‘클라우드서비스 보안인증제’ 지난해 취득 기업 27곳 살펴봤더니

2016년 ‘클라우드서비스 보안인증제’ 도입...인증 취득 기업, 매년 소폭 증가 추세
SaaS 표준·간편, IaaS, PaaS 등 4가지로 세분화...인증기간은 3~5년으로 종류별 달라
지난해 SaaS, ‘간편’ 19개·‘표준’ 8개 인증...보안인증제의 중요성 더욱 커질 듯

[보안뉴스 김영명 기자] 2023년은 디지털 전환이 본격화되면서 클라우드 도입도 한층 가속화될 것으로 보인다. 특히, 산업 전반에서의 비대면 추세가 확산됨에 따라 클라우드 서비스 시장이 커지면서 클라우드 보안의 중요성도 더욱 커질 것으로 보인다. 이러한 가운데 ‘클라우드서비스 보안인증제’에 대한 관심도 높아지고 있다.

‘클라우드서비스 보안인증제’는 유형별 다양한 민간 클라우드 서비스의 보안 안전성과 신뢰성을 검증한 후 공공기관에 공급하는 한편, 객관적이고 공정하게 클라우드 서비스의 보안성을 평가하기 위해 2016년에 전면 도입됐다.

한국인터넷진흥원이 평가·인증하는 이 제도는 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’(법률 제17344호) 제23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관에 요청하는 경우 인증기관이 평가 및 인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하게 된다.

[이미지=utoimage]

클라우드 보안인증제는 어떤 자원을 제공하느냐에 따라 크게 △SaaS(Software as a Service, 서비스로서의 소프트웨어)(표준·간편) △IaaS(Infrastructure as a Service, 서비스로서의 인프라스트럭처) △PaaS(Platform as a Service, 서비스로서의 플랫폼) 등 4개로 세분화된다.

크게 △최초평가 △사후평가 △갱신평가 등으로 나눠 진행되며, 인증 기간은 5년(SaaS 간편등급은 3년)의 유효기간을 부여한다. 주요 평가단계별 소요일수는 △IaaS는 22일 △SaaS 표준등급은 17일 △SaaS 간편등급은 14일 △DaaS는 19일이 소요된다. 먼저 IaaS는 △사전컨설팅(2일) △서면·현장평가(5일) 및 취약점 점검(10일)이 동시 진행되며, 그 이후 10일 동안 △모의침투 테스트(5일) △이행점검(5일) 등이 진행된다.

지난해 클라우드 보안인증은 총 27곳이 인증을 획득했으며, 모두 SaaS 인증을 받았다. 구체적으로 구분하면 SaaS 간편등급은 19곳, SaaS 표준등급에서는 8곳이 인증을 취득했다.

SaaS 간편등급의 경우 상반기에는 △멀티클라우드 매니지먼트 기업 디딤365는 ‘SMSNow’(2022년 1월 13일~2025년 1월 12일, 취소) △인공지능·빅데이터 제공기업 와이즈넛은 ‘현명한 앤써니’(2022년 2월 16일~2025년 2월 15일) △공공부문 특화 온라인교육기관 한국공교육원은 ‘민방위 교육훈련 통합관리 솔루션’ 및 ‘예비군 원격교육 시스템’(2022년 3월 18일~2025년 3월 17일) △호스팅 서비스 기업 가비아는 ‘하이웍스 단독 구축형 웹메일’(2022년 4월 7일~2025년 4월 6일) △맞춤형 화상 서비스 제공 기업 온더라이브는 ‘온더라이브 클라우드’(2022년 4월 7일~2025년 4월 6일) △디지털 트랜스포메이션 지원 컨설팅 전문 기업 이노디지털은 ‘미세와치(공기질 관리 서비스)’(2022년 5월 3일~2025년 5월 2일) △시스템 통합 및 솔루션 소프트웨어 기업 SQI소프트는 ‘건축물에너지소요량 간이평가시스템(ZeBEST)’(2022년 5월 24일~2025년 5월 23일) △웹메일 소프트웨어 전문기업 크리니티는 ‘크리니티 G-Cloud 보안메일’(2022년 5월 24일~2025년 5월 23일) △이러닝 클라우드 시스템 제공 기업 맑은소프트는 ‘맑은이러닝’(2022년 6월 30일~2025년 6월 29일) 등이 인증을 취득했다.

