• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
AI의 눈
HR컨퍼런스
스테이블코인
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'클라우드 보안'통합검색 결과 입니다. (111건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

사이버아크, MS '디팬더 포 아이덴티티' 통합

이스라엘 정보보호 기업 사이버아크소프트웨어는 19일 사이버아크 '특권 접근 관리자(PAM)'와 마이크로소프트(MS) '디팬더 포 아이덴티티(Microsoft Defender for Identity)'를 통합한다고 밝혔다. 사이버아크 PAM은 여러 클라우드에서 응용 프로그램을 운영하는 자의 특별 권한을 탐색해 제어한다. MS 디팬더 포 아이덴티티는 기업이 자체적으로 관리하는 데이터센터를 클라우드로 지키는 제품이다. 사이버아크는 MS 제품과 통합해 보안운영(SecOps)팀이 보안 위협을 잘 알아낼 수 있다고 소개했다. 특별 권한을 통제하는 일이 간소화된다. 다양한 시스템의 정보를 연결해 보안운영센터(SOC)가 빠르게 공격 경로를 알아채고 복구 방법을 찾을 수 있다고 회사 측은 강조했다. 클라렌스 힌튼 사이버아크 최고전략책임자(CSO)는 “다양한 회사와 협력해 사이버 공격으로부터 고객을 지키겠다”고 말했다.

2025.02.19 11:12유혜진 기자

[기고] AI 시대 클라우드 보안 강화에 3D 통합 전략 필수

급격한 인공지능(AI) 시장 성장은 새로운 기회와 도전 과제를 동시에 가져왔다. 그 중 '보안'은 윤리와 콘텐츠 안전성, 사이버 공격 등 AI 개발 과정에서 가장 우려되는 이슈 중 하나다. 또 최근 유명인사나 인플루언서의 모습을 실제처럼 위조하는 데 악용되는 딥페이크가 가장 큰 위험 요소로 떠오르고 있기도 하다. 최신 생성형 AI 기술이 피싱과 랜섬웨어 공격에 활용되면서 해커들은 더욱 빠르고 정교한 피싱 이메일을 제작하고 있다. AI 도구를 통한 랜섬웨어 최적화가 새로운 트렌드로 자리잡아 사이버 위협을 더욱 심화하고 있다. 다행히 AI는 보안을 강화할 강력한 도구로도 사용될 수 있다. 이 기술은 보안 운영 효율성과 정확성을 크게 향상시키며, 사용자에게 위협을 탐지하고 예방할 수 있는 고도화된 대응 방안을 제공하기 때문이다. 결국 AI 기술을 사용하는 공격자와 방어자가 끊임없이 기술 발전을 거듭하며 치열한 공방을 이어가는 재미있는 상황이 펼쳐지고 있는 것이다. 최근 AI 어시스턴트를 활용한 보안 강화 사례가 급증하고 있으며, 알리바바클라우드 보안 센터도 이에 발맞춰 중국 내 사용자 대상으로 새로운 AI 어시스턴트를 출시했다. 이 솔루션은 알리바바클라우드의 자체 거대언어모델(LLM) 큐원(Qwen) 기반으로 보안 컨설팅, 경고 분석, 사고 조사, 대응 등 다양한 보안 운영을 지원한다. 지난해 말 기준, 이 AI 어시스턴트는 이미 99%의 위험 감지 알림을 처리했으며, 중국 사용자 88%에게 서비스를 제공하며 빠르게 자리 잡고 있다. 특히 멀웨어 탐지 분야에서는 LLM의 코드 이해, 생성, 요약 기능을 활용해 악성 파일을 효과적으로 탐지하고 방어할 수 있다. 더 나아가 LLM의 강력한 추론 기능을 통해 이상 징후를 신속하게 감지하고 오탐을 줄여 탐지 정확도를 높임으로써 보안 엔지니어의 업무 효율성을 크게 향상시키고 있다. 이는 AI 어시스턴트가 단순한 자동화 도구를 넘어, 점점 더 정교한 사이버 보안 파트너로 진화하고 있음을 보여준다. 멀티·하이브리드 클라우드, 데이터 복잡성·보안 비용↑ 최근 많은 기업이 멀티 클라우드와 하이브리드 클라우드 환경을 도입하면서 IT 인프라의 복잡성이 더욱 증가하고 있다. 스태티스타 조사에 따르면, 지난해 기준 전 세계 기업 73%가 하이브리드 클라우드를 사용하고 있으며, IDC는 아시아 태평양 지역 기업의 약 90%가 멀티 클라우드를 도입했다고 보고했다. 그러나 이런 트렌드는 오히려 보안 관리 비용을 증가시키는 치명적인 단점이 있다. 기업들은 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 데이터센터 등 여러 환경에 분산된 보안 제품을 관리해야 하며, 각 환경에서 발생하는 보안 사고에도 신속하게 대응해야 한다. 이러한 복잡성은 결국 IT 팀의 운영·관리 비용 증가로 이어질 수밖에 없다. 또 기업들은 동일한 클라우드 서비스 제공업체(CSP) 제품을 사용하더라도, 데이터 사일로 문제로 인해 데이터 간 원활한 상호운용이 어려운 상황에 직면하고 있다. 데이터 사일로가 발생하면 보안 기능이 개별적으로 고립돼 보안 제품 간 연계가 불가능해지고, 이로 인해 기업의 보안 체계가 더욱 약화될 가능성이 높아진다. 많은 기업들이 내부 조직 구조를 세분화하여 운영하는 것도 또 다른 보안상의 취약점을 낳고 있다. 예를 들어 IT 부서는 기업의 오피스 보안을 담당하지만 각 사업부는 자체 생산 네트워크의 보안을 관리하는 방식이다. 문제는 이런 조직적 분리로 인해 서로 다른 영역이 겹치는 교차 지점에서 보안 취약점이 발생할 가능성이 높아진다는 점이다. 보안 제품에 3D 통합 전략 적용해야 이러한 문제를 해결하기 위해 알리바바클라우드는 보안 제품에 3D 통합 전략을 적용하는 것이 효과적이라고 제안한다. 클라우드 인프라에 대한 통합 보안과 일관된 보안 기술 도메인, 원활한 오피스·생산 환경이라는 세 가지 핵심 시나리오를 포괄하는 통합적 보안 접근 방식을 채택하는 것이다. 클라우드 인프라를 위한 통합 보안은 점점 더 복잡해지는 IT 환경에서 발생하는 보안 문제를 해결하기 위해 설계됐다. 특히 퍼블릭 및 프라이빗 클라우드를 포함한 다양한 인프라의 보안을 통합적으로 관리하는 것에 중점을 둔다. 고도화된 보안 솔루션을 활용하면 기업은 중앙 집중식 단일 콘솔을 통해 리소스 위치와 관계없이 모든 리소스를 일괄적으로 관리할 수 있으며, 이를 통해 IT 인프라 전반의 보안 운영을 보다 원활하고 효율적으로 수행할 수 있다. 통합 보안 기술 도메인은 보안 제품에서 생성되는 로그 데이터를 통합해 강력한 보안 데이터 레이크를 생성한다. 이런 중앙 집중식 스토리지를 통해 첨단 위협 인텔리전스 분석과 경고를 통합해 전반적인 보안 역량을 강화하고 대응 속도를 높일 수 있다. 통합된 오피스·생산 환경은 부서 간 데이터와 프로세스를 간소화하는 것을 목표로 한다. 이를 통해 보안 운영의 효율성을 높이고, 부서 간 침입 위험을 최소화해 더욱 안전하고 유기적인 업무 환경을 조성할 수 있다. 데이터가 어디에 저장됐든 AI와 보안의 통합은 데이터 보호에서 점점 더 중요한 요소가 되고 있다. 알리바바클라우드는 보안 분야에서 AI의 역할을 더욱 심층적이고 광범위하며 자동화된 애플리케이션 형식으로 발전시키는 데 주력하고 있다. 예를 들어, AI를 활용해 제로데이 취약점(Zero-Day Vulnerability)을 탐지하고, 에이전트 기반의 자동화 기술을 통해 더욱 효율적인 보안 대응을 구현하는 것이 대표적인 사례다. AI 보안·규정 준수 강화를 위한 트렌드에 맞춰 클라우드 서비스 제공업체들은 인프라부터 AI 개발 플랫폼, 애플리케이션에 이르기까지 종합적인 지원을 확대하고 있다. 특히 데이터 보호, 알고리즘 규정 준수 등 AI 보안의 여러 측면에서 사용자를 지원하는 것이 가능해진 만큼 클라우드 기업들은 네트워크에 항상 연결된 데이터 보안 솔루션을 구축하도록 돕고, 보다 효율적인 콘텐츠 보안 탐지 기술을 제공하는 것을 목표로 해야 한다.

