검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'클라우드 서비스 보안인증'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

마이크로소프트, CSAP '하' 등급 인증…국내 기업 '행보 주목"

마이크로소프트가 클라우드 서비스 보안인증제(CSAP) '하' 등급 인증을 획득하며 국내 공공소프트웨어(SW) 사업 진출 기반을 확보했다. 이에 국내기업들은 아직 CSAP 등급기준이 명확하지 않은 만큼 대응은 시기상조라고 평가하면서도 추후 행보에 주목하는 모양새다. 2일 관련 업계에 따르면 국내 기업들이 마이크로소프트 등 해외 빅테크 기업의 공공SW 사업 진출에 관심을 보이는 것으로 알려졌다. 명확하지 않은 기준과 규제 혼재로 시장 분석 어려워 CSAP는 공공 부문에 민간 클라우드를 도입해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 지난해 1월 마련됐다. 각 업무 환경과 데이터의 중요도에 따라 민간기업의 클라우드 서비스를 제공함으로써 클라우드 생태계를 활성화한다는 의도도 포함된다. 마이크로소프트도 보안인증제 획득으로 공공 사업 일부에 애저 클라우드 서비스를 도입될 수 있게 됐다. 또한 구글클라우드, 아마존웹서비스(AWS)와 알리바바 클라우드 등도 CASP 심사를 준비하며 인증 취득을 앞두고 있는 것으로 알려졌다. 관련 업계에서는 이번 마이크로소프트의 인증 획득이 공공 SW 시장에 어떤 영향을 미칠지 판단하기 아직 시기상조라는 반응이다. 심사를 통해 취득한 인증이 가장 낮은 '하'등급이며 상등급과 중등급의 서비스 기준이 공개되지 않아 해당 인증으로 참여할 수 있는 사업 규모가 얼마나 되는지 파악이 안되기 때문이다. 또한 국가정보원에서 지난 10월 새로운 국가망 보안정책 개선 방안으로 다층보안체계(MLS)를 제시하며, 두 보안 체계가 공공SW 사업에 영향을 미칠지 조율되지 않아 시장 분석이 어렵기 때문이다. MLS는 국가 전산망 업무 정보 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개 (Open) 등급으로 분류하는 등급별 차등적 보안통제다. 이를 통해 보안성을 확보하면서도 AI와 클라우드 등 신기술과 원활한 데이터 공유까지 진행하는 것을 목표로 한다. 클라우드서비스산업협회 함재춘 사무국장은 "마이크로소프트 외에도 많은 해외 기업들이 CSAP인증을 받기 위해 준비하는 것으로 알고 있다"며 "워낙 정책이 많이 추가되고 명확한 기준이 마련되지 않아 내년에 어떤 변화가 있을지 예상하긴 어려운 상황"이라고 말했다. 이어서 그는 "정책 변화는 항상 맞추기 위해 노력하고 외산 기업 참여도 시대의 흐름이라고 인식하고 있다"며 "그보다 중요한 것은 클라우드 시장이 활성화되는 것으로 산업이 활성화될 수 있도록 정부에서 좀더 적극적으로 관련 사업을 마련해 주길 바란다"고 강조했다. 빅테크 공공 진출, 서비스 옵션 확대…국내기업 "차별화 강화" 마이크로소프트 등 빅테크의 공공SW 시장 진출에 대해 관련 업계에서는 의견이 갈리는 추세다. 각 부처에 맞춰 시스템을 구축하고 운영하는 IT서비스나 클라우드관리(MSP)의 경우 고객사에 제공할 수 있는 옵션이 다양해지는 만큼 긍정적이라는 반응이다. 늘어나는 클라우드 인프라나 관련 서비스의 기능이나 옵션이 늘어날수록 이를 전문적으로 다룰 수 있는 역량을 가진 기업의 도움이 필수적이기 때문이다. 특히 최근 급증한 IT서비스 장애 위협을 최소화하기 위해 여러 클라우드 서비스와 온프레미스 환경을 동시에 관리해야 할 필요성이 늘어나고 있다. 한 IT서비스 관계자는 "클라우드 기업이 늘어날수록 고객사에서 활용할 수 있는 옵션이 늘어나고 더 좋은 서비스를 구축할 수 있는 환경이 마련된다"며 "IT서비스 기업 입장에서는 이미 민간에서 적극적으로 빅테크와 파트너십을 맺고 있는 만큼 공공 시장 진출은 이런 비즈니스가 늘어나는 기회가 될 것으로 예상한다"고 말했다. 반면 해외 기업들과 공공 시장에서 직접 경쟁해야 하는 클라우드서비스사업자(CSP)의 경우 보다 더 민감하게 시장 반응을 살피고 있다. 더불어 해당 기업들이 제공하기 어려운 서비스 등으로 차별화에 나설 계획이다. 한 클라우드 기업 관계자는 "아직은 이렇다할 변화나 영향을 파악하기 힘들지만 장기적으로는 경쟁을 해야 할 관계라고 보고 있다"며 "이에 대비해 24시간 고객 지원 서비스, 현장 인력 지원, 고객 맞춤 서비스 개발 등 우리 만이 제공할 수 있는 서비스와 시스템으로 차별화에 나설 계획"이라고 강조했다.

