더불어 인증제도가 본격적으로 자리를 잡더라도, 급증하는 서비스의 인증 수요를 충족할 수 있을 것인가에 대한 우려도 제기되고 있다. 매년 새로운 서비스가 등장할 것으로 예상되지만, 인증을 획득하는 서비스는 한정적일 것이라는 지적이었다. 실제 지난해 11월 본지와 과학기술정보통신부, 한국정보화진흥원에서 마련한 ‘공공기관 클라우드 서비스 유통 활성화를 위한 좌담회’에서도 기업들은 이와 관련한 문제점들을 성토했다(컴퓨터월드 2018년 12월호 참조). 업계에서 지적한 클라우드 보안 인증의 문제점을 살펴보고 개선 방향을 알아본다.
 

SaaS 공급 기업 “보안 인증, 클라우드 활성화의 걸림돌”

본지가 국내 주요 SW기업들을 대상으로 취재한 결과, 국내 SaaS 공급 기업들은 공공기관 클라우드 활성화를 저해하는 요소로 ▲SaaS 보안 인증 ▲서비스 조달 방식의 문제 ▲공공기관 담당자들의 클라우드 서비스에 대한 인식 ▲짧은 서비스 계약 기간 등을 지적했다. 이 중 기업들이 가장 목소리를 높여 얘기한 것은 클라우드 보안 인증에 관한 것이었다.

기업들은 SaaS 보안 인증에 대해 ▲SaaS 보안 인증 획득 사례가 없어 가이드라인이 부족하다는 점 ▲IaaS 보안 인증과 중복된 조항으로 클라우드 사업자(CSP)와 협업이 이뤄져야 한다는 점 ▲공공존 상에 서비스 구축 시 인증을 요구한다는 점 등을 문제로 지적했다.

또한 IaaS 평가 항목과 SaaS 평가항목이 중복된다는 지적도 이어졌다. SaaS 평가 항목 중 서비스 공급기업과 클라우드 사업자가 협의해야 하는 부분이 있다는 것이다. 하지만 이 항목을 충족하기 위해 클라우드 사업자에게 문의해도 명확한 답변을 얻지 못했다고 말했다.

A사 관계자는 “SaaS 보안 인증에 대한 명확한 가이드라인이 있었으면 좋겠다”며, “현재의 보안 인증은 요건만 제시하고 충족하는 방법에 대해서는 설명하지 않는다. 이에 지원을 받아 컨설팅을 진행했지만 컨설팅 업체도 아직 SaaS 인증에 대해서는 미숙하다는 느낌을 받았다”고 설명했다.

이 외에도 앞으로 폭증할 서비스 인증 수요를 KISA가 감당할 수 있을 것인가라는 의견도 제기됐다. 공공기관에서 요구하고 사용할 수 있는 서비스가 많아질수록 인증 수요도 증가하는 것은 당연하다. 하지만 현재 KISA 내 클라우드 보안 팀으로는 3~9개월씩 걸리는 클라우드 보안 인증에 한계가 있을 것이라는 얘기다.

“수요는 있지만, 인증 때문에 공급 못해”

기업들은 공공기관 클라우드 서비스 활성화의 저해요소로 내부 업무 시스템에는 클라우드 서비스를 사용하지 못한다는 점도 지적한다. 현행 제도 상 공공기관은 그룹웨어 등과 같은 업무시스템을 클라우드 서비스로 운영하지 못한다. 클라우드 서비스 활성화를 추진하기 위해서는 크리티컬한 업무 시스템 외에는 클라우드를 허용하도록 제도 개선이 필요하다는 지적이다.

특히 소규모 공공기관은 업무시스템을 온프레미스로 구축하는 것에 부담을 느끼고 있다. 클라우드 서비스형 업무시스템을 사용하고 싶다는 의견을 피력하고 있지만, 기업들은 인증 때문에 서비스를 공급하지 못하고 있다.

현재 KT, NBP 등 클라우드 공공존에 서비스를 올리기 위해서는 보안 인증이 필요하다. KISA는 인증 취득을 위한 수단으로 사전구축을 승인하고 있으며, 인증을 추진하려는 기업은 KISA에 사전구축 승인 신청을 한 뒤, 승인을 받아 클라우드 공공존에 서비스를 임시로 구축하게 된다. 하지만 내부 업무시스템은 사전구축 승인 신청도 되지 않는 실정이다. 서비스 구축 대상이 아니라는 이유에서다. 이 때문에 공공기관에서 사용하고 싶은 서비스가 있어도, 공급이 되지 않고 있다.