2025.02.19 09:33오우양 신 컬럼니스트

"태니엄, 스마트공장 등 한국 제조업 매력···반도체·중공업서 사용"

“한국 반도체 제조사와 중공업 회사가 태니엄 정보보호(보안) 솔루션을 쓰고 있습니다. 한국 고객 이름을 밝힐 수 없지만 한국 주요 그룹의 제조사들이 태니엄 솔루션(제품)을 이용합니다. 외국 고객으로는 유럽 제약 회사 아스트라제네카, 유럽 전력 기업 ABB, 미국 자동차 부품 업체 앱티브 등이 있습니다.” “한국은 제조 대기업이 많아 태니엄에 중요한 시장입니다. 아직 일본보다 시장 규모가 작지만 잠재력이 무한합니다.” 미국계 글로벌 보안기업 태니엄(TANIUM)의 본사 임원들이 한국을 찾아 18일 기자간담회를 가졌다. 이날 롭 젠크스(Rob Jenks) 태니엄 전략 담당 수석부사장과 아키라 카토 기술 담당 부사장은 “2023년부터 제조업이 사이버 공격 목표가 됐다”면서 "스마트팩토리는 태니엄에 매우 중요한 제조 시장"이라고 밝혔다. 젠크스 수석부사장은 미국 시장조사업체 가트너의 '2024년 사이버 보안 통계'를 인용해 "제조사 63%는 사이버 공격을 당한 적 있다. 지정학적 갈등을 비롯해 공급망이 복잡하고, 새로운 제품과 경쟁자가 나타나기 때문”이라고 짚었다. . 태니엄은 제조업 보안을 지킬 무기로 '자율 엔드포인트 관리(AEM)' 제품을 출시했다. 정보기술(IT)과 운영기술(OT)을 동시에 관리하는 플랫폼이다. 태니엄이 처음으로 이 시장을 열었다고 자부했다. 젠크스 수석부사장은 “제조업 책임자들은 '보안 도구가 너무 많아서 비효율적'이라고 한다”며 “태니엄 AEM으로 고객은 모든 IT 자산 보안 상태를 실시간으로 한 번에 확인할 수 있다”고 설명했다. 카토 부사장은 “태니엄 AEM이 해결할 문제를 선제적으로 사용자에게 알린다”며 “며칠 걸리던 작업을 인공지능(AI)으로 몇 분 안에 끝낼 수 있다”고 강조했다. 이어 “엔드포인트 수백만개를 실시간으로 측정하고 분석해 신뢰도 점수를 바탕으로 엔드포인트에 미치는 영향을 예측한다”고 덧붙였다. 태니엄은 자체 플랫폼에서 AI를 활용할 뿐만 아니라 미국 마이크로소프트(MS), 미국 클라우드 업체 서비스나우와 협력해 AI 기능을 강화하고 있다. 한편 태니엄의 핵심 솔루션 AEM은 다음과 같은 특징을 갖고 있다. 첫째, 실시간 클라우드 인텔리전스(Real-time Cloud Intelligence)다. 수백만 개 엔드포인트에서 발생하는 변화와 관련된 영향을 실시간 측정 및 분석해 신뢰도 점수를 기반으로 엔드포인트에 미치는 영향을 정확히 예측한다. 둘째, 자동화 및 오케스트레이션(Automation and Orchestration)이다. 태니엄 오토메이트(Tanium Automate)는 IT, OT 및 보안 워크플로에 대한 시스템 전체, 엔드포인트 수준의 자동화 플레이북을 노코드 및 로우코드(No-code and Low-code) 경험 없이 생성할 수 있게 해 준다. 태니엄 오토메이트는 환경의 현재 상태를 지속적으로 평가해 태니엄 실시간 데이터 힘을 활용해 플레이북 실행 신뢰도와 정확성을 획기적으로 향상시킨다. 셋째, 배포 템플릿 및 링(Deployment Templates and Rings)이다. IT 운영을 통해 엔드포인트 그룹 전체에 단계적으로 배포해 변화 자체의 중요성에 맞게 비즈니스 흐름을 조정한다. 배포 링은 변경 실행을 위한 진입 및 종료 기준을 지원해 배포를 관리하고, 반복 가능케 만들어 위험과 비용을 효과적으로 낮춘다. 태니엄은 "자체 플랫폼 내에서 AI를 활용해 다양한 자율 기능을 제공할 뿐만 아니라 MS 및 서비스나우와 함께 원활한 솔루션을 제공해 실시간 데이터와 광범위한 실행 가능성을 기반으로 플랫폼과 AI 기능을 강화하고 있다"면서 "태니엄 AEM은 실시간 데이터 및 글로벌 클라우드 관리 엔드포인트의 변화 분석을 활용해 권장 사항을 제시하고, 변경을 안전하고 안정적으로 자동화해 운영 건전성을 보장한다"고 밝혔다. 이어 "부정적인 IT 결과로 인한 비즈니스 위험을 줄이는 동시에 IT 환경의 보안을 강화한다"고 덧붙였다.