이어 하반기에는 △디지털트윈 클라우드 서비스 기업 이지스는 ‘DIGITAL TWIN CLOUD’(2022년 8월 9일~2025년 8월 8일) △클라우드 매니지드 서비스 기업 베스핀글로벌은 ‘OpsNow-G’(2022년 9월 23일~2025년 9월 22일) △소프트웨어 개발 및 솔루션서비스 전문기업 인포빌은 ‘재난현장조치행동매뉴얼시스템(LiveDRMS)’(2022년 9월 23일~2025년 9월 22일) △AI 기반 디지털화 기술로 기업의 비정형 데이터를 처리하는 기업 악어디지털은 ‘Hyperbridge(AI 기록물 통합관리 시스템)’(2022년 10월 19일~2025년 10월 18일) △스마트도서관 정보서비스시스템 및 지식 콘텐츠 유통 소프트웨어 기업 아이티투게더는 ‘스마트 아이립스’(2022년 10월 19일~2025년 10월 18일) △기업용 클라우드 서비스 제공 기업 네이버클라우드는 ‘Naver Works for 공공용’(2022년 11월 30일~2025년 11월 29일) △실시간 영상협업 플랫폼 제공 기업 유프리즘은 ‘uPrism Meetings’(2022년 11월 30일~2025년 11월 29일) △빅데이터 구축 및 클라우드 솔루션 개발 기업 에이콘컴퍼니는 ‘도매시장 유통정보 시스템’(2022년 11월 30일~2025년 11월 29일) △전시 및 광고용 조명장치 제조 기업 빛가람시스템은 ‘디지털 사이니지 통합 관제 플랫폼’(2022년 11월 30일~2025년 11월 29일) 등이 인증을 획득했다.

SaaS 표준등급에서는 △웹보안 전문 기업 모니터랩은 ‘AIONCLOUD Website Protection’(2022년 3월 4일~2027년 3월 3일) △애플리케이션 보안과 SAST 분야 전문 기업 트리니티소프트는 ‘CODE-RAY CLOUD’(2022년 3월 18일~2027년 3월 17일) △보안시스템 서비스업 스파이스웨어는 ‘Spiceware One’ 및 ‘Spiceware PII ANP’(이상 2022년 4월 7일~2027년 4월 6일) △인사노무전문 소프트웨어 회사 위소프트는 ‘한비자(Hanbiza)-인사, 급여, 아웃소싱’(2022년 5월 3일~2027년 5월 2일) △클라우드 보안 솔루션 기업 테이텀 시큐리티는 ‘테이텀 C3’(2022년 5월 3일~2027년 5월 2일) △영상인식 인공지능 솔루션 제공기업 알체라는 ‘AIIRPass’(2022년 6월 30일~2027년 6월 29일) △ICT 솔루션 전문 기업 이즈파크는 ‘StrategyGATE(전략성과관리솔루션)’(2022년 8월 9일~2027년 8월 8일) 등 8곳이 인증을 받았다.

▲2022년 클라우드 보안 인증제 인증 기업 현황[자료=KISA]

한편, 지난해 가장 먼저 인증을 받았던 디딤365(‘SMSNow’, CSAP-2022-001호, SaaS 간편등급)는 5년의 유효기간 중 1년이 채 지나기도 전에 인증이 취소됐다. 이와 관련해 KISA 클라우드인증팀 관계자는 “클라우드 보안인증제는 최초 평가 이후에도 꾸준히 클라우드 인증 준수 여부를 검사하게 된다”며 “여러 평가 항목이 마련돼 있지만, 이를 지키지 못하거나 다른 사정이 있는 경우 취소하기도 한다”고 밝혔다. 이어 “인증 여부는 인증위원회의 심의를 거쳐 최종 결정된다. 최초평가에서만 인증위원회의 심의를 거치지만, 사후평가 과정에서도 기존에 제시한 인증 기준을 유지하지 못하는 등의 이슈가 된다면 인증위원회의 심의대상이 될 수도 있다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)