·물리적 보안, 정보 접근 통제 등 4개 분야에서 93개 항목에 대한 엄격한 기준을 통과한 기업에 부여된다. 알테어는 웹 필터링, 클라우드 보안, 위협 인텔리전스, 혼합 및 원격 근무 등에서 최신 보안 요구 사항을 준수하고 있다. 소프트웨어 개발, 영업, 기술지원, 인사 등 전사적으로 국제 정보보호 기준에 맞게 보안 제어를 한 것에 대한 안정성을 인정받았다. 제프 마라치니 알테어 최고정보보호책임자(CISO)는 “알테어는 고객들이 신뢰하고 사용할 수 있는 제품과 서비스를 제공하기 위해 최선을 다하고 있다”며 “앞으로도 보안 인프라를 지속 확장하며 고객의 정보 자산을 안전하게 보호하고 안정적인 서비스를 제공할 것”이라고 밝혔다.

2024.05.16 16:34김우용

세일즈포스, 금융보안원 CSP 안전성 평가 완료

세일즈포스코리아는 금융보안원의 클라우드 서비스 제공 업체(CSP) 대상 안전성 평가를 완료했다고 9일 밝혔다. 평가 대상은 세일즈포스의 '하이퍼포스'다. 세일즈포스는 작년 국내에서 차세대 클라우드 플랫폼인 하이퍼포스의 서비스를 공식적으로 시작함에 따라 민감 데이터를 다루는 금융, 공공, 의료, 통신 산업 등의 고객을 위해 다양한 퍼블릭 클라우드상에서 세일즈포스 CRM 플랫폼을 구축 및 운영할 수 있도록 지원한다. 세일즈포스에 따르면 하이퍼포스는 더 강력해진 안정성, 유연성, 확장성, 보안성을 기반으로 세일즈포스 운영 안전성 향상에 기여하며, 한국 내 데이터 레지던시 확보를 지원한다. 엄격한 데이터 보안 규정을 요구하는 일부 산업의 기준에 부합하는 제로 트러스트 원칙과 암호화 키를 포함한 보안 및 데이터 스토리지 서비스를 제공하고 있다. 세일즈포스는 이번에 금융보안원의 CSP 안전성 평가를 마친 하이퍼포스를 기반으로 국내 금융 기업의 고객경험 혁신과 조직의 생산성 향상을 위해 필요한 데이터 스토리지 역량을 확보했다. 각종 규제로 인해 디지털 기술 활용에 제약이 있었던 국내 금융 산업에서의 성장과 생태계 확장에도 박차를 가할 예정이라고 전했다. 세일즈포스는 현재 '신뢰'를 최우선 기업 가치로 삼고 고객 데이터 보안 및 부적절한 데이터 노출 방지를 위한 다중인증(MFA)과 시스템 투명성을 위한 트러스트닷컴 웹사이트를 운영하고 있다. 세일즈포스에 따르면, 태블로를 도입한 토스뱅크, KB국민은행 등의 국내 금융기관뿐만 아니라, US뱅크, 스페인계 은행 산탄데르 영국 지사, 신용협동조합 펜피드, 브라질 최초 은행 인터 등의 글로벌 금융 기업들이 세일즈포스와 디지털 혁신 여정을 함께하고 있다. 세일즈포스코리아 손부한 대표는 “세일즈포스는 이번 CSP 안전성 평가를 완료함에 따라 국내 금융, 교육, 공공 의료 등 보안 및 데이터 안전성이 강조되는 산업군 대상의 지원을 강화할 수 있는 역량과 경쟁력을 확보했다”며 ”앞으로도 세일즈포스는 신뢰할 수 있는 AI CRM 솔루션을 통해 국내 기업이 겪고 있는 디지털 혁신 여정 간의 진입장벽 해소와 더불어, 금융권을 포함한 다양한 산업의 디지털 혁신을 지원하기 위한 노력을 아끼지 않겠다”고 밝혔다.