2025.02.18 12:54유혜진 기자

"클라우드 보안 인증, 현장 평가 5회→2회로 간소화"

클라우드 보안 인증을 받으려는 기업은 현장에서 2회 평가 받고, 나머지 3회는 서면 평가를 받으면 된다. 지난해까지 5회 필요하던 현장 평가가 줄어 기업 부담도 완화될 것으로 보인다. 양승권 한국인터넷진흥원(KISA) 클라우드인증팀 선임연구원은 17일 과학기술정보통신부가 서울 서초구 AT센터에서 개최한 '2025년 클라우드 사업 통합 설명회'에서 이같이 발표했다. 양 연구원은 “클라우드 보안 인증 제도로 공공기관이 민간 클라우드를 안전하게 쓸 수 있게 서비스 안전과 신뢰성을 검증한다”며 “이용자는 보안 걱정을 덜고 공급자는 클라우드 서비스 경쟁력을 높일 수 있다”고 말했다. 인증 범위는 클라우드 서비스에 포함되거나 시스템·설비·시설 등 자산, 정보보호·개발·운영·인사 조직 등이다. 인증 유형은 ▲컴퓨팅 자원(CPU)·스토리지 등 정보 시스템 인프라를 제공하는 서비스(IaaS) ▲인프라(IaaS) 외에 각종 응용프로그램(소프트웨어)을 제공하는 서비스(SaaS) ▲클라우드 서비스를 개발하는 환경(PaaS) ▲행정·공공기관 인터넷망 컴퓨터(PC)를 대체하기 위한 가상 서비스(DaaS)로 나뉜다. 인증 등급은 상·중·하로 구분된다. SaaS 서비스는 클라우드 서비스 보안 인증을 받은 IaaS 환경에서 구축돼야 한다. 여러 기관에 개방된 형태로 소프트웨어를 제공해야 한다. 특정 기관에 맞추면 안 된다는 얘기다. DaaS 서비스는 네트워크와 보안 장비 같은 인프라 영역에 구성돼야 한다. 또 가상 자원 초기화, DaaS 필수인 소프트웨어 설치, 비인가 접속 단말 차단, 접속 구간 암호화 등 요건도 만족해야 한다. 보안 인증을 신청한 날로부터 인증서를 발급하기까지는 3~5개월 걸린다. 양 연구원은 “유효 기간은 5년”이라며 “갱신하면서 사후에도 관리해야 한다”고 설명했다. 최초 현장 평가를 받고서 1년 뒤 서면 평가를 받는다. 사후 2년차 다시 현장 평가를 받고, 3·4년차에 또 서면 평가를 받는다. 서면 평가하는 때에 전년도 인증 범위가 바뀌었거나 양수·도, 침해 사고·장애가 발생했다면 심화 평가할 수 있다. '소프트웨어가 업데이트되면 또 다른 인증을 받아야 하느냐'는 물음에 양 연구원은 “서비스 목적이 바뀌지 않으면 추가 인증 절차는 없고 사후 평가해서 변경 내용을 확인 후 통과시킨다”고 답했다. 양 연구원은 “클라우드 컴퓨팅 기업이 보안 인증을 꼭 받아야 하는 것은 아니다”라면서도 “클라우드컴퓨팅법에 따라 행정기관과 공공기관은 보안 인증을 받은 클라우드 서비스나 국가정보원 보안 인증 기준에 맞게 안전하다고 확인된 클라우드 서비스를 우선 고려할 수 있다”고 강조했다. 보안 인증을 신청하는 기업은 수수료를 1천500만원부터 3천600만원까지 내야 한다. 평가하는 데 쓰이는 인건비와 기술료 등이 포함된다. 기업이 신청한 보안 인증 유형, 자산 규모, 할인 제도 등에 따라 산정된다. 인증을 취득·갱신하거나 인증 유지 공문을 받은 소기업은 수수료를 70%, 중기업은 50%, 중견기업은 30% 지원받을 수 있다.