2024.12.02 15:46남혁우

CSAP 시행 본격화 "공공SW 발전"vs"데이터주권 위협" 찬반 팽팽

클라우드컴퓨팅서비스 보안인증(CSAP) 등급제가 본격 시행되며 해외 클라우드 사업자(CSP)도 일부 공공 클라우드 사업에 참여할 수 있게 됐다. 6일 관련 업계에선 이번 정책에 대해 의견이 갈리고 있다. 클라우드 서비스 기업들은 민간 클라우드 시장이 아마존웹서비스(AWS), 마이크로소프트 애저 등 글로벌 기업이 독점적 위치를 차지하고 있는 상황에서 공공시장까지 내주는 것은 데이터 주권에 악영향을 줄 수 있다고 지적했다. 반면, 다른 업계 관계자는 이번 정책으로 공공 서비스의 질적인 성장을 비롯해 정부에서 강조하는 디지털 정부의 해외 수출까지 대할 수 있을 것이라고 의견을 밝혔다. CSAP는 클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 지난해 1월부터 부분적으로 도입됐다. 그동안 클라우드 인프라의 물리적 망분리 등 도입요건이 제한돼 아마존웹서비스(AWS), 마이크로소프트 애저 등 글로벌 기업의 참여가 어려웠다. CSAP는 등급에 따라 클라우드 보안인증의 평가기준도 완화된 것이 특징이다. 이를 통해 해외 클라우드 기업도 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 하 등급에 참여할 수 있게 됐다. 이미 AWS와 구글 등 해외 기업이 CSAP 하 등급을 신청해 인증 평가절차를 밟고 있으며, 알리바바 클라우드, 세일즈포스, 오라클 등도 공공 클라우드 사업에 관심을 보이고 있는 것으로 알려졌다. 해외 기업의 공공 클라우드 시장 진출이 예고되면서 관련 업계에서는 이에 대한 우려의 시선이 나오고 있다. 특히 서비스 장애 등 문제가 발생했을 때 즉각적인 처리가 어려울 것이라고 지적했다. 한 클라우드 기업 임원은 “해외 기업에 모든 것을 내주면 국내 기업은 성장할 여지를 갖출 수 없을 뿐 아니라 직접 클라우드 관련 장비를 제어할 수 없다”며 “이로 인해 서비스 장애 등 문제가 발생했을 때 원인을 파악하고 이를 개선하는데 한계가 있을 수밖에 없다”고 말했다. 이어서 ”국내 기업이 클라우드에 대한 인프라부터 서비스까지 모든 역량을 갖춰야 해외 기업과 경쟁할 수 있는 기반을 마련할 수 있을 것”이라며 “이러한 기반이 될 공공 사업까지 내주는 것은 국내 IT사업에 상당한 위협을 초래할 수 있다”고 지적했다. 반면, 다른 기업 임원은 국내 기업도 충분히 서비스 노하우와 역량을 보유하고 있다며, 글로벌 기업의 진출은 오히려 경쟁을 통해 더욱 발전할 수 있는 기회가 될 수 있을 것이라고 이번 정책을 평가했다. 그는 “이미 국내 클라우드 기업도 중소, 중견기업 등을 기반으로 서비스를 제공하며 기술력을 확보하고 있고 고유의 경쟁력을 만들어가고 있다”며 “오히려 글로벌 기업의 진출을 통해 그들이 보유한 서비스를 활용해 더욱 안정적이고 효율적으로 공공 서비스를 구축할 수 있을 것”이라고 말했다. 이와 함께 “특히 해외 기업의 인프라를 활용한다면 국내 디지털 정부 플랫폼을 글로벌 시장에 보다 효율적으로 선보일 수 있는 기회가 될 것”이라고 덧붙였다.

