검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'인증 체계'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

공공 클라우드 보안 주도권 흔들리나…CSAP 재편 논의에 업계 '혼란'

공공 클라우드 시장 진입 요건으로 작용해 온 보안인증 체계가 흔들리면서 업계 전반에 긴장감이 확산되고 있다. 과학기술정보통신부와 국가정보원이 클라우드 보안인증(CSAP)과 국정원 보안적합성 절차 간 관계 재정립을 논의하는 것으로 알려지며 제도 변화 방향을 둘러싼 해석과 이해관계가 엇갈리고 있다. 16일 정부와 클라우드 업계에 따르면 과기정통부와 국정원은 공공 클라우드 서비스 제공 요건에서 CSAP 의무를 조정하는 방안을 두고 협의를 이어가는 것으로 전해졌다. 국정원의 보안적합성 절차와 CSAP 간 중복 문제를 정리하자는 취지로 논의가 진행 중이지만, 구체적인 제도 설계나 적용 시점은 확정되지 않은 상태다. 현재 공공 클라우드 시장에 진입하려는 기업은 과기정통부 주관 CSAP 인증을 획득한 뒤에도 국정원의 별도 보안 절차를 거쳐야 한다. 업계에서는 동일·유사 항목에 대한 이중 검증으로 시간과 비용 부담이 과도하다는 지적이 지속돼 왔다. 다만 제도 개편 논의가 규제 완화나 시장 개방으로 단순 해석되는 것에 대해선 신중론도 적지 않다. CSAP·국정원 보안 절차 조정 논의…"확정된 건 없다" CSAP 조정 논의는 공공 클라우드 진입 과정에서 제기돼 온 이중 규제 문제를 해소하려는 문제의식에서 출발했다. 과기정통부와 국정원은 CSAP와 국정원 보안 절차 간 역할을 정리하는 방향을 놓고 의견을 교환하고 있는 것으로 전해졌다. 과기정통부 관계자는 "CSAP와 국정원 보안 절차 간 중복 문제를 어떻게 정리할지 논의는 진행 중"이라며 "다만 제도 개편 여부나 구체적인 방식이 확정된 단계는 아니다"라고 밝혔다. 관련 고시 개정 여부 역시 향후 협의 결과에 따라 결정될 사안이라는 설명이다. 업계에서는 논의의 방향이 명확히 공유되지 않으면서 혼선이 커지고 있다고 지적한다. 일각에서는 CSAP 없이 국정원 절차만으로 공공 진입이 가능해지는 것 아니냐는 해석이 나오지만, 정부 측은 공식적으로 확정된 안은 없다는 입장을 유지하고 있다. 특히 전문가들은 공공 클라우드 부문에서 국정원 보안 절차를 하나의 개념으로 단순화해 해석하는 것은 부적절하다고 지적한다. 국정원의 '보안적합성 검증'과 '보안성 검토'는 적용 대상과 목적이 다른 별개의 절차로, 이를 CSAP와 동일선상에서 혼용할 경우 제도 취지가 왜곡될 수 있다는 설명이다. 한 클라우드 보안 분야 전문가는 "보안적합성 검증과 보안성 검토는 개념적으로 다르며 이를 마치 하나의 인증처럼 해석해 CSAP를 조정해선 안된다"며 "CSAP를 대체하는 구조로 제도가 개편된다면 기존 인증을 취득한 기업들에 대한 역차별 논란이 불가피하다"고 설명했다. 국내 CSP·SaaS 업계 엇갈린 시선…글로벌 기업 문턱 논란도 양 부처의 제도 논의가 알려지자 업계 내 이해관계도 뚜렷하게 갈리고 있다. 국내 클라우드 서비스 기업(CSP)들은 수년간 막대한 비용을 투입해 CSAP 요건에 맞춘 인프라를 구축해 온 만큼, 제도 변화가 자칫 형평성 문제로 이어질 수 있다는 우려를 내놓고 있다. 한 클라우드 업계 관계자는 "CSAP가 사실상 공공시장 진입의 허들 역할을 해왔는데 제도 구조가 바뀔 경우 기존에 투자한 기업들은 억울할 수밖에 없다"며 "기업들과 충분한 논의 없이 방향이 정해지는 것은 바람직하지 않다"고 말했다. 특히 글로벌 클라우드 사업자의 공공시장 진입 문턱이 낮아질 가능성에 대한 경계도 나온다. CSAP 조정 논의가 과기정통부가 아닌 국정원 중심의 절차로 이동할 경우 기존 CSAP 취득 여부와 별개로 외국계 사업자가 국정원의 보안 인증만으로 공공부문 접근성이 높아질 수 있다는 우려에서다. 반면 서비스형 소프트웨어(SaaS) 업계 일각에서는 공공시장 진입 기회가 확대될 수 있다는 기대도 감지된다. 다수 SaaS 기업이 외산 클라우드 인프라 위에서 서비스를 운영하는 만큼, 제도 장벽이 완화되면 공공 레퍼런스 확보와 사업 확장에 도움이 될 수 있다는 판단이다. 또 CSAP 인증과 사후 평가에 대한 부담을 덜 수도 있다는 시각도 존재한다. 다만 업계 전반에서는 제도 변화 효과를 과대평가해서는 안 된다는 목소리가 우세하다. 이미 지속적으로 CSAP 중·상등급 실증이 지연돼 온 상황에서 인증 체계 조정만으로 공공 클라우드 도입이 단기간에 활성화되기는 어렵다는 지적이다. 더욱이 새로운 보안 체계가 본격화되기 전까지 사업자는 물론 클라우드 도입 수요가 있는 공공기관 역시 혼란을 빚을 수 밖에 없을 것으로 전망된다. 클라우드 업계 관계자는 "CSAP와 국정원 보안 절차를 어떻게 조정하느냐는 단순한 인증 문제가 아니라 공공 클라우드 정책 방향 전반과 맞닿아 있다"며 "최근 국가정보자원관리원 화재 이후 공공 디지털 인프라의 민간 클라우드 이용 활성화가 논의되는 시점에서 제동이 걸릴 것 같아 우려된다"고 말했다. 이어 "정부가 충분한 의견 수렴과 명확한 공공 클라우드 보안 기준을 제시해 시장 혼란을 최소화해야 한다"고 강조했다.