2024.05.09 14:46김우용

에스티씨랩, 매크로 탐지·차단 '엠버스터' GS인증 1등급 획득

에스티씨랩(대표 박형준)은 자체 개발한 매크로 탐지 및 차단 솔루션 '엠버스터'가 한국산업기술시험원(KTL)의 GS인증 1등급을 획득했다고 8일 밝혔다. 엠버스터는 서버에 접속하는 매크로를 실시간으로 탐지하고 추적해 차단한다. 콘서트, 스포츠 경기, 기차표, 항공권을 비롯해 대학교 수강신청, 온라인 쇼핑몰 등 다양한 분야에서 악용되는 매크로를 사전에 차단해 피해를 막을 수 있다. GS인증은 한국산업기술시험원(KTL)를 포함한 총 5개 기관에서 부여하는 국가 소프트웨어 품질 인증으로 GS는 '좋은 소프트웨어(Good Software)'의 약자다. 평가 기준은 국제표준화기구(ISO)의 기준을 바탕으로 구성됐으며, 기능 적합성·성능 효율성·사용성·신뢰성·보안성 등을 판단한다. 엠버스터가 획득한 1등급은 GS인증의 최고등급으로, 우수한 성적으로 품질인증평가 시험을 통과해야만 받을 수 있다. GS인증을 획득한 소프트웨어에 대해서는 정부가 공공 시장에서 혜택을 주고 있다. 조달청 나라장터에 등록해 구매기관이 수의계약으로 제품을 구매할 수 있도록 하고 공공기관의 우선 구매 대상 기술개발제품으로 지정되는 길도 열린다. 특히 최근 많은 공공기관들이 매크로 공격으로 골머리를 앓고 있어 엠버스터 같은 제품에 대한 수요가 증가하고 있는 상황이다. 반복적으로 서버에 접속해 개인정보를 탈취하는 '크레덴셜 스터핑' 해킹이나 민원을 끊임없이 신청해 업무를 마비시키는 등 실제 피해 사례들도 존재한다. 박형준 에스티씨랩 대표는 "단순한 업무 방해부터 암표, 해킹, 과도한 트래픽 유발, 서버 마비 등 매크로의 악용 범위는 매우 넓지만 사전에 대비하지 않으면 속수무책으로 당할 수밖에 없다"며 "매크로를 실시간으로 탐지하고 차단하는 엠버스터가 공공기관의 보안 수준을 끌어올리는데 보탬이 되고 매크로로 인한 피해를 최소화할 수 있도록 기여하겠다"고 밝혔다. 에스티씨랩은 웹서비스의 토대가 되는 트래픽을 관리하는 기업이다. 최종 사용자부터 시스템 내부까지 모든 트래픽을 관리하는 솔루션으로 서버를 안정화하고 인프라 구축과 운영 비용을 절감하며 이용자의 만족도를 높여 브랜드 신뢰도까지 높인다. 서버 가상대기실 솔루션인 넷퍼넬과 매크로 탐지 및 차단 솔루션 엠버스터 등의 솔루션을 제공하고 있다. 500여개 이상의 고객사를 확보하고 있으며, 대표적으로는 삼성, 현대, 롯데홈쇼핑, 우정사업본부 등이 있다.

2024.04.08 17:04백봉삼

오내피플, 개인정보 보호 강화…손해배상 책임보험 가입

오내피플이 고객의 개인정보 보호를 더욱 강화하기 위한 사고대응 체계를 구축한다. 오내피플은 '개인정보손해배상' 책임보험에 가입했다고 8일 밝혔다. 이로써 개인정보 처리 과정에서 발생하는 예상치 못한 데이터 유출이나 보안 사고 발생 시, 피해를 본 고객에게 최대 10억 원의 배상을 지급할 수 있는 보장을 제공한다. 오내피플은 보험 가입 외에도 국제 정보보호 및 개인정보보호 관리체계 인증, 클라우드 보안 인증 등 4종을 동시 획득해 3년 이상 유지했다. 또한 매월 보안 교육 및 인식 캠페인을 통해 직원들의 보안 의식을 높이는 노력 등을 통해 고객의 개인정보 보호에 앞장서고 있다. 조아영 오내피플 대표는 "고객의 개인정보 보호를 기업 운영의 핵심으로 삼고 있으며, 이번 보험 가입을 통해 고객들이 서비스를 안심하고 이용할 수 있게 되기를 바란다"며 "개인정보보호 시장을 선도하는 기업의 책임 강화와 함께 서비스의 안전성 확보를 위해 더욱 노력할 것"이라고 설명했다.