2025.02.17 16:59유혜진 기자

김성하 오라클 사장 "CSAP 하등급 인증은 부족…공공기관 핵심 워크로드 겨냥"

오라클이 국내 공공 클라우드 시장 진출을 위한 전략을 밝혔다. 기관계 업무 등 핵심 시스템까지 수용하기 위해 클라우드서비스 보안인증(CSAP) 하등급 인증을 서둘러 획득하기 보다 장기적인 목표를 두고 철저한 준비를 바탕으로 공략에 나선다는 계획이다. 김성하 한국 오라클 사장은 11일 서울 강남구 그랜드 인터콘티넨탈 서울 파르나스에서 개최한 '오라클 클라우드 서밋 2025' 간담회에서 공공클라우드 시장 계획을 공개했다. 김 사장은 주요 공공기관에서 오라클의 데이터베이스(DB) 솔루션을 광범위하게 활용하고 있으며, 다수의 공공기관이 오라클을 사용하고 있는 만큼, 공공 클라우드 전환 과정에서 기존 워크로드를 원활하게 지원하는 것이 핵심 목표라고 설명했다. 그는 "공공기관은 오라클에게 매우 중요한 고객으로 단순히 하위 등급의 CSAP 인증을 받는 것만으로는 시장을 효과적으로 공략할 수 없다고 판단하고 있다"며 "공공기관에서 요구하는 보안 수준이 높은 만큼, 단순히 하등급 인증을 받는 것으로 해결할 문제가 아닌 만큼 기관계 업무까지 포괄할 수 있도록 공공기관의 핵심 워크로드 전환을 대비한 기술적 검토 및 철저한 준비를 진행 중"이라고 밝혔다. 최근 마이크로소프트와 구글 클라우드는 한국인터넷진흥원(KISA)으로부터 CSAP 하등급 인증을 취득하며 공공 클라우드 시장에서 진출을 위한 행보에 나섰다. 하등급 인증을 취득한 MS와 구글은 민감도가 낮은 비업무 시스템을 대상으로 서비스를 제공할 수 있다 하지만 금융 및 주요 정부 기관의 핵심 시스템 도입을 위해서는 중 또는 상등급 인증이 필요하다. 더불어 김 사장은 오라클이 공공 클라우드 전략을 신중하게 가져가는 이유 중 하나로 다중 보안 수준(MLS) 정책을 들었다. MLS는 국내 공공기관이 민감도에 따라 다양한 보안 등급을 설정할 수 있도록 하는 정책으로 국내 공공 클라우드 시장에 미치는 영향이 클 것으로 예상된다. 다만 아직 해당 정책이 확정되지 않아 명확한 방향성을 설정하기 어렵다는 것이다. 김성하 사장은 "현재 MLS에 대한 정부의 최종 결정에 따라 신속하게 대응할 준비를 하고 있다"며 MLS 정책 확정 결과에 맞춰 CSAP 인증 취득과 공공기관 대상 클라우드 서비스 확장을 본격적으로 추진할 것이란 의사를 비쳤다.

2025.02.11 17:12남혁우 기자

포티넷코리아 "올해 매출 20% 성장…OS 하나로 보호"

미국 정보보호 기업 포티넷 한국지사가 올해 매출을 지난해보다 20% 늘리겠다고 나섰다. 보안운영(SecOps)을 쉽게 지원하는 하나의 운영체제(OS)를 무기로 내세웠다. 지난해 포티넷 한국지사 매출은 1년 전보다 17% 늘었다. 체리 펑 포티넷 북아시아 대표는 11일 서울 강남구 포티넷 한국지사에서 열린 기자간담회에서 “포티넷은 '보안 패브릭'이라는 플랫폼을 중심으로 보안 제품을 통합하고 있다”며 “고객은 단일 환경에서 자동화된 보안운영으로 정보기술(IT)부터 운영기술(OT)까지 여러 환경을 보호할 수 있다”고 말했다. 그러면서 “하나의 운영 체제를 제공하는 회사는 포티넷이 유일하다”고 강조했다. 보안 패브릭은 단일 운영체제 '포티(Forti)OS'를 기반으로 모든 제품을 같은 환경에서 관리한다. 위협을 알아채고 대응하는 과정을 중간에 멈추지 않고 이어간다. 조원균 포티넷 한국지사장은 “국내 환경에 알맞은 보안 해법을 내놓겠다”고 밝혔다. 공공 부문과 별도로 기술·금융·건강·교육 등 산업별로 다른 해결책을 제안한다. 조 지사장은 “지난해 삼성중공업을 비롯한 주요 기업과 손잡았다”며 “해양·선박 OT 보안 시장에서 입지를 키웠다”고 언급했다. 한국에 데이터센터를 세울 가능성도 있다. 펑 대표는 “포티넷은 데이터센터를 중시한다”며 “새로운 데이터센터가 생길 곳으로 한국도 선택지 중 하나”라고 제시했다. 이어 “인수팀이 여러 가치와 위치를 살펴본다”며 “기존 데이터센터 건물 전체를 사들일지 몇개층만 살지 등을 검토한다”고 덧붙였다. 인공지능(AI) 역시 뺄 수 없다. 박현희 포티넷 한국지사 상무는 “유행하기 전부터 AI 도구를 써왔다”며 “생성형AI로 쉽게 분석하고 빅데이터AI로는 끊임없이 터지는 새로운 위협을 알아챈다”고 설명했다. 포티넷 한국지사는 기술 인력에 투자해 한국 기업이 사이버 위협을 미리 막도록 돕겠다는 방침이다. 올해 초 포티넷보안연구소 '포티가드랩' 한국 담당자를 선임했다. 지난해에는 인력을 15% 이상 늘렸다. 포티넷은 지난해 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 전문 업체 '레이스워크', 내부자 위험과 정보 보호 전문 기업 '넥스트DLP', 협업·이메일 보안 회사 '퍼셉션포인트'를 인수했다. 또 보안 운영 체제 '포티OS 7.6'을 기반으로 와이파이(Wi-Fi)7이 통합된 보안 네트워킹 솔루션과 AI 기반 '레이스워크 포티CNAPP', 차세대 데이터 손실 방지(DLP)와 내부자 위험 관리(IRM) 솔루션 '포티DLP', 새로운 클라우드 기반 플랫폼 '포티AppSec 클라우드' 등 신제품을 선보였다. '포티NDR 클라우드'와 '레이스워크 포티CNAPP' 등 7가지 제품에는 '포티AI'를 더해 보안 과정을 간소화했다.

