[ET단상]클라우드 보안 인증으로 공공시장 '물꼬'

[ET단상]클라우드 보안 인증으로 공공시장 '물꼬'

정부는 지난달 클라우드 보안 서비스 도입 기준 변경과 관련한 공지를 발표했다. 이는 한국인터넷진흥원(KISA)의 클라우드 보안 인증(CSAP)을 받은 민간 클라우드 보안 서비스(SECaaS)의 경우 공통평가기준(CC) 인증 또는 보안 기능 확인서가 없어도 공공기관 납품이 가능하다는 것이었다. 코로나19로 디지털 전환이 급격히 확산하고 있는 현 시점에 이번 클라우드 보안 서비스 도입 정책 변경은 정보보호 산업계에 단비와 같은 소식이다.

그동안 민간 클라우드 보안 서비스는 클라우드 기반 보안 제품에 대한 도입 정책이 있지 않았기 때문에 국가기관이나 공공기관에 납품할 수 없었다. 이번 제도 개선을 통해 그동안 판로가 막혀 있던 공공시장에 클라우드 보안 서비스가 진출할 수 있다는 점에서 의의가 있다.

클라우드 시장은 지금까지 급성장해 왔다. 아마존, 구글 등 세계 클라우드 시장을 주름잡고 있는 글로벌 기업은 연평균 20%가 넘는 고공성장을 이어 가고 있다. 특히 코로나19로 인한 비대면 시대의 확산은 디지털 트랜스포메이션을 불러왔다. 원격근무, 온라인 교육 등의 확대는 필연적으로 클라우드의 확산과 성장을 촉진시켰다. 민간 영역뿐만 아니라 공공 분야 또한 전면적인 디지털 계획을 밝히고 주요 부처, 지방자치단체, 공공기관 등에서 정보기술(IT) 인프라를 클라우드로 전환하겠다고 발표함에 따라 클라우드 환경 확산은 앞으로도 지속될 것으로 보인다.

그러나 클라우드 활성화와 반드시 동반되는 문제점이 있다. 바로 '보안'이다. 트렌드마이크로가 발표한 '2020년 위협 보고서'에 따르면 재택근무를 겨냥한 사이버 공격이 전년 대비 무려 210% 증가, 약 29억건에 이르는 것으로 조사됐다.

이처럼 급격하게 확산하는 클라우드 환경과 위협 속에서 그동안 민간 클라우드 보안 서비스의 국가기관 또는 공공기관의 판로는 막혀 있었다. 클라우드 기반 보안 제품에 대한 도입 정책 부재로 말미암아 클라우드 보안 제품의 공공시장 진출이 사실상 불가능했기 때문이다. 클라우드 확산과 함께 클라우드를 향한 사이버 공격이 매년 늘어나고 있는 상황에서 이에 맞는 변화가 필요한 시점이었다.

이번 클라우드 보안 서비스 도입 기준 변경은 이런 측면에서 의의가 있다. 특히 코로나19 상황에서 디지털 트랜스포메이션에 필수인 사이버 방역을 별도의 인증을 통해 공공시장 진출이 가능토록 물꼬를 터 줬다는 의미가 크다. 이는 신속한 대응이 생명인 보안 시장의 유연성을 수용함과 동시에 다양한 인증을 통한 안정성을 유지한다는 점에서 두 마리 토끼를 다 잡은 것으로 평가된다.

이번에 성사된 과학기술정보통신부와 관계기관의 협의에 따라 국내 정보보안 시장의 활성화와 함께 국가·공공기관의 민간 클라우드 보안 서비스 도입이 활성화할 것으로 기대된다. 클라우드 보안 서비스 도입 기준 변경은 2021년 6월 14일부터 2024년 12월 31일까지 한시적으로 시행될 예정이다. 이번 조치에 따라 국가·공공기관의 클라우드 보안 서비스 도입이 활성화된다면 국내 민간 클라우드 보안 서비스 시장 활성화와 기술 개발도 더욱 활발하게 이뤄질 것이다. 급격하게 변화하는 보안 시장에서 유연함과 안정성을 바탕으로 끊임없는 성장을 거듭하고자 하는 우리 보안 기업에 정부의 이번 조치가 의미 있는 첫 출발점이 될 것이다.

이동범 한국정보보호산업협회(KISIA) 회장 dblee@genians.com