2024.04.08 14:56이한얼

한컴, AI 생체인식 기술력 강화…페이스피에 전략적 투자

한글과컴퓨터(대표 변성준·김연수)가 스페인 기업 페이스피에 투자해 인공지능(AI) 생체인식 기술력 강화를 본격화한다. 한컴은 스페인 바르셀로나에서 김연수 한컴 대표와 하비에르 페이스피 대표가 참석한 가운데 투자협약을 체결했다고 25일 밝혔다. 페이스피의 다중 인식 생체인식 기술에 한컴의 AI, 한컴위드의 보안 기술, 클립소프트의 리포팅툴, 한컴케어링크 헬스케어서비스가 결합할 방침이다. 이를 통해 한컴은 페이스피에 대한 지분 투자를 진행하고, 페이스피의 아시아태평양(APAC) 지역 독점사업권을 확보하게 된다. 한컴이 이처럼 나선 것은 최근 디지털 인증 서비스 시장이 커지고 있어서다. 현재 전 세계적으로 디지털 인증 솔루션 시장 연평균 12% 성장률을 보이고 있으며, 보안 수준이 강화됨에 따라 기존 지문인식 중심의 생체인증 기술에서 안면인식 중심으로 전환되고 있는 추세다. 딥페이크와 같은 기술 발전에 대응하기 위해서는 위변조 방지가 가능한 패시브 방식이 증가할 것으로 전망하고 있다. 페이스피는 현재 스페인과 프랑스 증권거래소에 동시 상장됐다. 생체인증에 필요한 안면, 지문, 동공, 음성 인식 등 AI 기반의 생체인식 기술을 보유했다. 유럽과 중남미를 중심으로 사업을 운영하고 있으며, 국내서도 다수 금융회사를 고객사로 확보한 상태다. 김연수 한컴 대표는 "이번 투자로 한컴의 AI 사업영역을 확대할 뿐 아니라 한컴 제품화, 한컴 브랜드화된 페이스피 솔루션을 전 APAC 지역에 공급함으로써 해외 매출까지도 기대한다"며 "앞으로 지속적으로 역량 있는 AI기업들과의 협력, 투자, 인수 등을 적극 추진함으로써 AI 시장을 선도해 나가겠다" 강조했다.