2025.02.11 14:39유혜진 기자

'클라우드-통합보안서비스-글로벌'로 수산아이앤티 2.0 시대 연다

“기존 경계 기반 보안 모델에서 나아가 클라우드 보안과 통합 서비스로 사업을 확장합니다.” 수산아이앤티가 네트워크를 넘어 제로트러스트 보안 모델로 확장한다. 이를 위해 클라우드와 통합 보안 서비스까지 영역을 확대한다. 또, 올해를 글로벌 보안 시장 진출 원년으로 삼았다. 2024년 1월 취임한 정은아 대표는 지난 한해 수산아이앤티의 차세대 성장동력 확보에 집중하면서 '클라우드-통합보안서비스-글로벌'을 3대 키워드로 잡았다. 정 대표는 서울대 법학과, 미국 밴더빌트대학교 로스쿨 석사, 서울대 MBA를 마친 후 2008년 9월부터 수산중공업 경영기획실장으로 근무했다. 이후 2010년 5월 수산아이앤티에 합류해 경영기획실 전무이사 및 최고재무책임자(CFO)를 역임하며 전문경영인으로 성장했다. “국내 시장은 디지털 전환이 가속화되면서 클라우드 환경이 확대되고 있습니다. 다양하고 복잡한 인프라 환경을 노린 사이버 위협은 정교해지고 있습니다. 사이버 보안은 단일 시스템 방어에서 통합적인 보안 체계로 전환되고 있습니다.” 정 대표는 많은 기업과 기관이 클라우드 환경으로 전환 과정에서 기존보다 더 많은 데이터 유출과 접근 관리 이슈, 네트워크 보안 위협을 받고 있다고 진단했다. ■ 독보적인 트래픽 분석 기술력을 클라우드까지 확장 수산아이앤티는 트래픽 분석 기술을 기반으로 성장한 네트워크 전문 보안기업이다. 유해 정보 사이트를 차단하고 안전한 접속을 제공하는 분야에서 독보적인 기술력을 자랑한다. 수산아이앤티는 인터넷의 암호화된 SSL 트래픽을 복호화해 가시성을 확보하는 분야에서 국내 1위 기업이다. 대표 제품인 SSL 가시성 솔루션 'ePrism SSL VA'는 누적 고객사가 1600여곳에 달한다. 2024년에만 300여건을 수주했다. 대표적으로 국가정보자원관리원(대전, 광주, 공주, 대구)에 모두 수산아이앤티의 SSL 가시성 솔루션 'ePrism SSL VA'이 들어갔다. 정 대표는 공공 네트워크의 중심이자 국가 보안의 상징적인 곳에 수산아이앤티의 제품이 선택된 만큼 그 기술력과 안전성을 입증했다고 강조했다. 수산아이앤티는 트래픽 분석 기술을 클라우드까지 확장한다. 정 대표는 “변화하는 인프라 환경에 맞춰 지난 3년간 클라우드 보안제품을 개발하는데 집중했다”면서 “SSL암복호화 기능을 클라우드 네이티브화해 플랫폼화하고 그 위에 보안 기능을 쌓는 형식으로 구현했다”고 설명했다. 이미 국내 주요 클라우드서비스사업자(CSP)와 아마존에 수산아이앤티 제품이 등록됐다. 그는 “기존 솔루션을 클라우드 서비스형태로 전환(SaaS)한 것은 물론이고 제로트러스트 네트워크 아키텍쳐(ZTNA)를 적용했다”면서 “SaaS를 통제하는 보안 게이트웨이 'eWalker SSG' 개발도 완료해 새롭게 출시했다”고 밝혔다. eWalker SSG는 SSL 가시성 기능과 유해사이트 차단, NDLP의 필수 기능을 합친 통합형 보안 솔루션이다. SaaS에 접근 시 사용자 인증 기능과 사이트 허용 및 차단 등 사용자에 따른 권한 부여로 서비스 로깅 및 차단을 한다. 생성형 AI 등 신기술의 안전한 활용도 가능하여 공공기관 업무 환경 개선이 가능하다. ■ 클라우드와 글로벌 확장에 '포커스' 정 대표는 “국가 망 보안체계(N2SF) 발표로 공공과 기업의 인터넷, AI, 클라우드 등 허용범위가 넓어졌다”면서 “클라우드에서 데이터 암호화와 접근제어, 데이터 유출 방지 솔루션 등의 수요가 증가할 전망”이라고 내다봤다. 수산아이앤티는 올해를 해외 진출 원년이 될 것으로 기대한다. 정 대표는 “1월 독일 네옥스 네트워크(NEOX NETWORKS)와 주문자개발제품(ODM)을 계약하는 등 유럽과 중동 시장 진출을 시작했다”면서 “유럽에서 요청한 기술을 개발했고 안전성을 인정받아 계약을 성사시켰다”고 말했다. 그는 “해외 공공기관 중 보안운영센터(SOC)를 설립하는 곳이 많아 SSL 암복호화 장비 수출 전망이 밝다”고 덧붙였다. 수산아이앤티는 올해 새로운 통합 보안서비스 영역도 진출 예정이다. 고객의 보안 관리 부담을 줄이고 위협 탐지와 분석 기능을 결합한 서비스다.

