[3줄 요약]
1. “이중 규제 개선했지만 전문성과 투명성 확보해야”
2. “클라우드 네이티브 전제 보안 설계 필수”
3. CSAP 상중하 폐지... 외산 장벽 허물어지나
[보안뉴스 강현주 기자] 공공 클라우드 보안 인증이 국가정보원으로 일원화되는 것을 두고 국내 클라우드 업계에는 기대와 우려가 교차한다. 이중 규제가 해소된 것은 환영하지만, 국정원의 신규 검증 제도가 전문성과 투명성을 갖춰주는 게 중요하다는 반응이다.
20일 국정원과 과기정통부는 공공 클라우드 보안 인증의 국정원 일원화를 공식 발표했다.
과기정통부의 ‘클라우드보안인증’(CSAP)과 국정원의 보안 검증이라는 이중 절차를 거쳐야 했던 인증이 국정원의 ‘신규 검증 제도’로 단일화되는 게 골자다. 기존 CSAP는 정보보호관리체계(ISMS)에 통합돼 민간 자율로 운영된다.
[출처: gettyimagesbank]
기능과 보안 둘 다 담보할 ‘전문성’ 관건
국내 클라우드 사업자들은 일단 이중 규제 해소에 대해 환영하는 분위기다. 그동안 공공 클라우드 보안 인증 제도는 ‘이중고’면서도 ‘클라우드 특화 보안 전문성’이 미흡하다는 평가를 받아왔다.
사업자들은 “검증 체계가 공공은 국정원, 민간은 ISMS로 정리되면 기업과 공공기관 모두 예측 가능한 절차 안에서 대응할 수 있게 될 것으로 기대된다”라며 긍정적인 반응이다.
하지만 국정원이 검증 주체가 되면 기술 기준이 더 보수적으로 운영될 수 있다는 두려움이 클라우드 업계에 감돈다. 산업 진흥을 병행해 온 과기정통부와 달리 국정원은 국가 안보가 주 현안인 기관이기 때문이다.
특히 신규 검증 제도에 ‘클라우드 전문성’이 반드시 반영돼야 한다는 목소리다. 클라우드 사용성과 보안성을 모두 담보하기 위해 ‘클라우드 네이티브’용 보안 설계가 필요하다는 지적이다.
‘투명성’의 중요성도 부각된다. 검토 기준과 절차의 투명성이 담보되지 않을 경우, 기업들이 감수해야 할 불확실성도 커질 수 있다는 우려다.
국정원과 과기정통부가 이번 개편 발표에서 ‘민간 전문성’ 활용을 강조한 것은 이 같은 여론을 염두에 둔 것으로 보인다. 실제로 ‘민관 검증심의위원회’가 검증 결과의 공정성·타당성 여부를 평가한다. 이 심의위는 과기정통부 추천인사 등 관계기관 및 산·학·연 전문가로 구성된다. 국정원은 올해 상반기 산업계를 대상으로 검증제도 운영 의견을 수렴할 방침이다.
또 클라우드 보안검증 운영지침과 클라우드 검증항목을 담은 안내서를 제정해 대외에 공개해 투명성을 높인다는 설명이다.
한 공공 클라우드 보안 분야 아키텍트는 “공공 클라우드 보안은 클라우드의 기능과 혁신성을 최대한 활용할 수 있는 토대 위에 있어야 하고, 온프레미스와 다른 ‘클라우드 네이티브’를 전제로 설계해야 한다”며 “이를 위해 글로벌 실력을 갖춘 민간 클라우드 전문가들도 투입돼야 할 것”이라고 말했다.
“국산 기술 주권” vs “자생력과 데이터 주권 확립”
클라우드 기업들의 CSAP 준비를 위한 기존 투자 보호 문제도 부각됐다.
클라우드 업계 한 관계자는 “사업자들은 이미 현행 CSAP 기준에 맞춰 상당한 인프라 투자를 마친 상태로, 제도 개편 과정에서 기술 요구 사항이 급격히 변하거나 보안 기준이 상향될 경우, 추가 비용 부담이 불가피하다”고 우려했다.
이와 관련 정부는 “기존 CSAP 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보할 방침”이라고 밝혔다. 신규 제도는 중복 요소를 제거하고 합리화·최적화를 통해 사업자들의 부담을 오히려 줄여줄 것이라는 게 정부의 기대다.
이와 함께 정부는 신규 검증 제도는 CSAP의 데이터 등급 분류인 ‘상중하’는 폐지하고, 국가 망 보안체계의 ‘기밀(C), 민감(S), 공개(O)’ 등급과 정합성을 맞춘다는 방침이다. 이 부분은 국내 클라우드 업계에서 특히 민감하게 주시하는 부분이다.
그동안 CSAP의 ‘상중하’는 외산의 공공 진출의 장벽으로 작용한 면이 있었다는 게 업계 관계자들의 설명이다. 외산은 ‘하’ 등급 획득까지 허용돼왔기 때문이다. 상중하 분류가 사라지면 국산과 외산의 경계가 허물어질 수 있다는 얘기다.
과기정통부와 국정원은 국산과 외산의 규제 허들 관련 “특정 국가를 배제하는 항목은 하나도 없다”며 “통상 문제는 정부의 통상 트랙 논의 결과에 맞춰야 하는 것으로, 아직은 구체적으로 확인이 어렵다”는 입장이다.
이에 대해서는 의견이 분분하다. “국내 클라우드 생태계의 자생력 보호 및 기술 주권 관점의 검토가 필요하다”는 목소리가 나오는 한편, “국산과 외산의 구분보다는 데이터 주권 확립 체계 확보가 핵심이며, 국산도 장벽 의존보다는 경쟁력을 갖춰야 한다”는 지적도 나온다.