2024.02.06 13:53남혁우

CSAP 등급제 본격 시행…상등급 '보안인증 강화'

정부가 클라우드컴퓨팅서비스 보안인증(CSAP) 등급제를 확정하고 본격 시행에 나선다. 국가 안보와 연결된 상 등급은 평가기준이 강화됐으며, 중등급은 명확한 점검을 위해 평가항목이 일부 수정됐다 과학기술정보통신부(이하 과기정통부)는 클라우드 보안인증 등급제의 상중등급 평가기준이 반영된 클라우드컴퓨팅서비스 보안인증에 관한 고시 일부 개정안을 26일까지 행정예고 한다고 6일 밝혔다. 지난해 1월 도입된 클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 마련됐다. 과기정통부는 등급별로 보안인증 평가기준을 차등화해, 상등급은 기존 평가기준을 보완‧강화, 중등급은 현행 수준을 유지, 하등급은 합리적으로 완화하는 것으로 발표했다. 하등급 보안인증 평가기준이 담긴 고시를 개정하면서 하등급을 우선 시행하였고, 상중등급은 관계부처와 함께 실증‧검증을 거쳐 보안인증 평가기준을 마련하기로 한 바 있다. 과기정통부는보안인증 실증사업을 추진하며 민간 클라우드 이용 환경에 대한 보안성을 검증했다. 행정내부시스템을 민간 클라우드로 전환한 실증환경을 구축하고, 이를 대상으로 실시한 국정원의 보안진단 결과를 반영해 상중등급 평가기준을 마련하였다. 별도의 고시개정 연구반을 운영하면서 국제표준 인증(ISO 27001(정보보안), 27017(클라우드 보안))과 미국 연방정부 클라우드 보안인증(FedRAMP) 등의 인증 평가항목을 분석하고, 추가 보완이 필요한 평가기준을 도출하였다. 상등급은 국가 중대이익(안보, 외교 등), 행정 내부업무 등을 운영하는 상등급 시스템의 업무 중요도와 시스템 규모를 고려하여 평가항목을 4개 신설하였다. ▲외부 네트워크 차단, ▲보안감사 로그 통합관리, ▲계정 및 접근권한 자동화, ▲보안패치 자동화 항목을 추가한다. 중등급은 추가하는 항목은 없으나, 점검 내용을 명확히 하기 위해 ▲시스템 격리, ▲물리적 영역 분리 평가항목을 일부 수정하였다. 상중등급이 시행되더라도 기존에 인증 받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들이 제도 개편으로 인해 겪는 혼란과 불편을 최소화하기 위해 유효기간 내에서는 중등급으로 인정할 예정이다. 클라우드 보안인증 상중등급 시행과 함께, 클라우드 환경 변화에 따른 사업자의 부담 해소를 위한 제도개선도 추진한다. 클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영하여, 인증평가시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다. 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우, 중복되는 평가항목은 40~50% 수준으로 생략하고, 수수료 할인 폭도 50% 확대했다. 인증 수수료 유료화에 따른 중소‧중견 기업의 부담을 경감시키기 위해 수수료 지원도 최대 70%로 강화할 예정이다. 과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역(행정내부업무 등)이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”면서, “본격적인 민간 클라우드 활용에 앞서, 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증하여 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다”고 밝혔다. 또한 “향후, 제도가 현장에서 안정적으로 정착될 수 있도록 지속적으로 모니터링하고, 제도 운영 과정에서 추가 개선이 필요한 부분은 보완해 나갈 방침이다”라고 강조했다.

2024.02.06 11:23남혁우