2024.03.25 12:16김미정

글로벌 디지털 복합기에 국산 암호 탑재한다

글로벌 디지털 복합기에 국산 암호 알고리즘이 탑재될 수 있는 길이 열렸다. 한국이 주도적으로 제안한 디지털 복합기 공동보호프로파일(cPP)이 CCRA 관리위원회 승인을 받았기 때문이다. 한국의 사이버 보안 정책을 반영한 국제표준이다. CCRA는 정보보호 기능이 들어간 제품의 안전성을 회원국가가 상호 인정하는 국제 협약이다. 국가정보원은 CCRA의 하드카피 디바이스(Hardcopy Devices) iTC가 배포한 '디지털 복합기 공동보호프로파일(cPP) v1.0e'를 국가·공공기관 도입기준으로 채택한다고 밝혔다. cPP란 CC인증을 위한 보안규격이다. 기술분야별 최신 보안기술을 담고 있다. 이번 cPP 발표로 캐논, 엡손, HP 등 글로벌 제조업체가 복합기에 한국 암호 알고리즘을 활용할 수 있는 가능성이 커졌다. CC인증을 받기 위해서는 cPP에 기재된 항목을 반영해야 하기 때문이다. CCRA는 2014년 협정을 개정한 이후 CCRA 가입국가, 평가기관, 글로벌 기업 등과 협력해 네트워크 장비, 생체인식제품, 데이터베이스, 복합기 등 여러 공동보호프로파일(cPP)을 제정했다. ■ 자국 보안 정책 국제 표준화 반영 경쟁 국정원과 CC인증기관인 국가보안기술연구소 IT보안인증사무국은 2018년부터 기존 디지털복합기 cPP를 대체하는 신규 보호프로파일(cPP) 제정 필요성을 CCRA에 제기했다. cPP 개발실무를 담당하는 국제기술개발그룹(iTC) 설립과 활동을 지원했다. 한국 보안정책을 국제 표준에 반영하는 노력이다. 미국은 인력과 예산을 투자하며 ISO, IEEE 등 기구에서 국제기술표준에 자국의 보안정책을 포함시켜왔다. 시스코, 주니퍼 등 미국업체가 글로벌을 무대로 사업을 펼칠 수 있는 이유다. 최근 중국도 자국의 보안정책을 국제표준화하는데 집중하고 있다. 화웨이는 360여개 산업표준화 분야에서 활동하면서 주요 직책을 맡아 영향력을 확대하고 있다. IT보안인증사무국은 "기존 PP에는 미국 국제표준 암호알고리즘(AES, RSA, ECDSA)만 포함돼 디지털 복합기 기업이 해당 내용만 반영했다"면서 "이번 디지털 복합기 cPP는 한국이 주도해 개발한 첫 번째 성과"라고 밝혔다. ■ 국내 암호 알고리즘 5종 포함 신규 제정된 cPP는 ▲국제표준 암호알고리즘 탑재 ▲데이터 암호화 등 한국 보안정책과 최신 디지털 복합기 보안기술이 반영됐다. 특히, 데이터 암호화를 위한 암호 알고리즘에 시드(SEED), 하이트(HIGHT), 레아(LEA), KCDSA, EC-KCDSA 등 국내 기술로 개발된 5종의 국제표준 암호알고리즘이 포함됐다. CCRA산하 '하드카피 디바이스 iTC 의장인 이광우 박사는 "디지털 복합기 cPP가 실효성을 갖기 위해서는 한국, 일본, 미국의 모든 디지털 복합기 제조업체, 평가기관, 산업 협회, 표준화 기관의 참여가 필수적이었다" 면서, "한·미·일의 CC 인증기관의 적극적인 지원과 공조 하에 거의 5년 만에 최신 디지털 복합기 보안기술을 포함한 디지털 복합기 cPP를 발표할 수 있었다"고 말했다. 이 의장은 "이번 디지털 복합기 cPP 제정으로 다른 보안 제품 평가 인증 기준에도 한국 암호 알고리즘을 탑재할 길을 열었다는데 의미가 크다"고 덧붙였다.

2024.03.07 13:52김인순

온다, ISO 27001 인증 획득..."정보보안 인정 받아”

호스피탈리티 테크 기업 온다(ONDA)의 정보 보안 수준이 국제표준화기구(ISO)로부터 공식 인정을 받았다. 온다(대표 오현석)는 운영되고 있는 플랫폼 전반에 대해 정보보안경영시스템(ISMS, Information Security Management system) 관련 국제표준 인증 'ISO 27001'을 획득했다고 6일 밝혔다. ISO 27001은 국제표준화기구0에서 제정한 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증이다. 기업의 정보보호 정책, 기술적·물리적·관리적 보안 수준 등 정보보안 관련 4개 분야, 93개 항목에 대한 국제 심판원들의 엄격한 심사와 검증을 통과해야 인증이 가능하다. 온다는 정보보호 경영시스템 내에서 정보 보호활동이 지속적으로 이행될 수 있는 보안 책임자의 전문성, 유관 부서와의 유기적 협력 등이 높은 평가를 받았다. 온다는 2016년부터 부킹엔진, 통합판매시스템, 객실관리시스템 등 자체 개발한 호스피탈리티 솔루션을 공급하며 국내외 숙박산업의 디지털 전환을 돕고 있다. 특히 UAE 시드 그룹과 파트너십 및 합작 투자를 발표한 만큼 중동 지역 대형 호텔 등 글로벌 시장 진출에도 탄력을 받을 것으로 회사는 기대하고 있다. 또 이번 인증으로 시스템 전반에서 글로벌 표준에 부합하는 신뢰성과 안전성을 인정받았다고 평가했다. 신명주 온다 부대표는 "온다가 서비스 보안성 향상을 위해 적극적으로 투자한 결과 글로벌 스탠다드인 PCI-DSS(지불 카드 보안 표준) 인증에 이어 ISO 27001 인증까지 획득하게 됐다"며 "앞으로도 수준 높은 정보보안 관리체계를 위해 지속적으로 투자해, 고객과 파트너사들이 걱정 없이 사용할 수 있는 시스템 개발에 최선을 다하겠다"고 말했다.

