[엔터프라이즈 테크레터]는 IT기술을 활용해 기업의 비즈니스가 혁신해 나가는 소식를 다루는 주 1회 전해드리는 뉴스레터 서비스입니다.
엔터프라이즈 테크 소식을 매주 이메일로 받고 싶은 분은 여기에서 구독을 신청해주세요.


Top Story

AWS, ‘클라우드 보안인증’ 안 받나 못 받나

최근 아마존웹서비스(AWS) 본사는 ‘2021 공공부문 서밋’이라는 온라인 행사를 개최했습니다. ‘공공부문 서밋’은 아마 리인벤트(re:Invent)를 제외하고는 AWS가 가장 중요하게 생각하는 행사일 겁니다. 그만큼 공공시장이 중요하다고 보는 거겠죠. AWS뿐 아니라 모든 클라우드 업체들이 공공부문을 매우 중요하게 생각합니다. 워낙 시장규모가 큰 분야니까요.

그런데 AWS가 한국의 정부나 공공기관에 클라우드 서비스를 판매하기에는 제약이 있습니다. 한국인터넷진흥원으로부터 보안인증(Cloud Security Assurance Program, 이하 CSAP)을 받아야 하는 규제가 있기 때문입니다. 이 인증을 받기 위해서는 물리적 망분리, 물리적 위치(국내), CC인증 등의 기준을 충족해야 합니다. 그러나 외국 기업이 이 기준을 충족시키는 것이 쉽지는 않은 듯합니다. 현재 CSAP 인증을 받은 기업은 대부분 국내기업입니다.

어쩌면 정부는 CSAP를 국내 클라우드 업체를 지원하기 위한 우회적 지원책으로 생각하고 있는지도 모르죠. 대놓고 국산 클라우드만 구매하겠다고 하면 WTO 등의 제재를 받을 수도 있지만, 우리만의 보안 기준이 있다고 하면 명분이 될 수 있으니까요. 미국 무역대표부(USTR)는 무역장벽 보고서에서 계속 한국의 보안인증 정책이 미국 서비스 업체들의 시장 접근 기회를 박탈한다고 비판하고 있습니다.

이 때문에 기자들이 AWS코리아 측에 가장 많이 묻는 질문 중 하나는 CSAP를 받을 계획이 있느냐는 것입니다. 특히 공공부문 서밋과 같은 행사에서는 반드시 나오는 질문입니다. 지난 21일 2021 공공부문 서밋 이후에는 한국 미디어의 기자들과 윤정원 AWS코리아 공공부문 대표와의 질의응답이 있었는데, 당연히 그 질문, CSAP 획득 계획이 있느냐는 질문이 나왔습니다.

사실 저는 이 질문에 대답을 듣지 않아도 기사를 쓸 수 있습니다. 질문도 뻔하지만 답도 너무 뻔하거든요. AWS가 얼마나 보안을 중시하고 있는지, 클라우드 보안과 관련된 가장 많은 인증을 받은 서비스인지 설명할 겁니다. 기자의 질문은 분명히 한국의 보안인증 CSAP를 획득할 계획이 있는지 여부였는데, 이에 대한 명확한 답은, 당연히 없을 겁니다.

그래서 그 질의응답을 흘려듣고 있었는데요. 몰랐던 이야기가 나왔습니다. 윤정원 대표의 이야기를 들어보시죠.

“AWS는 최근 보안과 관련해 다양한 요구사항을 충족하면서, 전세계에서 보안인증을 가장 많이 받은 클라우드 서비스 공급자중 하나가 됐다. 근래에는 일본 정부의 퍼블릭 클라우드 서비스 보안 상태를 평가하기 위한 프로그램인 정보 시스템 보안 관리 및 평가 프로그램(ISMAP) 인증을 획득한 최초의 클라우드 제공업체 중 하나가 됐다.”

네? 일본 ISMAP이요?

지금까지 저는 글로벌 기업은 CSAP를 받는 것이 불가능하다고 생각했습니다. 전 세계에 공통으로 제공되는 서비스에 우리만의 보안인증을 받으라는 건 다소 과도한 요구라고 생각했습니다. 그런데 그게 아닌가요? 지난 3월에 일본의 ISMAP 인증을 받았다는 군요. 일본 ISMAP는 우리 CSAP와 같은 종류의 클라우드 조달 규제입니다. 공공조달을 하기 위해서 획득해야 할 보안인증이죠. 그러니까 AWS가 ISMAP를 받았다는 것은 CSAP도 받을 수 있다는 것으로 해석이 될 수 있을까요?


추가 :

추가적으로 알아보니 ISMAP와 CSAP 인증에 필요한 조건과 요구사항이 조금 다르다고 합니다. ISMAP는 망분리나 CC인증과 같은 요구사항은 포함되지 않는다고 합니다. ISMAP은 우리나라에 있는 ISMS(정보보호 및 개인정보보호 관리체계인증)와 유사하다고 하네요. ISMS는 보안 그 자체가 아니라 보안관리 프로세스를 평가하는 인증입니다.


