.jpg)
[3줄 요약]
1. 중복적 규제 개편 필요성 제기
2. 간소·효율화로 진흥 지원 vs 보안성 강화 클라우드 특화 검증
3. “보안에 초점둬야 진흥으로 연결되는 기초공사”
[보안뉴스 강현주 기자] 공공기관 도입용 클라우드 보안 인증 개편 가능성이 거론되는 가운데, ‘진흥’ 보다는 ‘보안’에 초점을 둔 클라우드 특화 적합성 검증이 강화돼야한다는 목소리가 나오고있다. 탄탄한 보안이 결국 진흥으로 연결된다는 지적이다.
현재 공공 부문에 클라우드를 공급하기 위해서는 과학기술정보통신부 소관인 ‘클라우드 보안 인증’(CSAP)을 거쳐야 하며 상·중·하 등급으로 구분된다. 심사는 한국인터넷진흥원(KISA)이 맡는다.
업계에 따르면 현재 정부는 CSAP를 자율 민간 인증제로 전환하는 것을 검토 중이다. 대신 국정원이 별도의 검증체계 신설을 추진하는 것으로 알려졌다.
[출처: gettyimagesbank]
CSAP에 N2SF·적합성 검증까지... “번거로워요”
이를 두고 클라우드 업계와 보안 전문가들은 의견이 분분하다. 클라우드 사업자 입장에서는 제도의 효율화를, 보안 전문가들은 보안성의 강화를 선호하기 때문이다.
거론 중인 개편안대로라면 클라우드 사업자 입장에서 효율성 개선으로 보일 수 있다. 현재 공공 부문에 클라우드를 공급할 때 CSAP 인증과 국가정보원의 ‘보안 적합성 인증’을 모두 거쳐야 하는 게 번거롭다는 여론이 있다.
과기정통부의 CSAP가 면제된다면, 인증이 국정원으로 일원화된다는 면에서 간소화가 기대되는 대목이다. 하지만 사업자들 사이에서는 국정원에서 검토 중인 것으로 알려진 새로운 검증체계 신설에 대한 두려움도 공존한다.
과기정통부는 규제보다는 산업 진흥에 초점을 두는 부처다. 이에 CSAP도 국정원의 규제 대비 클라우드 산업 ‘진흥’에 무게를 둔 측면이 있다는게 보안 전문가들의 지적이다. 반면 국정원의 검증은 보안성에 무게를 두기 때문에, 새로운 검증체계 신설 시 오히려 더 까다로워질 수 있다는 점에서 선뜻 선호하기 어려운 것이다. 또 국가 망 보안체계(N2SF) 가이드라인 역시 클라우드 관련 제로트러스트에 대해 다루는 만큼, 중복적인 컴플라이언스 문제는 지속될 것이라는 우려다.
“현행 제도는 ‘진흥’에 무게... 클라우드 특화 검증 부재”
반면 보안 전문가들 사이에서는 국정원이 클라우드에 특화된 검증 체계를 강화해야 한다는 지적이 나온다. 현재 공공기관에 IT 시스템이나 소프트웨어 공급 시 거쳐야 하는 국정원의 ‘보안 적합성 검토’는 클라우드에 특화된 기준이 아니라는 이유다. 특히 ‘진흥’보다는 ‘보안성’을 고려한 기준 신설이 필요하다는 목소리가 나온다.
보안 전문가들은 국정원 N2SF에 담긴 클라우드를 위한 제로트러스트 부분이 주로 접속구간, 즉 ‘프론트엔드’ 부분에 집중된 측면도 지적한다. 관리시스템인 ‘백엔드’를 다루는 부분은 아직 보강이 필요하다는 설명이다.
공공 클라우드 분야 한 전문가는 “현행 공공 클라우드 보안 인증은 과기정통부의 CSAP와 국정원의 N2SF 및 보안 적합성 검증 등 양 기관의 여러 요구를 모두 충족해야 하기에, 중복성 개선이 필요하다는 점은 클라우드 사업자들도, 보안 전문가들도 공감한다”며 “하지만 양쪽이 원하는 개편 방향은 결이 다르다. 사업자들은 덜 까다롭길 바라고, 보안 전문가들은 더 치밀하고 제대로 된 보안성 검증이 갖춰져야 한다는 입장”이라고 밝혔다.
그는 “미국 국립기술표준연구소(NIST)의 경우 백엔드 부분의 클라우드 보안도 다루고 있는데, 우리 N2SF 역시 계속 보강해 나가고 있는 것으로 알고있다”고 말했다.
인증 제도 개편의 방향은 말그대로 ‘보안 인증’ 제도인 만큼 ‘진흥’보다는 ‘보안’에 초점을 둬야하고, 일반 시스템용과 차이가 없는 획일적 기준이 아닌 클라우드에 최적화된 보안성 검증이 마련돼야 한다는 게 보안 전문가들의 설명이다.
공공분야 보안 분야 한 전문가는 “제대로된 보안을 갖춰야 AI 강국과도 연결되는 클라우드 산업 ‘진흥’ 역시 근본적인 체력을 갖출 수 있을 것”이라고 강조했다.