2024.03.06 12:50백봉삼

"얼굴 사진으로 출입인증"…슈프리마, '템플릿 온 모바일' 출시

슈프리마(대표 이재원·김한철)가 얼굴 사진만으로 출입인증을 돕는 기술을 공개했다. 슈프리마는 얼굴인증 데이터로 출입인증을 돕는 솔루션 '템플릿 온 모바일(ToM)'을 출시했다고 20일 밝혔다. ToM은 얼굴인증과 모바일 기술을 결합한 출입인증 제품이다. 사용자는 출입인증 시 개인 스마트폰으로 출입인증에 필요한 얼굴 사진을 직접 등록해서 사용하면 된다. 인증용 사진은 다른 곳에 저장되지 않고, 개인의 스마트폰에만 저장되고 직접 관리할 수 있다. 물리적인 열쇠나 RFID 카드분실, 훼손에 대해 우려하지 않아도 된다. ToM 관리자는 시스템에 개인정보를 별도로 저장할 필요가 없어 GDPR과 같은 개인정보보호 관련 규정 준수를 위해 고려해야 할 부분을 줄일 수 있다. 기업은 개인정보 저장을 위한 별도의 서버 증설이 필요 없고, 카드 발급·재발급 수요가 감소해 전반적인 비용 절감 효과를 얻을 수 있다. 플라스틱 사용을 줄일 수 있어 기업의 ESG 경영에도 기여할 수 있다. 기존 ToM 기술은 대용량 사진을 스마트폰의 블루투스로 전송하는 데 긴 시간이 걸렸다. 현재 슈프리마가 자체적으로 개발하고 특허를 취득한 BLE 통신 속도 단축 기술을 적용함으로써 동작 속도를 최적화할 수 있었다. 해당 특허를 기반으로 올해 2월 조달청으로부터 기술력과 품질을 인정받아 '우수조달물품'으로 지정받았다. 우수제품으로 지정받은 제품은 국가계약법령 등에 따라 수의계약이 가능하다. 정부 청사나 국가 보안시설 등 국가의 수요기관에 물품을 공급할 수 있다. 엄격한 보안과 개인정보가 요구되는 정부청사나 국가 보안시설 등 대규모 시설에 도입하고 있다. 김한철 슈프리마 대표는 "모바일 기술과 생체인증이 보편화되고 있는 가운데 슈프리마가 보안 업계에서 선도적으로 혁신적인 출입인증 방식인 ToM을 선보이게 돼 매우 자랑스럽게 생각한다"며 "전 세계 기업과 개인을 위해 최고 수준의 보안을 제공하면서 편리하고 사용자 친화적인 경험을 제공하기 위해 노력하고 있다"고 말했다.

2024.02.20 16:39김미정

CSAP 전면 시행…공공 클라우드 새로운 기회될까

정부가 클라우드 보안인증(CSAP) 등급제를 전면 확정하면서 공공 부문의 클라우드 비중이 확대될 전망이다. 국내외 주요 클라우드 기업들도 공공 시장 공략을 위한 준비 작업에 들어갈 것으로 예상된다. 공공 클라우드 확대로 국내 소프트웨어업게에겐 새로운 성장 발판이 될 것으로 기대되고 있는 가운데 일부에선 해외 기업들과 경쟁으로 인해 큰 성과를 기대하기 힘들 것이란 지적도 고개를 들고 있다. 7일 관련 업계에 따르면 관련 국내외 주요 클라우드 기업들은 앞으로 발주될 공공 클라우드 사업을 위한 사전 작업을 진행 중인 것으로 알려졌다. CSAP는 공공 부문의 민간 클라우드 이용 활성화를 통해 지난 해 1월 처음 도입됐다. 과기정통부는 당시 하등급 보안인증 기준이 담긴 고시를 개정하면서 하등급부터 우선 시행했다. 이런 가운데 과기정통부가 지난 6일 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 행정예고 하며 상·중등급까지 본격 시행하겠다고 밝혔다. 클라우드 기업들은 지난해 하등급으로 제한됐던 CSAP 등급제가 온전히 시행되는 만큼 참여할 여지가 더욱 늘어날 수 있을 것으로 기대하고 있다. 클라우드 업계의 한 관계자는 “그동안 CSAP 규정에 맞춰 강화된 보안 규정 등 만반의 준비를 갖춘 만큼 시행을 기다려 왔다”며 “새로운 사업 기회가 열리는 만큼 추가적인 성과를 낼 수 있을 것으로 기대한다”고 말했다. 하지만 일부에서는 CSAP 등급제가 본격적으로 시행되더라도 즉각 효과를 기대하긴 어려울 것으로 전망했다. 대규모 공공SW 사업인 차세대 서비스 사업이 대부분 진행 중이거나 마무리 단계여서 대규모 클라우드 인프라를 필요로 하는 사업이 예정돼 있지 않기 때문이다. 공공SW사업 특성상 수익성이 높지 않아 사업에 참여한다 하더라도 기대하는 만큼 성과를 낼 수 있을 지 의문이라는 지적이다. 또한 아마존웹서비스, 알리바바 클라우드 등 해외 클라우드 기업도 참가를 고려하는 것으로 알려지면서 경쟁 과정에서 수익성이 더욱 하락할 수 있다는 우려도 나오고 있다. 한 클라우드 기업 임원은 “공공 서비스에 민간 클라우드가 참여할 수 있는 비중이 확대되며 서비스를 혁신할 수 있다는 점은 긍정적이라고 생각한다”며 “하지만 기존 공공SW의 사업 구조를 유지한다면 그동안 발생했던 오류나 문제점이 반복될 여지가 크다”고 지적했다.