기업들은 기밀정보가 담긴 크리티컬한 업무시스템이 아니라면 서비스를 구축할 수 있도록 제도를 개선해야 한다고 주장했다. 한 업계 관계자는 “내부업무시스템을 제외한 SaaS 인증 추진은 공공기관에서 무엇을 SaaS로 구축하려고 하는 것인지 의구심이 든다”며 “인증에는 반대하지 않지만, 받을 수 있는 방법을 열어줬으면 한다”고 말했다.

기관별 설명 달라, 일관된 정책 필요

기업들이 어려움을 겪는 또 하나의 이유는 기관별로 정책이 다르다는 점이다. 한국정보화진흥원(NIA), 한국인터넷진흥원, 지역정보개발원 등 관련 기관의 클라우드 서비스에 관한 정책이 모두 다르다. 사실 KISA의 클라우드 보안 인증제도도 필수로 취득해야하는 것은 아니다. 이에 NIA는 KISA 클라우드 보안 인증 대신 국가정보원 보안성 검토를 받는 것을 추천하고 있다.

기업들 입장에서는 어느 기관에 맞춰야 할지 난감한 경우가 많다. KISA 보안 인증을 취득하자니 세부 항목별 준비해야할 사항이 많아 기간이 길어지고, NIA의 추천대로 추진하면 인증을 요구하는 기관이 있어 어렵다는 것이다.

B사 관계자는 “KISA의 인증에도 문제가 있다고 생각하지만, 정부기관의 일관성 없는 정책이 더 큰 문제”라며, “총괄하는 기관이 없기 때문에 기업들은 각 기관별로 대응해야 하며, 기관들이 하는 이야기가 서로 달라 혼란스럽다. 고객 수요를 보고 클라우드 서비스 사업을 추진했지만, 현재로선 명확한 해답이 없는 상황”이라고 불만을 나타냈다.

이런 상황에서도 기업들이 보안 인증에 관심을 보일 수밖에 없는 이유는 많은 수요가 몰려 있는 공공기관에서 요구하기 때문이다. 좌담회 당시 김경근 한국방송통신전파진흥원 차장은 “보안 인증은 공공기관 입장에서는 필요한 제도”라며, “공공기관이 클라우드 서비스를 이용하는 것은 국가정보원 보안성 검토 대상에 포함된다. 클라우드 서비스를 도입했을 때 보안성 검토를 통과하지 못한다면, 프로젝트에 차질이 생길 수밖에 없다. 이런 위험성을 줄이기 위해 공공기관들은 보안 인증을 더욱 요구하게 될 것이라고 생각한다”고 말했다.

활성화 위해 단계적 인증 절차 필요…네거티브 규제도 언급

SaaS 기업들은 보안 인증의 개선 방향으로 ‘단계적 인증 절차’와 ‘네거티브 규제’를 거론하고 있다. 단계적인 인증 절차는 시큐어코딩, 웹애플리케이션방화벽(WAF), 암호화, 접근제어 등 서비스 제공에 있어 필수적인 보안 항목만 충족하면 서비스를 할 수 있도록 열어주는 방법이다. 78개 항목을 한 번에 만족하는 것이 아닌 서비스를 제공하면서 단계적으로 충족하도록 제도를 개선하자는 의견이다. 또 다른 의견인 네거티브 규제 도입은 현재 몇 개의 서비스만 허용하고 있는 제도를 크리티컬한 업무를 제외하고 다른 업무에서는 클라우드 서비스를 활용할 수 있도록 개선해야 한다는 주장이다.

이 외에 클라우드 활성화를 위한 방법으로 ▲클라우드 서비스에 맞는 조달 방식 ▲최대 서비스 계약 기간 연장 등이 필요하다는 의견도 제기됐다.

KISA “클라우드 활성화 위해 인증제도 마련”

클라우드 보안 인증제도가 활성화를 저해하고 있다는 SaaS 공급기업들의 의견에 대해 인증 주관 기관인 한국인터넷진흥원(KISA)은 “오히려 클라우드 서비스 활성화를 위한 제도며, 기존 인증제도의 취지와는 다르게 클라우드 서비스를 활성화하기 위해 추진됐다”고 설명했다. 2016년 클라우드 보안 인증제도 도입 배경을 보면, 애당초 공공기관의 민간 클라우드 이용은 국가정보원 보안규정에 허용되지 않았다는 것이다.

