의무대상 아닌 아마존웹서비스(AWS), ISMS 인증 획득…왜?

실시간
뉴스

클라우드 서비스

의무대상 아닌 아마존웹서비스(AWS), ISMS 인증 획득…왜?

디지털데일리 발행일 2018-01-16 15:11:52

백지영

URL복사

-대학, 의료 등 ISMS 인증 필수인 공공분야 기업 확보 위한 기반 마련 의미

[디지털데일리 백지영기자] 세계 최대 클라우드 서비스 사업자인 아마존웹서비스(AWS)가 16일 정보보호관리체계(ISMS) 인증을 획득했다고 밝혀 관련 업계의 이목이 집중된다.

ISMS 인증은 기업 혹은 기관이 정보자산을 안전하게 보호하기 위해 정보보호 관리체계를 안정적이고 신뢰성 있게 운영하고 있는지 104개 통제항목을 심사해 인증을 부여하는 제도다.

현재 정보통신망법에 따라 ▲전기통신사업법 상 정보통신망서비스를 제공하는 사업자나 ▲인터넷데이터센터(IDC)를 운영하는 집적정보통신시설 사업자, ▲연간 매출액 또는 세입 등이 1500억원 이상인 사업자 가운데 상급종합병원, 재학생 수 1만명 이상인 학교, ▲정보통신서비스 부문 전년도 매출액이 100억원 이상, 3개월 간의 일일 평균 이용자수 100만명 이상인 사업자(쇼핑몰) 등이 ISMS 인증을 필수적으로 받아야 한다.

인증평가 비용과 최소 5개월 이상의 소요되는 인증기간 때문에 부담스러워하는 사업자가 많다. 지난해 대학이 ISMS 인증대상으로 포함되면서 정부와 갈등을 겪은 것도 이 때문이다. 만약 해당 사업자가 인증을 취득하지 않을 경우, 과태료가 부과된다.

반면 AWS 등 해외 클라우드 서비스 업체는 정보통신망법에 의거하면 IDC를 운영하는 집적정보통신시설 사업자이지만 ISMS 인증 의무가 없다. 하지만 이미 AWS를 비롯해 마이크로소프트(MS), IBM 등은 국내에 클라우드 서비스 제공을 위해 IDC를 운영 중이다. 때문에 이를 두고 국내 사업자와의 역차별 논란이 일기도 했다.

이번 AWS의 ISMS 인증획득은 선제 대비 효과와 함께 교육, 의료 등 주요 공략 대상인 공공분야 고객을 확보하기 위한 전략으로 보인다. 이를 통해 정부에서 요구하는 보안인증을 확보한 (현재까지는) 유일한 글로벌 클라우드 서비스 사업자라는 지위를 강조하고 있다. 다만 이를 기반으로 향후 국내 공공기관 클라우드 서비스 제공을 위해 필수적인 클라우드 보안인증까지 획득할지는 미지수다.

16일 AWS가 배포한 보도자료에 따르면, ISMS 인증기관인 한국인터넷진흥원(KISA)으로부터 컴퓨트, 스토리지, 네트워킹, 데이터베이스, 보안 등 28개 서비스를 포함한 AWS 서울 리전(Region, 2개 이상 복수 데이터센터를 지칭)) 인프라 운영에 대한 심사를 마쳤다.

AWS코리아 측은 “ISO 9001, SOC1, SOC2, SOC3를 포함한 58개 글로벌 보안 인증, 검증, 보증 프로그램, 품질 감사 외에 한국에서 최초로 ISMS 인증 획득 지위를 확보한 글로벌 클라우드 서비스 제공업체가 됐다”고 의미를 부여했다.

인증 범위는 AWS 서울 리전의 인프라 운영 전반이며 유효기간은 지난달 27일부터 2020년 12월 26일까지 3년이다.

AWS 관계자는 “AWS는 보안을 항상 최우선 순위에 두고 있다”며 “AWS의 ISMS 인증 획득으로, 한국 기업·기관들은 AWS 클라우드가 제공하는 안전하고 신뢰할 수 있는 환경에서 업계 최고 수준 기술 사용해 보다 효과적으로 KISA의 규정 준수 요건을 충족시키고, 비즈니스 혁신을 가속화 할 수 있게 됐다”고 설명했다.

그는 이어 “보안에 민감한 기업·기관이 다양한 보안, 규정 준수 관련 요구사항을 충족할 수 있도록 강력한 제어, 도구, 프로세스를 통해 혜택을 누릴 수 있게 지원하는 데 중점을 뒀다”고 강조했다.

특히 정보보호관리체계(ISMS) 인증 의무대상 기업은 AWS 클라우드 서비스를 이용함에 따라, 인증 획득에 소요되는 비용과 시간을 절감할 수 있다고 밝혔다. 즉, ISMS 의무대상인 대학 등이 AWS 클라우드를 사용할 경우 인증 준비에 대한 부담을 일정 부분 덜 수 있다는 것.

AWS코리아 측은 “국내 모든 산업 분야 AWS 고객들이 AWS의 ISMS 인증 획득을 반기고 있다”며 신한금융지주, 네오위즈, 티몬, 고려대 등 국내 고객사의 말을 인용했다.

신한금융지주 조영서 디지털전략팀 본부장은 “신한금융그룹은 정부의 금융 서비스 규정을 준수하면서 디지털 혁신을 가속화하기 위해 AWS와 밀접하게 협력해 왔다. AWS가 글로벌 클라우드 서비스 제공업체 최초로 ISMS 인증을 획득한 것은 금융 분야를 비롯해 다양한 산업에서 클라우드 도입에 따른 보안 과제를 해결하기 위한 끊임없는 노력의 결과라고 생각한다”고 말했다.

네오위즈의 최중섭 정보보안실장(CISO)은 “AWS가 보안은 물론 국내 규정 준수에서도 여타 글로벌 클라우드 서비스 제공업체를 앞서가고 있다는 것을 확인할 수 있었다. AWS의 검증된 클라우드 서비스를 바탕으로 네오위즈는 인프라 관리에 대한 규정 준수 부담을 줄임으로써 핵심 비즈니스에 보다 집중할 수 있게 됐다”고 말했다.

티몬 장석은 정보보안실장(CISO)는 “AWS는 국내 고객과 정부의 정보보안 요구사항을 지속적으로 충족시켰으며, 이제는 최초로 ISMS 인증을 획득한 글로벌 클라우드 제공업체가 됐다. 이러한 성과는 AWS가 탁월한 서비스를 제공함과 동시에 보안을 최우선 순위로 두고 있음을 보여준다”고 설명했다.

고려대학교 정보전산처장 이경호 교수(CIO/CISO)는 “정보보호의 중요성이 그 어느 때 보다 강조되고 있으며, 교육분야는 학생 및 학교와 관련된 중요한 정보를 안전하게 관리할 책임이 있다. AWS의 ISMS 인증 획득으로 교육분야에서도 비용효율적인 클라우드 서비스를 이용해 IT 인프라 관리 비용과 노력을 절감할 수 있게 됐다. 그리고 정보보호와 규정 준수에 대한 정부의 요구사항을 효과적으로 만족시킬 수 있을 것으로 기대한다”고 말했다.

<백지영 기자>jyp@ddaily.co.kr