2024.02.07 17:00남혁우

CSAP 시행 본격화 "공공SW 발전"vs"데이터주권 위협" 찬반 팽팽

클라우드컴퓨팅서비스 보안인증(CSAP) 등급제가 본격 시행되며 해외 클라우드 사업자(CSP)도 일부 공공 클라우드 사업에 참여할 수 있게 됐다. 6일 관련 업계에선 이번 정책에 대해 의견이 갈리고 있다. 클라우드 서비스 기업들은 민간 클라우드 시장이 아마존웹서비스(AWS), 마이크로소프트 애저 등 글로벌 기업이 독점적 위치를 차지하고 있는 상황에서 공공시장까지 내주는 것은 데이터 주권에 악영향을 줄 수 있다고 지적했다. 반면, 다른 업계 관계자는 이번 정책으로 공공 서비스의 질적인 성장을 비롯해 정부에서 강조하는 디지털 정부의 해외 수출까지 대할 수 있을 것이라고 의견을 밝혔다. CSAP는 클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 지난해 1월부터 부분적으로 도입됐다. 그동안 클라우드 인프라의 물리적 망분리 등 도입요건이 제한돼 아마존웹서비스(AWS), 마이크로소프트 애저 등 글로벌 기업의 참여가 어려웠다. CSAP는 등급에 따라 클라우드 보안인증의 평가기준도 완화된 것이 특징이다. 이를 통해 해외 클라우드 기업도 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 하 등급에 참여할 수 있게 됐다. 이미 AWS와 구글 등 해외 기업이 CSAP 하 등급을 신청해 인증 평가절차를 밟고 있으며, 알리바바 클라우드, 세일즈포스, 오라클 등도 공공 클라우드 사업에 관심을 보이고 있는 것으로 알려졌다. 해외 기업의 공공 클라우드 시장 진출이 예고되면서 관련 업계에서는 이에 대한 우려의 시선이 나오고 있다. 특히 서비스 장애 등 문제가 발생했을 때 즉각적인 처리가 어려울 것이라고 지적했다. 한 클라우드 기업 임원은 “해외 기업에 모든 것을 내주면 국내 기업은 성장할 여지를 갖출 수 없을 뿐 아니라 직접 클라우드 관련 장비를 제어할 수 없다”며 “이로 인해 서비스 장애 등 문제가 발생했을 때 원인을 파악하고 이를 개선하는데 한계가 있을 수밖에 없다”고 말했다. 이어서 ”국내 기업이 클라우드에 대한 인프라부터 서비스까지 모든 역량을 갖춰야 해외 기업과 경쟁할 수 있는 기반을 마련할 수 있을 것”이라며 “이러한 기반이 될 공공 사업까지 내주는 것은 국내 IT사업에 상당한 위협을 초래할 수 있다”고 지적했다. 반면, 다른 기업 임원은 국내 기업도 충분히 서비스 노하우와 역량을 보유하고 있다며, 글로벌 기업의 진출은 오히려 경쟁을 통해 더욱 발전할 수 있는 기회가 될 수 있을 것이라고 이번 정책을 평가했다. 그는 “이미 국내 클라우드 기업도 중소, 중견기업 등을 기반으로 서비스를 제공하며 기술력을 확보하고 있고 고유의 경쟁력을 만들어가고 있다”며 “오히려 글로벌 기업의 진출을 통해 그들이 보유한 서비스를 활용해 더욱 안정적이고 효율적으로 공공 서비스를 구축할 수 있을 것”이라고 말했다. 이와 함께 “특히 해외 기업의 인프라를 활용한다면 국내 디지털 정부 플랫폼을 글로벌 시장에 보다 효율적으로 선보일 수 있는 기회가 될 것”이라고 덧붙였다.

