정부기관이 이용하는 공공 클라우드의 보안인증이 소프트웨어 서비스(SaaS)로 확대된다. 한국인터넷진흥원(KISA)은 상반기 중 SaaS 보안인증 기준 방법을 개발하고, 하반기 서비스 대상 시범적용을 통해 연내 보안인증 기반을 마련할 계획이다. KISA는 기존 공공입찰을 위해 필요한 인증이나 규제 등을 점검하고 추가하거나 개선해야 할 내용을 검토하는 한편, 해외 사례를 검토하고 있다고 밝혔다.
윤태재 KISA 클라우드 보안관리팀장은 “공공전용 클라우드 스토어 ‘씨앗’의 서비스를 사용할 수 있겠으나, 공공서비스에 적용되려면 그에 맞는 보안 수준을 갖췄는지 법에 따라 인증을 받아야 한다”며 “다른 나라에서도 공공분야 클라우드는 규제를 강화하는 추세”라고 말했다.
현재 공공기관은 보안인증을 받은 클라우드 서비스를 이용할 수 있지만, 현재 보안인증은 인프라 서비스(IaaS)에 대해 마련돼 있다. 인증을 받은 기업은 KT, NBP, 가비아 등 3곳이며, 올해 5곳 정도 추가 인증이 완료될 것으로 보인다.
IaaS는 일정한 규모의 데이터센터를 갖고 있는 사업자만이 진출할 수 있는 시장으로, 중소업체는 제약이 있다. 클라우드 생태계가 살아나기 위해서는 SaaS가 활성화 돼야 하며, 정부는 올해 SaaS 시장의 문을 열고 중소 클라우드 기업까지 상생하는 에코시스템을 만든다는 계획이다.
윤태재 팀장은 “선진국들도 공공분야 클라우드를 위해 강력한 규제를 실시하고 있으며, 클라우드 서비스에서도 데이터의 위치를 확인하고 어떻게 유통되는지 가시성을 확보하기를 요구한다. 우리나라 보안 인증이 다른 나라에 비해 강력한 것은 아니며, 미국은 더 강력한 규제를 정하고 있다”며 “SaaS 보안인증은 연내 3곳 정도 시범사업을 해 본 후 내년부터 본격적으로 시행할 것”이라고 말했다.