당시에도 제기되던 클라우드 활성화를 위해 과학기술정보통신부가 관계부처와 협의를 통해, 민간 클라우드의 보안성이 인증되면 공공기관이 인증된 클라우드를 이용할 수 있도록 제도를 개선했다. 이에 따라 공공기관을 대상으로 한 클라우드 서비스에 보안 인증제도가 시행됐다는 설명이다.

KISA는 클라우드 보안 인증제도가 시행되면서 국가정보원의 보안성 검토가 간소화됐고, 공공기관이 보안 측면에서 클라우드 서비스를 도입하는 데 주저하지 않도록 독려하는 역할을 하고 있다고 강조했다. 다만 SaaS 공급기업 입장에서 보안정책을 수립하는 등 항목을 만족하는 데 어려움을 겪고 있다는 것은 인지했으며, 올해는 중소·영세 클라우드 사업자들이 좀 더 쉽게 보안인증을 준비할 수 있도록 가이드라인 배포, 컨설팅 과 교육 등 다양한 지원 방안을 추진하겠다고 밝혔다.

내부업무관리시스템 사용은 행안부 가이드라인이 개선돼야

SaaS 공급 기업들의 내부업무관리시스템도 SaaS로 활용할 수 있도록 제도를 개선해야 한다는 목소리에 KISA는 “이 부분은 소관부처인 행정안전부의 몫”이라고 답했다. KISA 측 설명에 따르면 공공기관이 업무관리시스템을 포함해 민간 클라우드를 사용하고자 하는 경우, 허용 범위와 내용은 행안부에서 발표한 ‘공공기관 민간 클라우드 이용 가이드라인’에 따라 결정된다. KISA는 이 가이드라인에 따라 허용된 서비스에 대해 보안 인증을 부여하고 있다.

공공기관에서 내부업무시스템을 클라우드 서비스로 사용하기 위해서는 행안부의 가이드라인이 개선돼야 할 것으로 보인다.

행안부는 지난 9월 ‘공공기관 민간 클라우드 이용 가이드라인’을 전면 폐지하고 민간 클라우드 이용 범위를 대폭 확대하는 내용을 담은 ‘공공부문의 클라우드 컴퓨팅 기본계획’을 발표한 바 있다. 이에 따른 가이드라인 개정안이 올해 발표될 것으로 예상된다. 지난 12월 27일 개최된 전자정부 클라우드 컨퍼런스에서 김혜영 행안부 개인정보보호정책관은 “민간 클라우드 이용 대상을 네거티브 방식으로 전환하고, 이를 위해 2019년에는 관련 법령 및 제도개선을 추진하겠다”고 말했다.

한편 KISA는 클라우드 보안 인증 절차 추진을 위해 사전구축 신청을 받고 있다. 민간 SaaS 업체가 공공기관에 서비스를 제공하기 위해서는 국가정보원 보안 지침에 따라 클라우드 보안 승인을 획득한 ‘공공기관 전용’의 IaaS 환경(공공존)에 SaaS를 구축해야 한다.

하지만 공공존에 구축하기 위해서는 인증 또는 국정원 보안성 검토가 필요하며, KISA는 인증 추진 과정에서 공공클라우드의 안정성과 보안성 등을 담보하기 위해, 민간 사업자로부터 클라우드 보안인증 수검용도 외 사용 제한, 테스트 기간, 서비스 내용 등이 명시된 ‘SaaS 사전 구축 의향서’를 받고 있다. 이후 민간 SaaS 업체는 동 의향서를 인증받은 IaaS에 제출하고 SaaS를 구축, 보안인증 준비를 진행하게 된다.

“인증 획득 위해 SaaS와 IaaS 사업자간 협업은 오해”

SaaS와 IaaS 인증의 중복 항목으로 인해 사업자간 협업이 있어야 한다는 부분은 오해였던 것으로 조사됐다. SaaS 사업자가 IaaS 사업자에게 요청했던 것은 보안 정책 등을 수립하는데 참고할 사항이 없어, 관련된 부분을 요청했던 것으로 밝혀졌다. 하지만 보안 정책 등의 문제는 사업자 내부에서 해결돼야 하는 문제라서 IaaS 사업자가 도울 수 있는 문제가 아니었으며, 이로 인해 IaaS 사업자와의 오해가 생겼던 것으로 보인다.

