기업과 기관이 사용하는 인프라 가운데 클라우드서비스 영역이 정보보호관리체계(ISMS) 인증심사 범위에 포함될 전망이다. 최근 한국인터넷진흥원(KISA) 측에서 이런 ISMS 인증심사 방침을 적용하겠다는 뜻을 밝혔다.
이에 따라 ISMS 인증심사를 받는 국내 기업과 기관은 직접 통제하지 않는 퍼블릭클라우드 서비스의 ISMS 인증요건 충족 여부도 심사를 받게 된다. 해당 클라우드사업자가 ISMS 인증을 받지 않았다면 사용 조직은 ISMS 인증심사를 못 받을 수 있다는 뜻이다.
ISMS 인증은 국내 사업자의 정보보호 조치와 대응수준을 심사해 관련 체계, 설비를 갖췄다고 인정한 곳에 부여된다. KISA가 인증을 부여하는 주체다. 현행 정보통신망법상 특정형태 사업자나 일정규모 이상 서비스를 제공하는 '정보통신사업자'에게는 인증 받는 게 의무다.
KISA는 해마다 연내 의무 인증 받을 대상을 선정해 통보하고 있다. 정보통신망법상 인증 의무를 따르지 않는 사업자는 과태료 3천만원을 문다. 인증 의무는 매년 발생하기 때문에, 인증을 받지 않는 사업자는 매년 과태료를 내게 된다.
클라우드서비스 개념이 확산되면서 ISMS 인증과 관련된 혼란이 커졌다. 기업이나 기관에서 클라우드서비스를 사용하고 있을 경우 ISMS 인증심사 과정에 해결되지 않는 문제가 있었다. ISMS 인증심사 방식엔 사용자가 속한 조직과 운영 인프라를 조직이 별개인 클라우드서비스가 고려되지 않은 탓이었다.
예를 들어 ISMS 인증심사를 받는 기업이 국내 사업자 클라우드서비스를 사용 중이면 그 영역을 함께 심사할 수 있었지만, 국내에 서버가 없는 국외 서비스를 사용 중일 경우 심사가 불가능했다. KISA는 이런 경우 클라우드 활용 영역을 ISMS 인증 범위에서 제외한다는 단서를 달고 인증 업무를 해왔다.
또 클라우드서비스를 제공하는 사업자가 직접 ISMS 인증심사를 받을 경우, 그 서비스를 도입한 사용자들의 ISMS 인증 범위나 의무에 변화가 있는지도 분명하지 않았다. 국내 통신사 인터넷데이터센터(IDC) 코로케이션을 통해 국내 퍼블릭클라우드 서비스를 제공하는 한 다국적 기업도 지난해말 "우리가 ISMS 인증을 받았을 때 사용자에게 여전히 ISMS 인증이 필요한지가 불확실하다"는 고민을 토로했다.
KISA는 이처럼 클라우드서비스 사용 시나리오를 고려하지 않았던 ISMS 인증이 최근 업계 실정과 맞지 않다고 판단했다.
26일 현재 아마존웹서비스(AWS), 마이크로소프트(MS) 애저, IBM 소프트레이어(블루믹스), 구글 컴퓨트 엔진(GCE) 등 다국적 기업들의 퍼블릭클라우드 서비스가 국내 시장에서 영업과 마케팅을 벌이고 있다. 국내 사업자 서비스로 수년째 제공돼 온 KT 유클라우드비즈와 최근 론칭한 NBP의 '네이버클라우드플랫폼(NCP)'도 있다.
KISA 지상호 보안인증지원단장은 "클라우드사업자들의 ISMS 인증여부와 그 서비스 사용자들의 ISMS 인증여부 관계에 대한 고민은, 그간 클라우드사업자 가운데 ISMS 인증을 받은 곳이 하나도 없었고 ISMS를 운영하면서도 클라우드서비스를 고려하지 않았기 때문에 생긴 이슈"라며 "이제 국내에서 클라우드서비스를 본격적으로 제공하고 있고 한국 사업자도 몇 곳이 생겼다"고 지적했다.
지 단장은 KISA의 인증심사 방침에 이를 반영하기로 했다고 밝혔다.
그는 "어떤 룰을 정하고 있냐면, (ISMS 인증 대상이 쓰는) 클라우드서비스 사업자가 ISMS 인증을 받았다면 그 이용하는 부분, 사업자의 인프라 영역이 ISMS 인증요건을 충족했다는 점은 신뢰하고 인증 대상의 나머지 운영 시스템만 보기로 했다"며 "역으로 인증 대상이 ISMS 인증을 안 받은 사업자의 클라우드를 쓴다면 인증 요건이 충족되지 않은 걸로 판단하기로 했다"고 설명했다.
이런 얘기다.
관련기사
- AWS코리아, 클라우드서비스에 ISMS인증 신청2017.04.26
- 대학 ISMS 인증 의무화, 연착륙 가능한가2017.04.26
- ISMS 인증 의무 대상, 의료-교육기관까지 확대2017.04.26
- 스마일서브, 클라우드용 3단계 보안서비스 제공2017.04.26
이제까지는 ISMS 인증심사 대상(사용자)이 사용 중인 클라우드서비스는 심사 범위에서 빠졌다. 앞으로는 포함된다. 다만, 해당 클라우드서비스가 그 사용자가 운영하는 인프라처럼 직접 심사되는 게 아니다. KISA는 클라우드서비스 사업자가 ISMS 인증을 받았다면 사용자가 요건을 충족한 걸로, 인증을 안 받았다면 사용자가 요건을 충족하지 못한 걸로 판단한다는 방침이다.
따라서 ISMS 인증 의무가 발생한 조직은 클라우드서비스를 도입할 때 ISMS 인증을 받은 사업자의 클라우드를 선택해야 한다. 이미 클라우드서비스를 도입했다면 그 사업자가 ISMS 인증을 받도록 요구해야 할 수도 있다. 구글의 GCE처럼 국내에 데이터센터를 두지 않은 사업자는 ISMS 인증을 못 받기 때문에, ISMS 인증 의무가 있는 조직의 요구에 따르지 못할 수 있다.