Topics

비대면 바우처를 어찌하오리까

중소기업부가 비대면 바우처 사업이라는 걸 하고 있습니다. 중소기업이 비용 부담 없이 화상회의, 재택근무 시스템 등 비대면 업무환경을 구축할 수 있도록 400만원 한도에서 서비스 비용의 90%를 지원하는 사업이죠. 박영선 전 장관 시절 도입된 제도인데, 신임 권칠승 장관은 이 제도에 대한 문제의식이 있는 것 같습니다. 취임하자마자 “기획부터 잘못”이라고 비판하더니 “전면 재검토”를 시사하고 있습니다.

사실 이런 사업은 언제나 양날의 칼입니다. 중소기업 디지털화를 지원한다는 취지는 좋지만 언제든 ‘눈먼 돈’이 될 수 있거든요. 기술력은 없이 눈만 돈만 좇는 일부 기업에는 좋은 먹잇감이 됩니다. 또 수요기업도 필요성을 검토하고 체계적으로 도입하는 게 아니라 일단 공짜니까 먹고보자는 심리가 작동할 경우 괜히 혈세만 낭비할 수 있습니다.

20년 전에도 정부가 중소기업 정보화를 위해 ERP 비용을 지원했는데 제대로 쓰는 기업은 별로 없었고, 나중에는 그걸 걷어내기 위한 시간과 비용이 더 드는 경우가 허다했습니다.

정부의 오픈소스 정책의 목적은?

아마 노무현 정부 시절부터일 거 같은데요, 우리 정부는 오래전부터 오픈소스를 좋아하는 정책을 줄곧 쓰고 있습니다. 웬만하면 IT 솔루션을 도입할 때 오픈소스를 선택하자는 기조죠. 물론 현실에서 정부가 오픈소스를 그렇게 많이 사용하지는 않지만, 그래도 오픈소스를 우선적으로 쓰자는 기조는 있었습니다.

근데 이게 정책 목표가 좀 애매해요. 오픈소스를 이용해서 비용을 절감하자는, 세금절감 정책인 거 같기도 하고, 상용 솔루션 시장에서는 국내기업이 미국 기업을 이기기 힘드니 국내 오픈소스 기업을 지원하자는 산업 진흥 정책 같기도 하죠. 오픈소스 정책을 주도한 게 구매자인 행정안전부 쪽이 아니라 산업진흥부처인 과기정통부(과거 정보통신부) 쪽이란 말이죠.

그러나 보니 국산 상용솔루션 VS 글로벌 기업 오픈소스가 맞붙을 때는 정부가 어느 편을 들어줘야 하느냐는 애매한 일이 벌어지기도 합니다. 예를 들어 정부가 WAS를 구매할 때 국산 상용 솔루션인 티맥스소프트의 ‘제우스’와 글로벌 오픈소스인 레드햇의 ‘제이보스’ 사이에서 갈 길이 애매합니다.

이 가운데 정부가 내년에 지을 정보자원관리원의 대구3센터 DB는 모두 오픈소스가 된다고 합니다. 그러다 보니 국내 DB 기업들이 줄줄이 오픈소스로 변신하는 모습을 보입니다. 오래전에 오픈소스가 된 큐브리드를 비롯해서 알티베이스, 선재소프트 등이 오픈소스가 됐습니다. 결국 국내 DB업체 중 가장 점유율이 높은 티베로는 배제됐네요.

신한은행 디지털 전략은 두 개의 축으로 간다

재 시중은행의 최대 과제가 디지털 트랜스포메이션(DT)이라는 점은 명확합니다. 올해 모든 은행장의 신년사는 DT에 맞춰져 있었습니다. 신한은행도 마찬가지인데요, 신한은행은 두 개의 축으로 DT를 진행한다고 합니다. 하나는 디지털 기술로 기존 뱅킹 비즈니스의 경쟁력을 높이는 것이고, 또 하나는 인공지능(AI)이나 블록체인 등의 신기술을 통해 새로운 서비스를 만드는 것입니다. 관련기사


IT기술을 활용해 기업의 비즈니스가 혁신해 나가는 소식을 주 1회 [엔터프라이즈 테크레터]에서 전해드립니다. ;여기에서 구독을 신청해주세요.


[온라인 컨퍼런스] 2022 이커머스 비즈니스 인사이트 가을

‘2022 이커머스 비즈니스 인사이트 가을’에서는 업계의 현재 상황과 최신 트렌드, 앞으로의 변화 방향에 대해 공유하고, 참가자들이 앞으로의 전략을 세울 수 있는 인사이트를 제공하고자 합니다.

일시 : 9월 28일~29일 오후 14시 ~ 17시
장소 : 온라인
문의 : byline@byline.network
자세히 보기