[기고] 클라우드 시대 본격화…보안인증제, 변화 필요하다


류재철 충남대 교수 겸 한국정보보호학회장

코로나 팬데믹(대유행) 이후 오프라인 기반 서비스가 온라인 서비스로 전환하면서 확장성이 뛰어난 클라우드 사용이 폭발적으로 증가하고 있다.

실제로 미국 시장조사 업체 시너지리서치그룹에 따르면 지난 2분기 전세계 클라우드 인프라 시장 규모는 작년 같은 기간보다 39% 성장했다. 또 시장조사 기관 가트너는 기업들의 클라우드 투자 비용이 올해 3천960억 달러(약 468조원)에서 이듬해 4천820억 달러(약 570조원)로 늘어날 것으로 예상했다.

하지만 다양한 정보가 공유·집중되는 클라우드의 특성상 데이터 유출, 서비스 중단 등 보안 사고에 대한 우려가 높다. 국내 보안기업 SK쉴더스 조사결과, 올 상반기에 탐지된 개인정보 유출 사고 중 클라우드에서 발생한 사고가 40%를 차지했다.

​따라서 클라우드 확산을 위해서는 서비스 안전성 확보가 우선돼야 한다. 이에 과학기술정보통신부와 한국인터넷진흥원(KISA)은 클라우드 보안인증 제도를 운영해 안전한 클라우드 환경을 조성하고자 노력하고 있다.

​최근 다양한 클라우드 서비스가 제공되고 정부의 디지털 뉴딜 정책 등에 따라 공공 정보 시스템이 클라우드로 전환되면서 클라우드 보안인증 수요도 나날이 증가하고 있다. 이 가운데 국내에서 클라우드 보안인증·평가 기관은 KISA가 유일한 상황이다.

향후 보안인증 수요가 높아지는 것을 고려하면 이같은 KISA의 단일 평가 체계는 한계가 있다. 인증 획득을 위한 평가 대기가 길어질 수 있어서다. 단기적으로 영세한 클라우드 사업자들이 적시에 시장에 진출하기 어려울 뿐 아니라 장기적으로는 국내 클라우드 산업 발전 속도에 영향을 미칠 수 있다.

안전한 클라우드 산업 발전을 위해 효율적인 제도 개선이 필요하다고 본다. 미 연방 클라우드 서비스 보안인증 프로그램(FedRAMP), 일본의 정보시스템 보안 관리·평가 프로그램(ISMAP), 국내 타 인증 제도들은 대부분 복수 평가기관 체계다.

클라우드 보안인증 역시 다수 평가기관을 통해 인증 획득이 가능토록 바뀌어야 한다. 이를 통해 클라우드 서비스 사업자들은 원하는 때에 늦지 않게 해당 인증을 받을 수 있게 된다. 클라우드 보안인증 법적 근거부터 민간 평가기관 지정, 운영 방안 등 마련까지 관련 법과 규정 보완이 선행돼야 한다.

클라우드 보안인증 제도는 사용자에게 서비스의 신뢰성을 보장하는 안전장치다. 클라우드 사업자들에게는 서비스의 보안 수준을 제고할 수 있는 기회를 제공한다. 급변하는 디지털 환경에 발맞춰 복수 평가기관 구축 등 클라우드 보안인증의 체계 개선 방안을 모색해야 할 시점이다.

/류재철 충남대 컴퓨터융합학부 교수 겸 한국정보보호학회장

류재철 충남대 컴퓨터융합학부 교수 [사진=정보보호학회]

류재철 교수는 현재 한국방송통신전파진흥원(KCA) 비상임이사, 한국정보보호학회장으로 재임 중이다. 한국인터넷진흥원(KISA) 비상임이사, 한국침해사고대응팀협의회장 등을 역임했다.








포토뉴스