2024.02.06 13:53남혁우

CSAP 등급제 본격 시행…상등급 '보안인증 강화'

정부가 클라우드컴퓨팅서비스 보안인증(CSAP) 등급제를 확정하고 본격 시행에 나선다. 국가 안보와 연결된 상 등급은 평가기준이 강화됐으며, 중등급은 명확한 점검을 위해 평가항목이 일부 수정됐다 과학기술정보통신부(이하 과기정통부)는 클라우드 보안인증 등급제의 상중등급 평가기준이 반영된 클라우드컴퓨팅서비스 보안인증에 관한 고시 일부 개정안을 26일까지 행정예고 한다고 6일 밝혔다. 지난해 1월 도입된 클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 마련됐다. 과기정통부는 등급별로 보안인증 평가기준을 차등화해, 상등급은 기존 평가기준을 보완‧강화, 중등급은 현행 수준을 유지, 하등급은 합리적으로 완화하는 것으로 발표했다. 하등급 보안인증 평가기준이 담긴 고시를 개정하면서 하등급을 우선 시행하였고, 상중등급은 관계부처와 함께 실증‧검증을 거쳐 보안인증 평가기준을 마련하기로 한 바 있다. 과기정통부는보안인증 실증사업을 추진하며 민간 클라우드 이용 환경에 대한 보안성을 검증했다. 행정내부시스템을 민간 클라우드로 전환한 실증환경을 구축하고, 이를 대상으로 실시한 국정원의 보안진단 결과를 반영해 상중등급 평가기준을 마련하였다. 별도의 고시개정 연구반을 운영하면서 국제표준 인증(ISO 27001(정보보안), 27017(클라우드 보안))과 미국 연방정부 클라우드 보안인증(FedRAMP) 등의 인증 평가항목을 분석하고, 추가 보완이 필요한 평가기준을 도출하였다. 상등급은 국가 중대이익(안보, 외교 등), 행정 내부업무 등을 운영하는 상등급 시스템의 업무 중요도와 시스템 규모를 고려하여 평가항목을 4개 신설하였다. ▲외부 네트워크 차단, ▲보안감사 로그 통합관리, ▲계정 및 접근권한 자동화, ▲보안패치 자동화 항목을 추가한다. 중등급은 추가하는 항목은 없으나, 점검 내용을 명확히 하기 위해 ▲시스템 격리, ▲물리적 영역 분리 평가항목을 일부 수정하였다. 상중등급이 시행되더라도 기존에 인증 받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들이 제도 개편으로 인해 겪는 혼란과 불편을 최소화하기 위해 유효기간 내에서는 중등급으로 인정할 예정이다. 클라우드 보안인증 상중등급 시행과 함께, 클라우드 환경 변화에 따른 사업자의 부담 해소를 위한 제도개선도 추진한다. 클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영하여, 인증평가시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다. 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우, 중복되는 평가항목은 40~50% 수준으로 생략하고, 수수료 할인 폭도 50% 확대했다. 인증 수수료 유료화에 따른 중소‧중견 기업의 부담을 경감시키기 위해 수수료 지원도 최대 70%로 강화할 예정이다. 과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역(행정내부업무 등)이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”면서, “본격적인 민간 클라우드 활용에 앞서, 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증하여 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다”고 밝혔다. 또한 “향후, 제도가 현장에서 안정적으로 정착될 수 있도록 지속적으로 모니터링하고, 제도 운영 과정에서 추가 개선이 필요한 부분은 보완해 나갈 방침이다”라고 강조했다.

2024.02.06 11:23남혁우

Prev 1 2 3 Next