정보보호 위한 'ISMSㆍISMS-P'도 취득해야
“일년에 한 번은 무조건 받는 심사가 부담”
국정원 망 분리 개선 방안 'MLS'도 촉각
정부의 ‘이중삼중’ 보안 인증제가 국내 클라우드 기업의 경쟁력을 떨어뜨린다는 지적이 제기되고 있다. 국내 기업은 클라우드 보안인증(CSAP), 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 각각 취득하면서 다층보안체계(MLS)에도 대비해야 하기 때문이다.
11일 클라우드 업계에 따르면, 공공 클라우드를 구축하려는 기업은 필수적으로 ‘클라우드 보안인증(CSAP)을 취득해야 한다. CSAP는 클라우드 서비스의 보안을 보장하기 위한 인증제도다. 공공 서비스형 인프라(IaaS)·서비스형 소프트웨어(SaaS)·서비스형 데스크톱(DaaS) 등으로 분류된다.
각 보안인증 기준은 △IaaS 14개 분야 116개 항목 △SaaS 표준등급 13개 분야 79개 항목 △SaaS 간편 등급 11개 분야 31개 항목 △DaaS 14개 분야 110개 항목이다. ‘정보보호 조직’, ‘보안 인력’, ‘침해사고 대응 및 관리’, ‘관리적·물리적·기술적 보호조치’ 등을 평가한다. 등급은 상·중·하로 나뉜다.
정보보호 및 개인정보보호 관리체계 인증(ISMS-P)은 정보보호 관리체계를 평가하는 인증이다. 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보 자산 등을 고려한다. ISMS 및 ISMS-P는 정보통신서비스 부문 지난해 매출액 100억 원 이상을 올리거나 하루평균 정보통신서비스 이용자 수가 100만 명 이상인 기업은 무조건 취득해야 한다. 네이버클라우드, KT클라우드, NHN클라우드 등 국내 주요 클라우드 기업은 모두 의무 대상자다.
ISMS 인증 항목은 관리체계 수립·운영 16개와 보호 대책 요구사항 64개 등 총 80개다. ISMS-P는 ISMS 인증에 개인정보 요구사항 21개를 더한 총 101개 항목을 평가받는다.
ISMS 및 ISMS-P의 인증 유효기간은 3년이다. 다만, 인증받은 조직은 유효기간에 매년 사후 심사를 받아야 한다. 3년이 지나면 갱신심사를 통해 인증을 연장할 수 있다. 기업으로선 최소 1년에 한 번꼴로 심사를 준비하는 셈이다.
이에 업계에선 수차례 인증으로 인한 부담이 크다는 우려가 나온다. 업계 관계자 A 씨는 “기본적으로 공공 분야 사업을 하려면 받아야 하는 인증이 있는데, 이를 유지하기 위해 받는 심사가 1년에 한 번씩 있어 부담된다”며 “아무래도 규모가 작은 중소기업은 비용이나 시간, 인력 측면에서 어렵다”고 말했다.
국가정보원이 최근 발표한 ‘다층보안체계(MLS) 로드맵’도 관건이다. MLS는 국가 전산망의 업무 정보를 중요도에 따라 분류해 차등적 보안 통제를 적용하는 것으로 기존 인증제와 평가 항목 등이 겹칠 수 있다는 우려에서다. 정보 등급은 기밀(C), 민감(S), 공개(O)로 구분되며, 기밀 등급엔 안보, 국방, 외교, 수사와 관련되거나 국민의 생활, 생명, 안전에 직결된 정보가 해당한다.
이에 강도현 과기정통부 제2차관은 10일 과학기술정보방송통신위원회 국정감사에서 “ISMS-P 분야는 CSAP 평가할 땐 일부 반영해 통합성을 유지하고 있는데 최근 발표한 국정원 MLS는 데이터 중요성 부분과 시스템 등을 정리할 것"이라고 했다.
과기정통부는 7월 중소기업의 인증 부담을 완화하는 ‘ISMS 및 ISMS-P 간편인증’ 제도를 마련한 바 있다. 과기정통부 측은 “인증 기준이 기존 대비 약 40개 감소했고, 인증심사 수수료도 기존 대비 약 40~50% 줄었다”고 설명했다.
다만 간편인증을 받을 수 있다는 기업은 ISMS 의무 대상자 중 16%에 불과해 실효성이 떨어진다는 지적도 나온다. 간편인증 적용대상은 정보통신서비스 부문 매출액이 300억 원 미만인 중소기업이거나 매출액이 300억 원 이상이지만 회사 내 주요 정보통신설비를 보유하지 않은 기업이다. 85개 기업이 이 기준에 해당한다.