한편, 한국인터넷진흥원 관계자는 공공 클라우드 인증 제도 개편이 업계에서 거론되는 것과 관련해 “현재 여러 부처에서 검토 중인 사안으로 자세한 내용은 현재로서는 확인이 어렵다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 중복적 규제 개편 필요성 제기
2. 간소·효율화로 진흥 지원 vs 보안성 강화 클라우드 특화 검증
3. “보안에 초점둬야 진흥으로 연결되는 기초공사”
[보안뉴스 강현주 기자] 공공기관 도입용 클라우드 보안 인증 개편 가능성이 거론되는 가운데, ‘진흥’ 보다는 ‘보안’에 초점을 둔 클라우드 특화 적합성 검증이 강화돼야한다는 목소리가 나오고있다. 탄탄한 보안이 결국 진흥으로 연결된다는 지적이다.
현재 공공 부문에 클라우드를 공급하기 위해서는 과학기술정보통신부 소관인 ‘클라우드 보안 인증’(CSAP)을 거쳐야 하며 상·중·하 등급으로 구분된다. 심사는 한국인터넷진흥원(KISA)이 맡는다.
업계에 따르면 현재 정부는 CSAP를 자율 민간 인증제로 전환하는 것을 검토 중이다. 대신 국정원이 별도의 검증체계 신설을 추진하는 것으로 알려졌다.
[출처: gettyimagesbank]
CSAP에 N2SF·적합성 검증까지... “번거로워요”
이를 두고 클라우드 업계와 보안 전문가들은 의견이 분분하다. 클라우드 사업자 입장에서는 제도의 효율화를, 보안 전문가들은 보안성의 강화를 선호하기 때문이다.
거론 중인 개편안대로라면 클라우드 사업자 입장에서 효율성 개선으로 보일 수 있다. 현재 공공 부문에 클라우드를 공급할 때 CSAP 인증과 국가정보원의 ‘보안 적합성 인증’을 모두 거쳐야 하는 게 번거롭다는 여론이 있다.
과기정통부의 CSAP가 면제된다면, 인증이 국정원으로 일원화된다는 면에서 간소화가 기대되는 대목이다. 하지만 사업자들 사이에서는 국정원에서 검토 중인 것으로 알려진 새로운 검증체계 신설에 대한 두려움도 공존한다.
과기정통부는 규제보다는 산업 진흥에 초점을 두는 부처다. 이에 CSAP도 국정원의 규제 대비 클라우드 산업 ‘진흥’에 무게를 둔 측면이 있다는게 보안 전문가들의 지적이다. 반면 국정원의 검증은 보안성에 무게를 두기 때문에, 새로운 검증체계 신설 시 오히려 더 까다로워질 수 있다는 점에서 선뜻 선호하기 어려운 것이다. 또 국가 망 보안체계(N2SF) 가이드라인 역시 클라우드 관련 제로트러스트에 대해 다루는 만큼, 중복적인 컴플라이언스 문제는 지속될 것이라는 우려다.
“현행 제도는 ‘진흥’에 무게... 클라우드 특화 검증 부재”
반면 보안 전문가들 사이에서는 국정원이 클라우드에 특화된 검증 체계를 강화해야 한다는 지적이 나온다. 현재 공공기관에 IT 시스템이나 소프트웨어 공급 시 거쳐야 하는 국정원의 ‘보안 적합성 검토’는 클라우드에 특화된 기준이 아니라는 이유다. 특히 ‘진흥’보다는 ‘보안성’을 고려한 기준 신설이 필요하다는 목소리가 나온다.
보안 전문가들은 국정원 N2SF에 담긴 클라우드를 위한 제로트러스트 부분이 주로 접속구간, 즉 ‘프론트엔드’ 부분에 집중된 측면도 지적한다. 관리시스템인 ‘백엔드’를 다루는 부분은 아직 보강이 필요하다는 설명이다.
공공 클라우드 분야 한 전문가는 “현행 공공 클라우드 보안 인증은 과기정통부의 CSAP와 국정원의 N2SF 및 보안 적합성 검증 등 양 기관의 여러 요구를 모두 충족해야 하기에, 중복성 개선이 필요하다는 점은 클라우드 사업자들도, 보안 전문가들도 공감한다”며 “하지만 양쪽이 원하는 개편 방향은 결이 다르다. 사업자들은 덜 까다롭길 바라고, 보안 전문가들은 더 치밀하고 제대로 된 보안성 검증이 갖춰져야 한다는 입장”이라고 밝혔다.
그는 “미국 국립기술표준연구소(NIST)의 경우 백엔드 부분의 클라우드 보안도 다루고 있는데, 우리 N2SF 역시 계속 보강해 나가고 있는 것으로 알고있다”고 말했다.
인증 제도 개편의 방향은 말그대로 ‘보안 인증’ 제도인 만큼 ‘진흥’보다는 ‘보안’에 초점을 둬야하고, 일반 시스템용과 차이가 없는 획일적 기준이 아닌 클라우드에 최적화된 보안성 검증이 마련돼야 한다는 게 보안 전문가들의 설명이다.
공공분야 보안 분야 한 전문가는 “제대로된 보안을 갖춰야 AI 강국과도 연결되는 클라우드 산업 ‘진흥’ 역시 근본적인 체력을 갖출 수 있을 것”이라고 강조했다.
한편, 한국인터넷진흥원 관계자는 공공 클라우드 인증 제도 개편이 업계에서 거론되는 것과 관련해 “현재 여러 부처에서 검토 중인 사안으로 자세한 내용은 현재로서는 확인이 어렵다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png){kind=spacer}
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