2025.12.16 10:26한정호

피싱방지 앱 1위 에버스핀 '페이크파인더', ISMS로 공급망 보안 강화 해법 부상

인공지능(AI) 기반 사이버 보안 기업 에버스핀(대표 하영빈)의 피싱방지 솔루션 '페이크파인더'가 지난달 정부의 '범부처 정보보호 종합대책' 발표 이후 공급망 보안 강화를 위한 해법으로 또 한 번 주목받고 있다. KB국민은행·카카오뱅크 등 60여 개 금융기관이 사용하며 점유율 1위를 기록 중인 페이크파인더가 다시 주목받는 이유는 정보보호 관리체계(ISMS) 인증 때문이다. 정부는 최근 범부처 정보보호 종합대책에서 공공·금융·통신·플랫폼 등 핵심 IT 시스템에 대한 대대적인 보안 점검과 함께 정보보호 관리체계(ISMS·ISMS-P) 실효성 강화, 소프트웨어·서비스 공급망 전반 보안 수준 제고, 정보보호 서비스 산업 육성 등을 주요 방향으로 제시했다. ISMS 인증을 취득한 페이크파인더는 이같은 정책 기조 속에서 금융사·통신사·공공기관 등 고객사가 자체 시스템뿐 아니라 도입하는 외부 보안 솔루션까지 포함한 전체 디지털 공급망 보안의 강화기반으로 자리매김할 수 있게 됐다. 에버스핀은 과거 자회사 시큐차트가 최초 획득한 페이크파인더 ISMS 인증을, 합병 이후 새로운 기준에 맞춰 다시 전체 관리체계를 검증받아 ISMS를 취득했다. 페이크파인더는 세계 최초로 화이트리스트 방식 악성앱 탐지 기술을 적용했다. 전 세계에서 정상적으로 출시된 앱 2천200만 개 이상을 실시간으로 수집, DB화 한 고유 시스템을 바탕으로, 사용자 스마트폰에 설치된 앱이 정상 앱을 위장한 위조 앱인지, 정상 앱이 변조된 형태인지, 원격제어 앱이 악용되고 있는지 등을 정밀 분석해 피싱·스미싱·원격조작 기반 금융사기 공격을 사전에 차단한다. 기존 블랙리스트 방식처럼 '사고를 일으킨 앱'만 찾는 것이 아니라 정상 앱의 원형을 기준으로 조금이라도 어긋난 앱을 찾아내는 선제방어·사전예방형 구조다. 페이크파인더는 KB국민은행·카카오뱅크·한국투자증권·신한투자증권·KB국민카드·우리카드·DB손해보험·SBI저축은행·저축은행중앙회 등 60여 고객사에서 적용하는 등 국내 시장 점유율 1위를 달리고 있다. 에버스핀은 ISMS 인증 과정에서 페이크파인더 서비스 전반에 대해 ▲정보보호 정책 및 조직 체계 ▲위험 관리 프로세스 ▲접근통제·암호화·로그 관리 ▲서비스 운영 안정성 등 주요 항목에 대해 검증을 받았다. 그 결과 페이크파인더는 피싱·악성앱 탐지 성능뿐 아니라, 서비스 운영과 정보보호 관리 측면에서도 ISMS 기준에 부합하는 체계를 갖춘 솔루션으로 공식 인정받아 왔다. 에버스핀의 ISMS 인증으로 페이크파인더를 도입하는 금융·통신사·공공기관 등이 자체 서비스 내부 보안을 강화할 수 있음은 물론, 외부 보안 솔루션까지 포함한 디지털 공급망 전체에서의 컴플라이언스 요구를 더욱 안정적으로 충족할 수 있게 됐다. 최근 발생하는 보안사고는 단일 시스템의 취약점뿐 아니라 연동된 시스템·외부 솔루션·단말 환경 등 공급망 전반의 관리 책임이 함께 논의되는 상황이기 때문에, 관리 체계가 검증된 보안 솔루션을 활용하는 것은 공급망 보안 리스크를 줄이는 실질적인 수단이 될 수 있다. 하영빈 에버스핀 대표는 “정부의 범부처 정보보호 종합대책은 보안을 이제 개별 시스템의 문제가 아니라 연결된 전체 생태계와 공급망의 문제로 보겠다는 선언이라고 본다”며 “페이크파인더 ISMS 인증은 에버스핀이 피싱·악성앱 탐지 기술뿐 아니라, 관리 체계 측면에서도 고객사의 강화된 기준을 함께 맞춰 나갈 수 있는 준비를 갖췄다는 신호”라고 말했다.

