아마존웹서비스(AWS)가 국내 공공기관이 민간 클라우드 도입 시 요구하고 있는 '클라우드 서비스 보안인증(CSAP)'이 '무역·기술 장벽'에 해당하며, 한국이 인도태평양 경제프레임워크(IPEF)에 참여 할 때 문제될 수 있다는 견해를 밝혔다. 글로벌 클라우드의 국내 공공 시장 진입을 막고 있는 CSAP 인증 규제가 완화돼야 한다는 입장을 숨기지 않고 드러낸 것이다.
필 로드리게스 AWS 아태 보안 솔루션즈 아키텍트 부문장은 13일 한국 미디어와 가진 온라인 간담회를 통해 국내 CSAP 인증제도에 대해 이같은 입장을 밝혔다.
CSAP는 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급하기 위해 시행되는 클라우드 보안 인증제도다. 공공기관은 CSAP 인증을 획득한 민간 클라우드만 이용할 수 있기 때문에 클라우드 서비스 제공업체 입장에서 공공 부문 시장에 진출하기 위해 CSAP 인증 획득이 필수적이다.
CSAP를 획득하려면 국내에 물리적으로 공공 전용 공간을 마련해 두고 인증에서 요구하는 물리적 망분리, CC인증 등의 요건을 충족시켜야 한다. 글로벌 클라우드 기업 입장에서 따르기 쉽지 않은 요건이라 진입장벽으로 여겨지고 있다. 실제 CSAP를 획득한 글로벌 클라우드 서비스는 한 곳도 없다.
이날 국내 CSAP인증에 대한 AWS의 입장을 묻는 질문에 로드리게스 부문장은 CSAP가 무역·기술 장벽이며, 한국이 IPEF 가입을 위해 해결해야 할 이슈라는 견해를 드러냈다.
그는 "한국은 지난 5월 서울에서 개최된 한미정상회담에서 미국 주도의 IPEF 가입 의사를 밝혔다"며 "한국의 IPEF 가입을 위해서는 무역·기술 장벽 중에서도 특히 클라우드 보안 인증(CSAP)을 해결하는 것이 필요하다"고 말했다.
또 "국가 안보와 직접적으로 관련이 없는 분야에 CSAP를 적용하기 보다, 데이터 현지화를 지양하는 방식으로 국제 표준 인증을 수용해야 한다"고 덧붙였다.
또 한국이 CSAP를 고수하는 것이 사이버보안 측면에서도 부정적인 결과를 가져 올 것이란 주장도 펼쳤다.
그는 "최근의 지정학적 격변과 사이버보안 문제로 인해 전 세계적으로 공공 데이터의 안전한 보호에 대한 중요성이 대두됐다"면서 "현재 한국은 CSAP에 의거해 공공 부문 워크로드에 대한 데이터 현지화 요구 사항을 고수하고 있다. 그러나 만약의 사태에 대비해, 국내에서도 데이터 센터 간 또 국경간 데이터 이전을 지원하는 하이퍼스케일 퍼블릭 클라우드 서비스를 도입해야 한다"고 주장했다.
한편, 이날 AWS는 자사 클라우드 서비스의 보안 안정성을 소개하며 AWS가 "공동책임 모델"을 채택하고 있다고 소개했다. 클라우드 인프라 단의 보안은 AWS가 제공하고, 안전한 서비스 환경을 위해 고객도 함께 보안 책임을 진다는 것이 골자다.
AWS는 고객들이 강력한 보안 환경을 구성할 수 있도록 ▲아이덴티티 ▲탐지 제어▲인프라 보호 ▲데이터 보호 ▲사고대응 등 5가지 영역으로 나눠 보안 아키텍처를 구성하고, 관련 제품을 제공하고 있다. 각국에서 요구하는 규제를 준수할 수 있도록 돕는 별도 서비스 영역도 존재한다.
관련기사
- AWS "필요한 걸 제공하는 IoT솔루션 만들어야"2022.05.12
- 윤정원 AWS코리아 "데이터가 최고 전략 자산"2022.04.28
- 스파이스웨어, CSAP 인증 획득...공공 클라우드 시장 진입2022.04.14
- 국내 근로자 85% "디지털역량 강화 필요성 느껴"2022.03.23
가장 강력한 보안 요구 사항을 가진 금융 분야 기업들도 AWS위에서 클라우드의 이점을 활용하고 있다고 소개했다. 글로벌에서는 HSBC, 골드만삭스도, 내셔널 오스트렐리아 은행(NAB)이 AWS의 고객이다. 국내에서는 교보생명, KB금융그룹, KB국민카드, 뱅크샐러드, 핀다 등이 AWS를 이용하고 있다.
로드리게스 본부장은 "이들은 AWS를 통해 보안과 규제 준수, 표준을 지키면서 워크로드를 전 세계적 규모로 확장해 적용하고 있다"고 강조했다.