[강현주 기자(jjoo@boannews.com)]
1. “이중 규제 개선했지만 전문성과 투명성 확보해야”
2. “클라우드 네이티브 전제 보안 설계 필수”
3. CSAP 상중하 폐지... 외산 장벽 허물어지나
[보안뉴스 강현주 기자] 공공 클라우드 보안 인증이 국가정보원으로 일원화되는 것을 두고 국내 클라우드 업계에는 기대와 우려가 교차한다. 이중 규제가 해소된 것은 환영하지만, 국정원의 신규 검증 제도가 전문성과 투명성을 갖춰주는 게 중요하다는 반응이다.
20일 국정원과 과기정통부는 공공 클라우드 보안 인증의 국정원 일원화를 공식 발표했다.
과기정통부의 ‘클라우드보안인증’(CSAP)과 국정원의 보안 검증이라는 이중 절차를 거쳐야 했던 인증이 국정원의 ‘신규 검증 제도’로 단일화되는 게 골자다. 기존 CSAP는 정보보호관리체계(ISMS)에 통합돼 민간 자율로 운영된다.
[출처: gettyimagesbank]
기능과 보안 둘 다 담보할 ‘전문성’ 관건
국내 클라우드 사업자들은 일단 이중 규제 해소에 대해 환영하는 분위기다. 그동안 공공 클라우드 보안 인증 제도는 ‘이중고’면서도 ‘클라우드 특화 보안 전문성’이 미흡하다는 평가를 받아왔다.
사업자들은 “검증 체계가 공공은 국정원, 민간은 ISMS로 정리되면 기업과 공공기관 모두 예측 가능한 절차 안에서 대응할 수 있게 될 것으로 기대된다”라며 긍정적인 반응이다.
하지만 국정원이 검증 주체가 되면 기술 기준이 더 보수적으로 운영될 수 있다는 두려움이 클라우드 업계에 감돈다. 산업 진흥을 병행해 온 과기정통부와 달리 국정원은 국가 안보가 주 현안인 기관이기 때문이다.
특히 신규 검증 제도에 ‘클라우드 전문성’이 반드시 반영돼야 한다는 목소리다. 클라우드 사용성과 보안성을 모두 담보하기 위해 ‘클라우드 네이티브’용 보안 설계가 필요하다는 지적이다.
‘투명성’의 중요성도 부각된다. 검토 기준과 절차의 투명성이 담보되지 않을 경우, 기업들이 감수해야 할 불확실성도 커질 수 있다는 우려다.
국정원과 과기정통부가 이번 개편 발표에서 ‘민간 전문성’ 활용을 강조한 것은 이 같은 여론을 염두에 둔 것으로 보인다. 실제로 ‘민관 검증심의위원회’가 검증 결과의 공정성·타당성 여부를 평가한다. 이 심의위는 과기정통부 추천인사 등 관계기관 및 산·학·연 전문가로 구성된다. 국정원은 올해 상반기 산업계를 대상으로 검증제도 운영 의견을 수렴할 방침이다.
또 클라우드 보안검증 운영지침과 클라우드 검증항목을 담은 안내서를 제정해 대외에 공개해 투명성을 높인다는 설명이다.
한 공공 클라우드 보안 분야 아키텍트는 “공공 클라우드 보안은 클라우드의 기능과 혁신성을 최대한 활용할 수 있는 토대 위에 있어야 하고, 온프레미스와 다른 ‘클라우드 네이티브’를 전제로 설계해야 한다”며 “이를 위해 글로벌 실력을 갖춘 민간 클라우드 전문가들도 투입돼야 할 것”이라고 말했다.
“국산 기술 주권” vs “자생력과 데이터 주권 확립”
클라우드 기업들의 CSAP 준비를 위한 기존 투자 보호 문제도 부각됐다.
클라우드 업계 한 관계자는 “사업자들은 이미 현행 CSAP 기준에 맞춰 상당한 인프라 투자를 마친 상태로, 제도 개편 과정에서 기술 요구 사항이 급격히 변하거나 보안 기준이 상향될 경우, 추가 비용 부담이 불가피하다”고 우려했다.
이와 관련 정부는 “기존 CSAP 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보할 방침”이라고 밝혔다. 신규 제도는 중복 요소를 제거하고 합리화·최적화를 통해 사업자들의 부담을 오히려 줄여줄 것이라는 게 정부의 기대다.
이와 함께 정부는 신규 검증 제도는 CSAP의 데이터 등급 분류인 ‘상중하’는 폐지하고, 국가 망 보안체계의 ‘기밀(C), 민감(S), 공개(O)’ 등급과 정합성을 맞춘다는 방침이다. 이 부분은 국내 클라우드 업계에서 특히 민감하게 주시하는 부분이다.
그동안 CSAP의 ‘상중하’는 외산의 공공 진출의 장벽으로 작용한 면이 있었다는 게 업계 관계자들의 설명이다. 외산은 ‘하’ 등급 획득까지 허용돼왔기 때문이다. 상중하 분류가 사라지면 국산과 외산의 경계가 허물어질 수 있다는 얘기다.
과기정통부와 국정원은 국산과 외산의 규제 허들 관련 “특정 국가를 배제하는 항목은 하나도 없다”며 “통상 문제는 정부의 통상 트랙 논의 결과에 맞춰야 하는 것으로, 아직은 구체적으로 확인이 어렵다”는 입장이다.
이에 대해서는 의견이 분분하다. “국내 클라우드 생태계의 자생력 보호 및 기술 주권 관점의 검토가 필요하다”는 목소리가 나오는 한편, “국산과 외산의 구분보다는 데이터 주권 확립 체계 확보가 핵심이며, 국산도 장벽 의존보다는 경쟁력을 갖춰야 한다”는 지적도 나온다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