장철순 KISA 클라우드보안관리팀 책임 연구원은 “SaaS 보안 인증을 추진할 때 IaaS 인증과 중복되는 항목은 모두 IaaS 인증으로 충족돼 따로 협력할 필요는 없다”고 설명했다. 이어 “SaaS 사업자가 어려워하는 부분은 사내 보안 정책을 수립하는 등의 항목이며, 중소·영세 SaaS 사업자는 보안 담당자가 없는 경우도 있어 이런 부분을 많이 어려워하고 있는 것으로 조사됐다”면서, “이를 위해 KISA는 올해부터 보안정책 컨설팅 등 지원 정책을 강화할 계획”이라고 밝혔다.

인증 수요에 따라 기관 확대 등 대응방안 강구

앞으로 증가하는 인증 수요를 감당할 수 있을 것인가라는 우려에 KISA는 충분히 대응할 수 있을 것으로 예상한다고 답했다. 지난 3년간 보안 인증을 받은 IaaS와 SaaS는 총 7건으로 현재 인력만으로 충분히 수요에 대응할 수 있었다는 얘기다.

KISA 설명에 따르면 현재 클라우드 사업자가 보안인증을 받는데 소요되는 기간은 인증 건별로 2~3개월 정도며, 이 중 4주 정도가 KISA의 보안인증을 위한 다양한 점검(서면·현장평가, 취약점점검 및 모의침투테스트 등) 수행에 소요된다. 이 외의 기간은 전부 사업자의 보호조치 및 관련 이행점검에 쓰이게 되며, 총 인증기간은 사업자의 보안준비 및 개선의지에 따라 단축될 수 있다. 아울러 KISA는 보안인증을 동시에 여러 건 진행해 인증심사가 적체되지 않도록 대응해 나가고 있다.

향후 행안부의 ‘공공기관 민간 클라우드 이용 가이드라인’이 개정돼, 공공기관의 클라우드 서비스 이용이 확대되고 인증 수요가 증가하게 된다면, KISA는 수용동향을 살펴 필요시 인증평가 기관을 확대하는 등 심사가 원활히 이뤄질 수 있도록 대응할 계획이다. 더불어 이에 대한 방안 연구를 사전에 진행할 방침이다.

현재 인증 수요 추세는 KISA에서 감당할 수 있는 수준이며, 향후 서비스 증가로 인해 수요가 증가한다면 이에 대한 대응방안을 마련해 놓을 것이라는 설명이다.

올해부터 인증제도 홍보 및 중소·영세 사업자 지원 강화

KISA는 클라우드 보안 인증제도를 시행하면서 사업자의 보안 강화와 보안인증을 준비하는 데 도움을 주고자, 사업자와 이용자를 대상으로 교육을 제공하고 중소·영세 사업자를 대상으로 보안컨설팅을 제공하고 있다.

올해는 이를 더욱 강화해 SaaS 사업자가 클라우드 보안인증을 준비하는데 필요한 사항들을 어떻게 준비해야 하는지를 설명하는 가이드라인과 이에 대한 교육도 추가로 진행할 예정이며, SW의 보안오류 점검(secure coding) 위주였던 기존 컨설팅도 취약점 점검, 보안정책문서 컨설팅 등으로 확대·제공할 계획이다.

특히 클라우드 보안 인증제도에 대한 인식을 개선하기 위해 올 상반기 중 설명회를 개최할 계획이다. 사업자에게는 인증제도를 추진하는데 있어 교육 및 컨설팅, 가이드라인 등을 제공할 예정이며, 공공기관에서 클라우드 서비스 도입 시 얻을 수 있는 이점 등에 대해서도 홍보할 방침이다.

한편 지난 11월 20일 네이버 클라우드 플랫폼의 ‘웹 시큐리티 체커(Web Security Checker)’와 ‘시스템 시큐리티 체커’가 SaaS 보안 인증을 획득했다. 당시 한상영 NBP 클라우드 서비스 리더는 “공공기관에 SaaS 서비스를 제공하려는 많은 기업들이 SaaS 보안 인증 획득에 어려움을 겪고 있다”며, “앞으로 SaaS 보안 인증 획득 경험을 바탕으로 심사에 참여하는 기업들도 적극 지원할 예정”이라고 말했다.