2025.11.20 09:25주문정

"다크웹에 유출 비번 5천억개 넘어"...'피싱 레지스턴트' 필요

"기존의 ID, 비밀번호 체계는 궁극적으로 2가지 구조적 문제가 있다. 비밀번호를 공유한다는 점, 비밀번호와 같은 계정정보가 취급 기관이나 기업에 중앙화돼 있다는 점이다. 취급 기관이나 기업이 뚫리면 내 계정정보가 유출되는 구조적 한계다" 옥타코 이재형 대표는 16일 세종대 컨벤션센터에서 개최된 사이버 보안 컨퍼런스 'KCSCON 2025(Korea Cyber Security Conference 2025)'에서 이같이 지적했다. 이 대표는 이날 '제로트러스트, N2SF환경에 대응하는 디지털 아이덴티티 관리방법'을 주제로 발표했다. 그는 기본적으로 ID·PW(비밀번호) 인증 체계는 ▲피싱 ▲스피어피싱 ▲스푸핑 ▲크리덴셜 스터핑 ▲중간자공격 ▲소셜엔지니어링 ▲SIM스와핑 등 최신 해킹 기법에 단 1개의 공격도 방어할 수 없다고 짚었다. 그는 "패스워드는 1972년 MIT 미디어랩에서 연구자들이 연구한 자료를 구분하기 위해 만들어 낸 것에 불과하기 때문에 보안과는 아무런 관계가 없다"면서 "그럼에도 ID·PW 인증 체계가 계속해서 사용되며, 4자리에서 6~8자리로 늘어나고, 특수기호, 대소문자를 넣고 그래도 보안이 약해지니 세 달에 한 번씩 비밀번호를 바꾸도록 하고 있다"고 강조했다. 이 대표는 "그러니까 사용성만 불편해지고 결국 어떤 비밀번호 변경 요구가 있을 때마다 약 5개 비밀번호를 정해놓고 돌려쓰고 있다"며 "상황이 이렇다 보니 다크웹에 들어가면 유출된 비밀번호가 5천억개가 넘는다"고 밝혔다. 이에 이 대표는 '피싱 레지스턴트(Phshing-Resistant)'가 필요하다고 강조했다. 그는 "피싱 레지스턴트라는 개념은 인증의 전체 여정에 있어 인증할 때도 중요하지만 인증이 끝난 다음에 해이재킹, 쿠키 탈취, 토큰 탈취, 네트워크 세션, DB 보호, 디바이스 보호 등 인증 전 여정에 걸친 보안을 제공해야 한다는 콘셉"이라며 "이 콘셉이 실제로 2021년 미국에서 사이버 행정명령으로 '제로 트러스트 아키넥처 전략의 일환으로 '피싱 레지스턴스한 MFA(다중 인증)를 사용해야 된다'고 명시돼 있다"고 설명했다. 이 대표는 "옥타코는 이 분야에서 실제로 PC 로그인부터 온프레미스, 클라우드 등 FIDO2 기반의 다양한 인증 방법이나 연동 방법을 글로벌 표준에 맞춰 진행을 하고 있으며, 이와 관련한 솔루션을 보유하고 있다"며 "사용자 인증 분야에서도 옥타코는 마이크로소프트나 옥타와 같은 회사처럼 글로벌 대표 밴드로 선정돼 있다"고 말했다. 옥타코는 디지털 아이덴티티 전문 기업으로, 제로트러스트 기반 M2A(다중 속성 인증) 솔루션을 갖춘 기업으로 알려져 있다. 보안성 뿐 아니라 편의성도 높여 보안은 강화하고 비용과 낭비는 줄인 솔루션이 장점이다. 기존 인증 방식의 취약점도 제거해 최근 부상하는 공격 위협으로부터도 방어에 최적화돼 있는 것으로 알려졌다. 이날 개최된 KCSCON 2025는 2025년 하반기 최대 정보보호 컨퍼런스&전시회로, 보안 매체 데일리시큐가 주최했으며, 공공·기업 정보보안 책임자 및 실무자 1200여명이 참석했다. 32개 보안 기업이 솔루션을 전시하는 부스도 마련됐다.

2025.09.16 21:18김기찬