AWS코리아, 클라우드서비스에 ISMS인증 신청

KISA "인증 범위 협의 중…의무 부과 대상 아냐"

컴퓨팅입력 :2017/04/24 10:13

아마존웹서비스(AWS)가 지난해 예고한대로 한국의 정보보호관리체계(ISMS) 인증을 신청한 것으로 확인됐다. 다국적 퍼블릭클라우드서비스 업체 가운데 ISMS인증을 신청한 첫 사례다. 마이크로소프트(MS)나 IBM같은 경쟁 사업자가 같은 움직임을 가져갈지 주목된다.

지난주 한국인터넷진흥원(KISA) 측은 관련 문의에 "AWS로부터 ISMS 인증 신청을 받았고 현재 인증 범위를 협의 중"이라며 "이변이 없다면 연내 심사를 진행할 수 있을 것"이라고 답했다.

AWS는 지난 2016년 1월 한국 소재 데이터센터를 기반으로 자사 클라우드서비스의 '서울 리전'을 제공하기 시작했다. 이어 2016년 12월 해당 인프라에 ISMS 인증을 받을 의사가 있음을 밝혔다. AWS 서비스를 활용하려는 국내 기업과 교육기관 요구사항에 대응하는 차원으로 풀이됐다.

[사진=Pixabay] 인증서. 계약서. 검증. 증명. 서명. 자격.

ISMS 인증은 국내 사업자의 정보보호 조치와 대응수준을 심사해 관련 체계, 설비를 갖췄다고 인정한 곳에 부여된다. KISA가 인증을 부여하는 주체다. 현행 정보통신망법상 특정형태 사업자나 일정규모 이상 서비스를 제공하는 '정보통신사업자'에게는 인증 받는 게 의무다.

KISA는 해마다 연내 의무 인증 받을 대상을 선정해 통보하고 있다. 정보통신망법상 인증 의무를 따르지 않는 사업자는 과태료 3천만원을 문다. 인증 의무는 매년 발생하기 때문에, 인증을 받지 않는 사업자는 매년 과태료를 내게 된다.

ISMS 인증 의무 대상 선정 방식엔 형평성 논란이 있다. 국내 사업자는 기준이 충족되면 반드시 인증 의무 대상에 포함되는데, AWS같은 덩치 큰 다국적 회사는 국내 사용자들에게 서비스를 제공하더라도 의무 대상에 포함되지 않고 있어서다.

KISA 측은 "ISMS 인증 심사 대상 단위가 법인이기 때문에 (인증 의무를 부과하려면) 기본적으로 국내에 법인을 둔 사업자여야 하고, 그 국내 법인명으로 (정보통신서비스부문에 해당하는) 매출이 발생해야 한다"고 설명했다.

다시 말해 국내에 법인을 두지 않았거나, 뒀더라도 수입이 국내법인 명의로 잡히지 않는 회사를 대상으로는, KISA가 ISMS 인증 의무를 부과하는 일이 사실상 불가능하다는 걸 인정한 셈이다. 형평성 측면에서는 국내 인증 의무 대상 사업자들의 불만이 지속될 전망이다.

관련기사

AWS에도 인증을 받아야 하는 의무는 부과되지 않았다. ISMS 인증을 받겠다고 신청한 게 자발적이었다는 설명이다. 이는 국내 고객사 중 ISMS 인증 의무가 부과되는 기업이나 조직이 있거나, 향후 나올 수 있음을 감안한 대응으로 짐작된다.

KISA 측은 "AWS 방침이 사업을 진행하면 해당 국가의 인증과 같은 요구사항을 준수하려 노력하는 것으로 알고 있고, 아직 문의는 없지만 마이크로소프트(MS)나 IBM같은 곳도 준비하고 있지 않을까 싶다"면서 "이들도 매출이 발생하면 인증 의무 대상이 된다"고 덧붙였다.