SaaS 보안인증 시행 '초읽기'…내부 업무망 제외
2018.06.29 오후 1:37
인터넷망 SaaS 우선…취약점 점검 불가 등 기준 미달 배제
[아이뉴스24 김국배 기자] 정부가 추진하는 서비스형 소프트웨어(SaaS) 대상 클라우드 보안 인증제 시행이 초읽기에 들어갔다.

인터넷망 SaaS를 대상으로 우선 도입되며, 내무 업무망에서만 이용할 수 있는 SaaS는 제외될 예정이다.

29일 한국인터넷진흥원(KISA)에 따르면 조만간 시행될 SaaS 인증은 전자결재, 인사관리 등 내부 업무망에서만 이용할 수 있는 SaaS를 인증 대상에서 제외한다.



인증된 서비스형 인프라(IaaS)에서 구축되는 SaaS를 인증하되 취약점 점검 불가, 데이터 해외저장 등 인증 기준에 미달하는 SaaS는 배제하는 것이 기본 방향이다.

SaaS 유형 가운데 서비스형 보안(SecaaS)의 경우 어플라이언스 보안 장비를 뺀 관리형 서비스로 규정했으며, 단순 설치형 SW는 인증 대상에 해당되지 않는다.


또 같은 서비스라도 구축되는 IaaS가 다르면 별도로 SaaS 인증을 받아야 한다. 인증받지 않은 IaaS 위에 SaaS를 구현한 사업자는 인증받은 IaaS로 옮겨서 해당 서비스 부분만 평가받을 수 있다. 인증이 없는 IaaS에서 SaaS를 구축하려면 IaaS와 SaaS 영역을 한꺼번에 인증 평가를 받아야 한다.

또한 인증 대상은 퍼블릭 클라우드만으로, 공공기관이 입찰 공고를 내고 내부적으로 구축하는 프라이빗 클라우드는 포함되지 않는다. 프라이빗 클라우드는 기존 방식대로 보안성 검토 후 이용해야 한다.

SaaS 인증을 받기까지는 3개월 정도가 소요되며 유효 기간은 3년이다. 매년 사후 평가를 실시해 인증 효력 유지 여부를 점검하게 된다. 인증을 획득한 기업은 공공시장 조달에 참여할 수 있다.

아울러 KISA는 보안인증 대상이 IaaS에서 SaaS로 확대됨에 따라 공급·수요를 고려해 민간평가기관을 활용하고, 보안인증 평가원을 양성하는 방안을 마련할 계획이다. 서비스형 플랫폼(PaaS)은 현재 수요가 적어 인증 대상이 아니나, 향후 확대될 예정이다.

전날 열린 클라우드 보안인증 확대시행 설명회에서 박정환 KISA 클라우드 보안관리팀 수석연구원은 "시행일자를 못 박진 않았다"며 "오늘 설명회를 통한 의견수렴을 거쳐 한 두달 내 시행을 공표할 계획"이라고 말했다.

/김국배기자 vermeer@inews24.com
이 기사에 댓글쓰기!

관련기사