AWS, ‘클라우드 보안인증’ 안 받나 못 받나

최근 아마존웹서비스(AWS) 본사는 ‘2021 공공부문 서밋’이라는 온라인 행사를 개최했습니다. ‘공공부문 서밋’은 아마 리인벤트(re:Invent)를 제외하고는 AWS가 가장 중요하게 생각하는 행사일 겁니다. 그만큼 공공시장이 중요하다고 보는 거겠죠. AWS뿐 아니라 모든 클라우드 업체들이 공공부문을 매우 중요하게 생각합니다. 워낙 시장규모가 큰 분야니까요.

그런데 AWS가 한국의 정부나 공공기관에 클라우드 서비스를 판매하기에는 제약이 있습니다. 한국인터넷진흥원으로부터 보안인증(Cloud Security Assurance Program, 이하 CSAP)을 받아야 하는 규제가 있기 때문입니다. 이 인증을 받기 위해서는 물리적 망분리, 물리적 위치(국내), CC인증 등의 기준을 충족해야 합니다. 그러나 외국 기업이 이 기준을 충족시키는 것이 쉽지는 않은 듯합니다. 현재 CSAP 인증을 받은 기업은 대부분 국내기업입니다.

어쩌면 정부는 CSAP를 국내 클라우드 업체를 지원하기 위한 우회적 지원책으로 생각하고 있는지도 모르죠. 대놓고 국산 클라우드만 구매하겠다고 하면 WTO 등의 제재를 받을 수도 있지만, 우리만의 보안 기준이 있다고 하면 명분이 될 수 있으니까요. 미국 무역대표부(USTR)는 무역장벽 보고서에서 계속 한국의 보안인증 정책이 미국 서비스 업체들의 시장 접근 기회를 박탈한다고 비판하고 있습니다.

이 때문에 기자들이 AWS코리아 측에 가장 많이 묻는 질문 중 하나는 CSAP를 받을 계획이 있느냐는 것입니다. 특히 공공부문 서밋과 같은 행사에서는 반드시 나오는 질문입니다. 지난 21일 2021 공공부문 서밋 이후에는 한국 미디어의 기자들과 윤정원 AWS코리아 공공부문 대표와의 질의응답이 있었는데, 당연히 그 질문, CSAP 획득 계획이 있느냐는 질문이 나왔습니다.

사실 저는 이 질문에 대답을 듣지 않아도 기사를 쓸 수 있습니다. 질문도 뻔하지만 답도 너무 뻔하거든요. AWS가 얼마나 보안을 중시하고 있는지, 클라우드 보안과 관련된 가장 많은 인증을 받은 서비스인지 설명할 겁니다. 기자의 질문은 분명히 한국의 보안인증 CSAP를 획득할 계획이 있는지 여부였는데, 이에 대한 명확한 답은, 당연히 없을 겁니다.

그래서 그 질의응답을 흘려듣고 있었는데요. 몰랐던 이야기가 나왔습니다. 윤정원 대표의 이야기를 들어보시죠.

“AWS는 최근 보안과 관련해 다양한 요구사항을 충족하면서, 전세계에서 보안인증을 가장 많이 받은 클라우드 서비스 공급자중 하나가 됐다. 근래에는 일본 정부의 퍼블릭 클라우드 서비스 보안 상태를 평가하기 위한 프로그램인 정보 시스템 보안 관리 및 평가 프로그램(ISMAP) 인증을 획득한 최초의 클라우드 제공업체 중 하나가 됐다.”

네? 일본 ISMAP이요?

지금까지 저는 글로벌 기업은 CSAP를 받는 것이 불가능하다고 생각했습니다. 전 세계에 공통으로 제공되는 서비스에 우리만의 보안인증을 받으라는 건 다소 과도한 요구라고 생각했습니다. 그런데 그게 아닌가요? 지난 3월에 일본의 ISMAP 인증을 받았다는 군요. 일본 ISMAP는 우리 CSAP와 같은 종류의 클라우드 조달 규제입니다. 공공조달을 하기 위해서 획득해야 할 보안인증이죠. 그러니까 AWS가 ISMAP를 받았다는 것은 CSAP도 받을 수 있다는 것으로 해석이 될 수 있을까요?

추가 :

추가적으로 알아보니 ISMAP와 CSAP 인증에 필요한 조건과 요구사항이 조금 다르다고 합니다. ISMAP는 망분리나 CC인증과 같은 요구사항은 포함되지 않는다고 합니다. ISMAP은 우리나라에 있는 ISMS(정보보호 및 개인정보보호 관리체계인증)와 유사하다고 하네요. ISMS는 보안 그 자체가 아니라 보안관리 프로세스를 평가하는 인증입니다.