2025.02.03 17:07김인순 기자

18년 만에 바뀐 국가망보안체계…기대감 속 과기부 'CSAP'와 혼란 여전

정부가 추진하는 국가망보안체계(N²SF) 가이드라인 초안이 공개되면서 IT 업계의 기대감이 커지고 있다. 기존 클라우드보안인증(CSAP) 제도와의 중첩 우려와 함께 정보시스템 등급 분류 기준, 통제 부문의 해석 등에 대해 모호하다는 지적이 나오고 있지만 공공 데이터 활용이 더 확산돼 사업 기회가 많아질 것이란 분석도 나온다. 24일 업계에 따르면 국정원이 지난 23일 공개한 국가망보안체계(N²SF) 가이드라인에 따르면 정부 전산망은 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류된다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 설명했다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이에 맞춰 공공 매출 비중이 큰 보안, 서비스형소프트웨어(SaaS), 클라우드 등 관련 IT 기업들은 올해 사업 전략에 이를 반영해 새로운 기회를 마련하고자 분주히 움직이는 분위기다. 업계 관계자는 "이번 초안에 따라 획일적인 망분리 정책 변화로 산업 발전과 공공데이터 활용이 더욱 확산되길 기대하고 있다"며 "이번에 공개된 망 보안체계 가이드라인에 이어 이를 활용할 클라우드 보안 가이드라인도 신속하게 개정해 실제 공공시장에서 지연되고 있는 많은 사업과 기회들이 하루 빨리 진행돼 산업 생태계가 원활히 운영되길 바란다"고 밝혔다. 또 다른 관계자는 "이번 일로 각 기업의 투자, 보안조치 강화 등의 노력이 필요할 것으로 예상된다"면서도 "신규 적용하는 국가 보안체계인 만큼 보안성, 효율성 측면 모두 적극 협조 및 대응할 것"이라고 말했다. 하지만 일각에선 이번 일로 혼선을 빚고 있는 과기정통부의 CSAP가 무용지물이 될 수 있다는 지적도 나오고 있다. CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. N2SF 보안가이드를 올해 7월 정식 배포·시행하기 전 C·S·O 등급분류 기준 등을 좀 더 명확하게 하는 한편, 미비점을 보완해야 한다는 지적도 나왔다. 업계 관계자는 "정보시스템 C·S·O 등급분류 기준과 이를 정하는 기관장의 역할, 권한 및 국정원과의 연계 부분이 보다 구체적이고 현실적인 형태로 가이드되길 바란다"며 "통제 부문의 해석에서도 '원격접속위치통제'와 같이 해석의 여지가 있는 부분 등은 보다 세밀한 해설서를 통해 혼선이 없길 기대한다"고 말했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 밝혔다.

2025.01.24 16:50장유미 기자

양자컴 시대 온다…"기존 암호 알고리즘 체계 붕괴"

2025년에는 생성형 인공지능(AI)과 양자컴퓨터 등 첨단 기술 발전과 국가 간 지정학적 긴장이 맞물리면서 사이버보안 환경이 변화할 것이란 전망이 나왔다. 앤앤에스피는 올해 사이버 핵심 트렌드로 ▲양자컴퓨터 ▲국가 지원 해킹 고도화 ▲사이버물리시스템(CPS)과 사물인터넷(IoT)을 노린 공격 ▲클라우드 보안 ▲제로트러스트를 선정했다고 24일 밝혔다. 앤앤에스피는 양자컴퓨터 시대 대비를 중요 이슈로 봤다. 양자컴퓨터 발전으로 기존 암호 알고리즘이 해독될 가능성이 커지면서 새로운 보안 체계 준비 필요성이 높아지고 있다는 설명이다. 젠슨 황 엔비디아 최고경영자(CEO)는 양자컴퓨터가 실용화되기까지 20년이 걸릴 것이라고 예측했지만, 글로벌 기업과 국가들은 기존 암호 붕괴에 대비한 투자에 나서고 있다. 국가 지원 해킹은 전력망, 통신, 위성 등 중요 인프라를 겨냥하면서 디지털 전쟁의 양상을 보이고 있다. 세계경제포럼은 통신 인프라와 해저 케이블 등 주요 시설이 국가 간 사이버 간첩 활동의 주요 목표로 부상했다고 분석했다. 앤앤에스피는 CPS와 IoT를 겨냥한 공격도 증가할 것이라고 내다봤다. 지난해 미국 아칸소의 정수 시설이 공격을 받아 수동 운영으로 전환된 사례가 CPS 보안 위협 심각성의 대표적 예다. 특히 전력망, 항구 등 중요 인프라의 보안 취약점은 유럽과 북미 조직의 15%만이 대응할 수 있는 상황이다. 클라우드 보안도 주요 과제로 떠오르고 있다. 국내 공공기관과 금융권의 클라우드 서비스 도입이 증가하면서 하이브리드·멀티 클라우드 환경의 보안 관리 복잡성이 기업 부담을 가중시켜서다. 이에 다양한 클라우드 제공업체와의 계약과 규제 준수는 IT 팀에 큰 도전으로 작용할 것이란 반응이 이어지고 있다. 제로트러스트 아키텍처는 현대 디지털 환경에 필수적인 보안 프레임워크로 자리 잡고 있다. 국내 공공기관과 금융권은 망분리 보안 정책 변화를 통해 제로트러스트 기반 보안 체계 도입을 서두르고 있다. 마틴 로버츠 세계경제포럼 사이버보안 전문가는 "지정학적 긴장과 기술 혁신이 복합적으로 작용하며 사이버보안 위협이 빠르게 진화하고 있다"며 "국가와 기업 모두 선제적인 보안 전략 마련이 필요하다"고 밝혔다.

