中, 클라우드 벤더 신뢰등급 인증제 개발…왜?

자국외 IT기업 퇴출용으로 활용할 듯

일반입력 :2014/12/23 12:07

중국이 클라우드 컴퓨팅 서비스 및 솔루션 제공업체에 대한 신뢰도 등급을 개발한다. 중국외 IT기업 제품을 정부기관에서 퇴출하려는 움직임과 맥을 같이하는 것으로 보인다.

22일 지디넷아시아에 따르면, 중국은 정부 프로젝트에서 참고할 수 있는 클라우드 컴퓨팅 벤더에 대한 보안 신뢰성 등급지수를 개발할 계획이다.

줘 샤오둥 중국 정보보안연구소 인더스트리그룹 부사장은 “보안등급 메커니즘의 기본 아이디어는 하드웨어, 소프트웨어, 서비스 제공자의 신뢰성을 알아내는 것”이라며 “정부가 전체 생태계에 대한 통합적 제어력을 보유할 수 있다는 걸 보증하기 위해서”라고 밝혔다.

그에 따르면, 중국정부는 미국 정부의 FedRAMP(Federal Risk and Authorization Management Program)와 유사하게 클라우드 보안 평가, 인증, 모니터링 시스템을 운영하게 된다.

FedRAMP 등 유사 등급제가 시작된 건 2년 전이다. 이 제도는 미국 정부기관에 클라우드 서비스를 판매하는 회사에 대한 보안성 평가, 인증, 모니터링 등의 표준화, 합리화를 추구하며 만들어졌다. 이후 마이크로소프트 애저, 아마존웹서비스 등이 FedRAMP 인증을 받았다.

줘 샤오둥을 비롯한 한 팀이 중국 정부에 의해 배포되는 클라우드 제품의 보안취약점을 방지하기 위한 국가 표준 초안 작성에 참여하고 있다. 이 표준은 내년 4월 공개될 전망이다.

외국계 클라우드 벤더는 평가를 받아야 하며, 보안조치 목적의 핵심 운영데이터와 소스코드를 제출해야 한다. 미국 IT기업이 소스코드와 핵심 운영데이터를 타국가 정부에 제출하는 경우는 매우 드문 일이다.

차이나데일리는 정부 조달 계약에 참여하는 외국계 기업을 추출하기 위한 행보라고 보도했다.

관련기사

중국 정부가 표방하는 제도 목표는 증가하는 IT보안 우려를 해소하기 위해서다. 그러나 2020년까지 중국외 IT기업의 제품을 중국 자체개발 제품으로 대체한다는 발표가 현실적 배경인 것으로 분석된다. 중국 정부는 금융, 국방, 성정부, 정부기관 등의 외국계 IT기업 제품을 퇴출한다는 목표를 세웠다.

차이나데일리는 베이징에 본사를 둔 가상화업체 ‘수전인포메이션인더스트리’란 회사가 올해초 우시(Wuxi)의 클라우드 프로젝트에서 VM웨어를 자사 제품으로 대체했다고 전했다.