SaaS 보안인증제 도입 급물살…KISA, 시범인증 기업 모집

서비스형소프트웨어(SaaS) 보안인증제 도입 작업이 급물살을 타고 있다.

SaaS 보안평가·인증기준 개발을 추진해온 한국인터넷진흥원(KISA)이 SaaS 클라우드 보안인증 시범사업 참가기업 모집에 나섰다.

12일 공고된 이번 시범사업은 서비스형인프라(IaaS)만을 대상으로 시행하고 있는 클라우드 보안인증제를 SaaS까지 확대 적용하기 위해 마련된 것으로, 현재 개발된 SaaS 보안평가·인증 기준 적합여부를 확인하기 위해 추진한다.

KISA는 올해 3월부터 SaaS 보안인증 기준과 점검 방법론을 본격 개발해 왔다. 현재 초안은 나온 상태다.

SaaS 보안인증 시범사업 참가 대상은 클라우드 보안인증을 받은 IaaS에 SaaS를 구축할 예정이거나 민간 IaaS 클라우드에 구축해 운영 중인 사업자다.

KISA는 서비스별 점검기준과 방법론을 적용해 해당 SaaS 서비스가 인증기준에 맞게 적절하게 구축·운영되고 있는지 서면·현장점검을 실시한다. 클라우드 보안인증 점검기준과 항목에 기초해 소스코드 점검과 취약점 점검, 모의침투테스트도 진행할 예정이다.

이번 시범인증 사업에 참가하면 자체 SaaS 서비스 보안수준을 높일 수 있는 동시에 내년 본격 시행이 예상되는 SaaS 인증을 발 빠르게 준비할 수 있다는 점에서 현재 사업을 벌이고 있는 많은 SaaS 업체들이 신청할 것으로 예상된다. 공공 클라우드 서비스를 한 곳에 모은 클라우드 스토어 ‘씨앗(Ceart)’에는 현재 73개의 SaaS 서비스가 등록돼 있다.

선정된 기업은 우선적으로 IaaS 인증을 받은 클라우드 인프라에 SaaS 서비스를 구축할 수도 있다.

이번 사업에서 KISA는 총 3개 SaaS 서비스 사업자를 선정할 예정이다. 사업자 선정은 공공기관이 많이 사용하는 SaaS 수요를 포함해 보안인증 시범 적용 적합성, 상용 서비스 운영 가능성 등을 감안할 방침이다.

임채태 KISA 인프라보호단 클라우드보안관리팀 팀장은 “대상 서비스 영역에 제한을 두지 않았지만 공공분야에서 많이 쓰이는 SaaS 서비스에 대한 의견을 수렴해 반영할 계획”이라며 “7월 중 사업자가 선정될 것으로 예상하고 있다. 실제 평가 등 시범적용 기간은 3개월 정도 잡고 있으나 선정된 업체들과의 협의와 조율, 업체 준비기간도 필요할 것”이라고 말했다.

클라우드 보안인증제는 공공기관이 안전한 민간 클라우드 서비스를 이용토록 하기 위해 지난해 5월부터 시행해왔다. 이 인증은 공공기관에 클라우드 서비스를 제공하려는 민간 사업자들이 신청하면 기준에 맞춰 평가한 후 인증을 부여한다.

현재까지 인증을 받은 서비스사업자는 KT(G클라우드), NBP(네이버 클라우드 비즈-G), 가비아(G클라우드 공공) 세 곳이다. KISA는 3분기 안에 인증 받은 사업자가 최소 5곳으로 늘어날 것으로 예상하고 있다.

KISA는 확대되는 SaaS 클라우드 보안인증제 관련해 구체적인 인증기준과 방법, 시행 일정 등은 사업자를 대상으로 시범적용한 뒤 올해 말 공청회나 설명회를 열어 발표할 계획이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network