2025.01.24 14:28김미정 기자

"18년 만에 손질"…망분리 정책 개선할 '新 국가 망 보안체계' 공개, 하반기 본격 시행

정부가 추진하는 국가망보안체계(N²SF) 가이드라인이 드디어 베일을 벗었다. 당초 내달 발표할 예정이었지만 보안업계의 불확실성 해소 등을 위해 공개 시일을 다소 앞당겼다. 정부는 지난해 공공부문에 적용된 획일적인 망분리 정책이 인공지능(AI)·클라우드 등 신기술 활용을 가로막는다고 보고 18년 만에 변화를 줬다. 이번 대책은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 통제항목으로 분류한 것이 특징으로, 기업과 기관에서 정보 중요도에 따라 보안 통제를 적용해야 할 것으로 보인다. 국가정보원은 이 같은 내용을 담은 'N²SF 가이드라인'을 23일 발표했다. 올해 1월부터 기존 획일적인 망 분리 정책에서 벗어나 데이터 활용성과 보안성을 동시에 충족하는 이 가이드라인에 맞춰 공공데이터의 공유 및 AI·클라우드 등 신기술의 공공분야 적용 활성화를 적극 추진하겠다는 방침이다. 당초 국정원은 망분리 개선 정책의 명칭을 '다층보안체계(MLS·Multi Level Security)'로 명명했으나, 정부의 망분리 개선 정책 방향성을 다 담지 못한다고 판단해 'N²SF'로 바꿨다. 특히 MLS는 1960년대 후반 문서 보안등급과 문서에 접근하려는 사람의 보안 등급을 견줘 허가 여부를 정하는 미국 국방부의 보안 정책에서 시작된 개념으로, 우리나라에서 그대로 적용하기엔 적합하지 않다는 지적도 제기돼왔다. 이 가이드라인의 핵심은 정부 전산망을 업무 중요도에 따라 ▲기밀(Classfied) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류하고, 보안통제 항목을 차등적으로 적용해 보안성과 데이터 공유 활성화를 동시에 충족하는 것이다. 이에 맞춰 각급기관은 정보공개법 등 관련 법령에서 규정한 '비공개 정보'를 중요도에 따라 소관 업무정보를 대상으로 기밀(C) 혹은 민감(S)으로 분류해야 한다. 이 외 모든 정보는 공개(O)로 나눠야 한다. 다만 즉시 전 국가 기관이 이를 전환해야 하는 것은 아니다. 국정원 관계자는 "각급기관은 시스템 규모·예산 등 기관별 상황을 고려, 신규 구축 예정 또는 내구연한 도래 시스템 등을 우선 신 체계에 맞춰 전환할 수 있다"며 "특히 대규모 시스템의 경우 단기간 내 등급분류 및 망 전환이 어려울 수 있어 우선 ISP 실시 등 면밀한 계획 수립 후 점진적으로 추진할 수 있다"고 설명했다. 국가 망 보안체계 적용은 ▲준비 ▲C·S·O 등급분류 ▲위협식별 ▲보안대책 수립 ▲적절성 평가·조정 등 5단계로 추진된다. 이 중 C·S·O 등급 분류는 각급기관의 장이 맡는다. 현재도 민원인의 정보공개 청구 시 해당 정보의 공개 여부를 각급기관의 장이 판단해 결정하고 있다. 이를 시행한다고 해도 망 분리를 즉시 없앨 필요는 없다. 'N²SF'는 기존 망분리를 폐지하는 것이 아닌 현실에 맞게 일부 개선하는 것으로, 각급기관에서 등급별 보안대책을 고려해 망분리를 유지하거나 개선할 수 있다. 국정원 관계자는 "각급기관에서 C·S·O 등급을 분류하면 각 등급에 맞게 망 분리를 포함한 보안대책을 N2SF에서 요구하는 등급별 보안통제 항목에 따라 차등 적용 가능하다"며 "새로운 체계가 시행된다고 해도 기존 검증 제품은 해당 유효기간까지 효력도 인정된다"고 설명했다. 각급 기관은 ▲권한 ▲인증 ▲분리 및 격리 ▲통제 ▲데이터 ▲정보자산 등 6개 영역으로 구성된 '보안통제 항목'에서 등급별 보안수준에 필요한 항목을 선택·적용해야 한다. 통제 항목은 보안기술 변화를 반영해 지속 업데이트될 예정이다. 구체적으로 '권한 영역'은 정보시스템 등 접속에 대한 최소 권한 부여 및 신원 검증 등을 통해 적절한 권한을 부여하도록 한다. '인증 영역'은 다중요소 인증(Multi-Factor Authentication) 및 외부 인증수단과의 연계 등을 통해 보안성과 편리성을 고려한 다양한 인증방법을 구현하도록 설정한다. '분리 및 격리 영역'은 하드웨어·운영체제(OS)·소프트웨어 등을 활용한 '분리'와 프로세서 및 어플리케이션 접근통제 등을 통한 '격리'와 같이 보안수준에 따른 다양한 기술적 보안대책 수단을 제시한다. '통제 영역'은 인가된 데이터 전송방식 및 데이터 유형 등을 통해 정보흐름을 통제하고 기관 전산망 경계 구간에서의 접근통제와 원격접속시 보안통제를 통해 중요정보 유출 차단 및 기관 전산망 보호에 방점을 둔다. '데이터 영역'은 암호기술 적용 및 암호화 키 관리 등을 통해 안전하게 데이터를 저장·관리하도록 한다. '정보자산 영역'은 모바일 단말·하드웨어 장치·정보시스템 구성요소 등에 대한 보호방안이 주된 내용이다. 국정원은 "국가 망 보안체계의 핵심개념인 '데이터 공유 활성화'와 '보안성'을 동시 확보하기 위해 보안통제 항목의 정확한 적용이 필요하다"며 "이러한 보안통제 항목은 기술구현에 관한 각계의 의견을 수렴해가면서 최신 보안기술을 지속 반영해 나갈 예정"이라고 설명했다. 'N²SF' 체계는 ▲인터넷 단말에서 문서편집기 등 업무에 활용 ▲업무환경에서 생성형 AI 및 외부 클라우드(SaaS) 활용 ▲연구목적 단말의 신기술 활용 등 정보서비스 모델을 마련하는 데 주로 적용된다. 국정원은 이에 대한 8개의 정보 서비스 활용 모델을 예시로 든 상태로, 향후 다양한 정보 서비스를 반영한 추가 모델도 지속해 개발·업데이트할 예정이다. 또 이를 통해 국가·공공기관 업무환경 혁신 및 편리성을 제고한다는 방침이다. 국정원은 "올해 1월 이 가이드라인을 각급기관에 배포해 공공분야 담당자 이해도를 제고했다"며 "유관 협회·기관 등 산업계의 제품 개발·수출 등에 참고·지원토록 국가사이버안보센터 홈페이지에도 공개했다"고 말했다. 그러면서 "이번에 배포한 보안 가이드라인은 드래프트(Draft) 버전으로, 각급기관이 새로운 체계에 적용하는데 필요한 준비시간을 고려하면서 선도사업을 통해 확인된 미비점·보완사항 등을 반영하기 위해 이처럼 나섰다"며 "올해 7월에는 N2SF 보안가이드가 정식 배포·시행될 계획"이라고 덧붙였다. 또 국정원은 올해 상반기 중 새로운 국가 망 보안체계를 각급 기관에서 조기 적용할 수 있도록 디지털플랫폼정부위원회·과기정통부 등 관계부처와 협조해 '정보서비스 모델'을 반영한 선도사업을 추진, 안정적인 정책 확산을 유도할 계획이다. 이와 함께 단기적으로 ▲소규모 네트워크 ▲N2SF 적용이 용이한 사업 ▲올해 계획된 망분리 사업 등 즉시 추진 가능한 정보화 사업은 새로운 보안체계를 우선 적용키로 했다. 또 중장기적으로 정보화전략계획(ISP) 수행 및 기재부 등 관계부처 검토가 필요한 대규모 시스템은 예산, 재구축 소요기간 등 고려해 단계적으로 전환키로 했다. 또 국정원은 상반기 중 선도사업 등을 통한 안전성 검증 및 N2SF 조기 도입 희망기관 대상 컨설팅 등 각급기관이 새로운 정책 적용에 차질이 없도록 밀착 지원한다는 방침이다. 올해 하반기에는 보안가이드 미비점을 보완한 후 정식 배포 등 정책도 본격 시행할 계획이다. 다만 일각에선 N2SF 정책 시행으로 국내 업계에 불리할 것으로 보는 시각도 있다. 이에 국정원은 글로벌 스탠다드 및 해외 사례 등을 참조해 보안정책을 수립해 문제 없다는 입장이다. 또 다수가 공감할 수 있는 정책 시행을 위해 각계 전문가·협의체 등을 통해 의견 수렴 및 공감대 형성 등에 나서고 있다는 점도 피력했다. 또 과기정통부의 클라우드 보안인증제(CSAP)와 혼선이 빚어지고 있는 부분에 대해서도 명확하게 선을 그었다. 지난 2023년부터 시행된 CSAP는 국가·공공기관에 공급할 민간 클라우드 서비스의 보안성을 검토해 부여하는 인증으로, 공급 대상 '시스템' 중요도에 따라 상·중·하 3개 등급으로 나누는 등급제다. 일단 국정원과 과기정통부는 평가 대상과 목적부터 다르고 근거법령도 상이한 별개의 제도인 만큼 'N2SF' 도입 후에도 CSAP가 폐지·흡수되는 일은 없다고 보고 있다. 그러나 업계에선 CSAP 제도가 분류기준 등을 국정원의 '국가 정보보안 기본지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'에서 준용하는 만큼, N2SF 전환에 따른 영향을 받을 수밖에 없다는 입장이다. 이에 N2SF 발표에 맞춰 CSAP 개편도 이뤄져야 한다고 판단하고 있다. 이에 대해 국정원은 "과기부 CSAP는 민간 클라우드 서비스의 보안수준 인증 제도로, 국정원은 국가·공공기관의 클라우드 등 정보화 서비스 도입 시 보안요건 적합 여부를 검증하고 있어 그 대상과 목적이 다르다"며 "과기부는 각급기관 및 업계 혼선 최소화 등을 위해 향후 국정원 보안기준 등을 참고해 CSAP 인증항목을 개정할 예정"이라고 설명했다. 또 일각에서 N2SF, CSAP 등 각각의 제도·인증 등이 이중 심사라고 보는 점에 대해선 "국정원은 관련 법령에 근거해 국가·공공기관의 정보화사업 보안성 검토 및 검증을 실시하고 있다"며 "정보화사업 보안성 검토 과정에서 CSAP 인증항목을 인정해 CSAP 인증을 받은 클라우드 서비스에 대해서는 중복 심사·검토 없이 공공분야 보안기준 위주로 검증하고 있으므로 이중 심사는 아니다"고 강조했다. 국정원은 이번 일로 기존 획일적 망 분리에서 벗어나 업무 중요도별 보안통제를 차등 적용함으로써 보안성 확보와 함께 AI·클라우드 등 새로운 IT 기술을 원활히 활용할 수 있을 것으로 기대했다. 국정원은 "각급기관이 공공데이터 개방·공유 환경 구축 시 편의성이 증대되고 국민과 기업의 공공데이터 기반 서비스 활용도 증가할 것으로 전망한다"며 "이를 통해 공공데이터의 개방·활용 확대로 국가 데이터 산업 발전 및 대규모 사업 추진에 따른 국내 IT·정보보호 시장이 더욱 활성화될 것으로 기대된다"고 말했다.

