|
|
IT News Briefing
IT News Briefing
[20170207] IaaS 이어 SaaS도 클라우드 인증제 도입한다...평가방법, 비용 등 쟁점.
more
정부가 클라우드 보안인증 대상을
인프라형소프트웨어(IaaS195)에서
서비스형소프트웨어(SaaS81)로
확대한다. 연내 시범사업자를 선정해 보안인증 평가 방법론과 기준 등을 마련한다. 인증 기준과 비용 등 세부 항목을 두고 SaaS 업계
관심이 쏠린다.
7일 미래창조과학부 관계자는 “공모를 통해 3종가량 SaaS 서비스에 대한 시범사업자를 선정, 서비스별
점검기준과 방법론 등을 적용하는 시범평가를 진행할 것”이라면서 “시범적용이 마무리되면 설명회, 공청회 등을 거쳐 의견을 수렴하고 최종
평가기준과 방법론 등을 정비할 것”이라고 말했다.
공공기관이 민간 클라우드를 도입할 경우 국가정보원 보안성 검토를 거치거나
클라우드 보안인증제를 받은 서비스를 선택하면 된다. 클라우드 보안인증제는 국정원 보안성 검토 시간을 단축하는 등 공공기관에 편의를
제공하기 위해 마련됐다.
미래부는 지난해 5월 IaaS를 대상으로 처음 클라우드 보안인증제를 시행했다. 당시 SaaS는
평가방법과 기준 등이 마련되지 않아 제외됐다. 미래부는 SaaS 보안인증제가 마련되기 전까지 인증 받은 IaaS 위에서 동작하는
SaaS는 공공기관이 사용 가능하도록 예외를 뒀다.
미래부가 SaaS 보안인증제를 추진하면 평가 방법과 비용, 기간 등이
쟁점이 될 전망이다.
미래부는 한국인터넷진흥원(KISA)과 함께 지난주 금요일 IaaS와 SaaS 사업자 20곳을 대상으로
간담회를 진행했다. 이 자리에 참석한 일부 사업자는 SaaS의 별도 보안인증제 필요성에 의문을 제기했다. 한 사업자는 “인증 받은
IaaS 위에서 동작하는 SaaS까지 별도로 인증받아야 한다는 이유를 이해하기 어렵다”고 말했다. 국내 SaaS 사업자 대부분이
중소기업으로 평가 방법과 비용에 따라 감당하기 힘들다는 의견도 있다.
평가 기간 역시 사업자에게 부담이다. 현재 IaaS
보안인증은 평균 4∼5개월가량 소요된다. 평가 받기 전 내부 컨설팅 기간까지 더할 경우 기간은 최소 6개월 이상이다.
중소
SaaS 업체 관계자는 “SaaS는 인프라만 중점적으로 보는 IaaS와 달리 소스코드, 취약점 점검처럼 직접 SW 설계를 손봐야하는
경우도 생긴다”면서 “당장 사업을 진행해야 하는 중소 업체 입장에선 부담”이라고 말했다.
미래부 관계자는 “인증제도는
기업에 부담을 주고자 만든 게 아니라 공공기관이 보안성 검토를 거치지 않고 좀 더 빨리 민간 클라우드를 선택하도록 지원하기 위한
것”이라면서 “시범사업을 거치고 의견 등을 수렴해 (중소기업)부담을 줄이는 방안을 고민하겠다”고 말했다.
[출처] http://www.etnews.com/20170207000099
[News 닫기]
|
