KISA, 클라우드 기반 SW 보안인증에 '간편등급' 신설..부담↓

박정환 한국인터넷진흥원 클라우드인증팀장이 27일 오후 서울 서초구 쉐라톤 팰리스 강남 호텔에서 열린 ‘국산 상용SW기업의 공공클라우드 진출 활성화를 위한 SaaS 보안 인증 설명회’에서 제도 개선 사항에 대해 소개하고 있다. 사진=이재운기자

[이데일리 이재운 기자] 국내 소프트웨어(SW) 분야의 가장 큰 구매처로 꼽히는 곳이 공공 분야이다. 클라우드 시대를 맞아 공공분야 안전성을 위한 ‘클라우드에 맞는 보안’과 보안인증 제도가 수립됐고, 이후 사업자의 부담을 덜어주면서 필요한 수준의 보안성을 갖추는 개선 작업이 이어졌다. 한국상용소프트웨어산업협회와 한국클라우드산업협회는 27일 서울 서초구 쉐라톤 팰리스 강남 호텔에서 이와 관련한 설명회를 갖고 주요 사항에 대해 공유하는 자리를 마련했다.

클라우드 보안인증제도는 정부기관에 클라우드 기반 서비스를 제공하는데 있어 지켜야 할 보안 요소를 제대로 지켰다는 점을 인증하기 위해 2016년 처음 마련됐다. 클라우드에 기반한 IT 인프라(IaaS)에 이어 소프트웨어(SaaS)도 클라우드를 통한 서비스 구독형(as a service)이 확대되면서, 과학기술정보통신부와 한국인터넷진흥원(KISA)은 이를 인증하는 제도를 마련했다. 제품 이용기관의 주요 이용자 정보를 데이터베이스(DB)에 별도로 저장해야 하는 등 78개 항목을 준수하도록 요구했다.

기존에 표준등급 획득을 감당하기에는 대부분 중소기업인 국내 상용SW 업체에게는 부담이 크다는 호소에, 논의를 거쳐 KISA는 지난해 말부터 착수한 SaaS 보안 인증제도를 확대 개편, 지난달 ‘간편 등급’을 만들었다.

박정환 KISA 클라우드인증팀장은 “관계 부처가 SaaS 보안인증 부담 완화에 따른 회의를 여러 차례 진행하며 대안을 논의해왔다”며 “국내 상용SW 기업이 대부분이 중소기업이고 아직 시행초기임을 감안해 표준등급보다 48개가 적은 30개 항목만 준수하면 인증을 받을 수 있는 간편등급을 마련했다”고 설명했다.

간편등급은 ‘최소의 안정성이 확보된 상태에서 기술적 취약점 위주로 점검’하는 취지에서 도입했다. 법령상 필수항목과 공공부분 보안요구사항 등 반드시 지켜야 할 요소 위주로 추려내고, 정책수립이나 계약 관련 항목 등을 덜어냈다. 또 모의침투 테스트 기간을 2주에서 1주로 줄이는 등 기간도 단축해 사업자들이 시간과 비용을 절감할 수 있게 했다.

최초평가에서는 25일이 필요한 표준등급에 비해 8일 짧은 17일만 소요되고, 사후평가도 표준등급보다 2일 적은 10일만에 평가를 진행한다. 3일이 걸리는 예비점검 대신 1~2일만에 끝나는 사전컨설팅으로 대체해 받을 수 있다.

최소한의 보안성은 갖춰야 공공 분야 납품이 가능한 만큼, 중요한 요소에 대해서는 반드시 준수할 필요성을 강조했다. 특히 관리적 부분에서 문제 발생 시 유지보수를 실시간으로 제공해야 하는 점을 감안, 지원·대응 체계를 정리한 절차서(매뉴얼)를 작성하고 이대로 서비스 지원이 이뤄지는지 여부를 평가한다고 강조했다. 기술적 부분에서는 취약점(CCE, CVE 등) 점검과 소스코드 분석, 모의침투 등을 KISA가 직접 진행해 별도 준비는 필요없다.

이밖에 △인증서 유효기간을 3년에서 5년으로 연장 △사전구축신청서 처리절차를 승인제에서 신고제로 전환 △인증신청 시 사전점검 결과 제출 의무 제외 △신청서류 간소화 등도 주요 개선사항으로 소개했다.

클라우드 시스템 로그 보관기간을 6개월에서 1년으로 늘리고, 메일 서비스 공급 시에는 최근 기승을 부리는 사칭 이메일 피싱을 막을 주요 기술(SPF, DKIM, DMARC 등) 적용과 신고 버튼 탑재를 의무화했다. 이 조치는 내년 7월 16일까지 적용을 완료해야 한다. 박 팀장은 “내년도 사업에 참여할 경우에는 이들 사항을 아예 처음부터 적용하는 것이 좋다”고 덧붙였다.

이날 행사에서는 또 공공 클라우드 보안인증 지원사업을 진행하는 KT(030200)의 컨설팅 서비스와, 중소기업으로는 가장 먼저 SaaS 분야 클라우드 보안인증을 획득한 인프라닉스가 사례 발표를 진행하기도 했다.