2025.01.23 17:09장유미 기자

윈스, 경북지역 클라우드 생태계 키운다

윈스가 경상북도 지역 클라우드 시스템 전환에 나섰다. 윈스는 경북ICT클라우드협회와 업무협약을 체결했다고 22일 밝혔다. 협력 주요 내용은 ▲클라우드 보안 기술의 상호 교류·비즈니스 확대 증진 ▲클라우드 서비스 인프라·기술 데이터·최신 정보 공유 ▲경북지역 클라우드 네이티브 전환사업 공동발굴이다. 이를 통해 윈스는 경북지역의 클라우드 보안체계를 구축할 예정이다. 경북ICT클라우드협회는 ICT분야와 클라우드 분야의 기업들이 모인 연합체다. 경북지역의 IT산업 성장과 디지털 전환을 추진하고 있다. 윈스 유지용 실장은 "경북지역의 안전한 클라우드 시스템 전환·구축과정에 참여할 수 있어 영광"이라며 "경북지역 클라우드 시스템의 안정성과 가용성이라는 두 마리 토끼를 모두 잡을 수 있는 시스템을 구축할 수 있도록 최선을 다하겠다"고 밝했다.

2025.01.22 17:43김미정 기자

  Prev 1 2 3 4 5 6 Next  

지금 뜨는 기사

이시각 헤드라인

KT 조직개편...박윤영號 첫날 '본질·성장' 속도전

[디지털자산법 표류②] 진입규제에만 함몰…정작 필요한 논의는 빠져

고용노동부, '빽다방 알바 고소 논란' 감독...더본코리아 "법무담당 급파"

국가AI전략위, 산업AX 분과 산하조직 신설…"구성원 논의 중"

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.