AWS, Azure, GCP의 CSAP 인증과 공공기관 진출, 클라우드 데이터 보안

한때 공공 클라우드 시장은 ‘국산 클라우드의 안방’이라고 불렸습니다. 보안과 데이터 주권이라는 명분 아래 국내 기업들의 독무대가 형성됐었죠. 그런데 최근 AWS가 클라우드서비스 보안인증(이하 CSAP) 하 등급을 획득하면서 시장의 판도가 급격히 흔들리기 시작했습니다. 흥미로운 건 이미 MS Azure와 Google Cloud도 동일한 등급을 획득했다는 건데요. 이로써 글로벌 클라우드 빅3 모두 국내 공공 시장 진출이 가능해졌습니다.

 

글로벌 CSP 업체의 진출로 변화하는 공공 클라우드 시장

 

우선 이러한 변화의 시발점으로 꼽히는 CSAP라는 제도에 대해서 알아보자면, 과학기술정보통신부와 한국인터넷진흥원(이하 KISA)에서 부여하는 클라우드 서비스 제공 업체의 보안 인증 제도입니다. 공공기관이 안심하고 클라우드 서비스를 사용할 수 있도록 보안 수준을 검증하는 취지입니다.

​

그동안 CSAP는 글로벌 CSP 업체들이 공공 시장에 진입하는 데 큰 장벽이었습니다. 그러나 지난 2023년 정부가 CSAP 규제를 완화하며 단일 등급제에서 3단계 등급제로 개편하고, 공공 암호화 모듈 검증 단계에서도 국내 기술뿐만 아니라 국제 표준 기술까지 인정하겠다는 방침을 내세우면서 상황이 달라지기 시작했습니다.

 

 

CSAP 인증 체계 / 출처 : KISA

​

등급은 크게 상ᆞ중ᆞ하로 나뉘며, 이번에 글로벌 업체들이 획득한 하 등급은 민감정보를 다루지 않는 공공시스템에만 적용할 수 있습니다. 중 등급은 개인정보가 필요한 비공개 정보 시스템을 운영하는 분야에 적용되며, 상 등급은 국가 민감정보를 포함하거나 행정 업무를 처리하는 시스템에 적용됩니다. 이번 인증 획득으로 글로벌 CSP들은 한국 공공시장에서의 영향력을 키우기 위한 중요한 첫걸음을 뗐다고 볼 수 있습니다.

​

또 흥미로운 점은, 미국이 한국과의 무역장벽 협상에서 CSAP 인증 제도를 거론했다는 사실입니다. 미국은 자국 기업들이 중 등급 이상 받아야 한국 공공시장에 원활히 진입할 수 있다는 점을 언급하며 사실상 해당 등급의 개방을 요구했습니다. 동시에, AWS를 비롯한 글로벌 업체들도 국내 공공 시장 공략을 위해 국내 업체와 제휴를 맺거나, 관련 추가 인증들을 획득하는 등 적극적으로 나서고 있죠.

 

자국 기업의 CSAP 중등급 획득을 위해 압박하는 미국

​

이와 더불어, 국가 망 보안체계(N²SF) 가이드라인이 발표되면서 공공 분야의 클라우드 도입은 더욱 가속화될 것으로 예상됩니다. 망분리 규제 완화로 공공기관들도 AI와 클라우드 같은 혁신 기술을 적극 활용하며 업무 생산성 향상을 기대하는 거죠. 기존에는 국내 업체의 서비스를 제한적으로 활용해왔지만, 앞으로 글로벌 클라우드를 활용할 수 있게 된다면 높은 기술력과 빠른 확장성 등 다양한 이점을 가질 수 있을 겁니다.

​

다만, 새로운 과제도 함께 떠오르고 있습니다. 다수의 클라우드를 포함한 다양한 저장소에서 데이터를 사용하는 복잡한 업무 환경에서는 그만큼 보안 위협도 커지는데요. 특히 클라우드의 사용이 다양화될수록 데이터의 위치, 접근 통제, 암호화 현황 등의 보안 상태를 정교하게 파악하기 어렵기 때문에 이에 대한 대책이 필요합니다. 즉, 다양한 클라우드 도입의 이점을 최대한 활용하면서도, 변화할 업무 환경에 최적화된 데이터 보안 체계를 구축해야 합니다.

 

 

복잡한 멀티 클라우드 환경 보안을 위한 DSPM 전략은 필수!

​

공공기관의 클라우드 도입이 증가하는 지금, 반드시 갖춰야 할 보안 전략이 바로 DSPM (Data Security Posture Management)입니다. DSPM은 저장 위치와 관계없이 모든 데이터를 식별하고 보호하는데 특화된 보안 전략인데요. 망분리 환경이 완화되고, 여러 클라우드 서비스의 사용이 확대되면, 다양한 저장소에 데이터가 저장되고 분산되기 마련입니다. 이 과정에서 자연스레 관리되지 않거나 방치되는 데이터가 생기고, 적절한 보안 조치가 이뤄지지 않는다면 보안 홀로 이어지게 되죠.

​

여기서 DSPM 솔루션이 중요한 역할을 하는데요. 로컬, 클라우드를 비롯한 다양한 환경에서 데이터를 식별해, 저장소 및 데이터의 보안 상태 현황을 제공하고 취약점을 탐지합니다. 이 과정에서 분산된 데이터를 분류, 태깅, 추적 등 세분화해 관리할 수 있도록 지원하고, ACL 활성화, 암호화 여부 등 개별 데이터의 보안 세부사항을 파악해 위험 노출 여부를 점검합니다. 즉, 조직이 보유한 데이터 자산의 보안 상태를 모두 파악하고 지속적으로 모니터링해 보안 위험을 최소화하는 거죠.

 

파수 데이터 보안 태세 관리 | Fasoo DSPM

 

AWS를 비롯해 MS, GCP는 국내 업체들과 전략적 제휴를 맺으며 국내 공공 시장에서 경쟁력을 확보하기 위해 노력하고 있습니다. 여기에 망분리 완화 정책까지 함께 추진되면서 공공, 금융기관에서도 핵심 데이터를 제외한 영역에 클라우드 전환이 진행되고 있습니다.

​

실제로 공공보다 클라우드 전환이 빠르게 진행되고 있는 금융권의 경우, 내부용 업무 단말기에 SaaS와 생성형 AI를 이용할 수 있도록 지정 받는 건수가 꾸준히 증가하고 있습니다. 국내외 클라우드 제공업체들 역시 이 기회를 놓치지 않기 위해 전환 수주 경쟁에 박차를 가하며 다양한 노력을 기울이고 있습니다.

​

로컬, 서버, 클라우드 등 다양한 저장소에 데이터를 보유한 조직이라면, 위치와 관계없이 데이터를 검출하고 관리할 수 있어야 합니다. 여러 편의성을 위해 클라우드 도입을 계획하고 계신가요?

​

그렇다면 클라우드에 저장될 민감정보를 보호할 전략도 함께 고려하셔야 합니다.

멀티 클라우드 환경에 데이터 보호를 고민 중이라면 언제든 파수를 찾아주세요!

 

파수 문의하기 | Fasoo Contact Us