[아이뉴스24 박진영 기자] 국내 클라우드보안인증(CSAP)을 받은 12개의 서비스형보안(SECaaS) 제품 중 공공기관에서 실제 도입한 제품은 1개 뿐인 것으로 나타났다. 정부가 공공 업무 시스템의 클라우드 네이티브를 목표로 내세웠지만 실제 공공 수요는 그에 미치지 못하는 것이다.
정부가 최근 강조한 '제로트러스트' 보안 모델을 실현하기 위해서는 제품 간 연동이 용이하도록 클라우드 기반이 우선 구축돼야 한다는 지적도 나온다.
![김계연 지니언스 부사장은 12일 오후 서울 중구 포스트타워에서 열린 '사이버보안 정책 포럼' 워크샵에서 '제로 트러스트 글로벌 시장 동향 및 과제' 발표를 진행하고 있다. [사진=박진영 기자]](https://image.inews24.com/v1/73a2e88cf99c10.jpg)
12일 김계연 지니언스 부사장은 서울 중구 포스트타워에서 열린 '사이버보안 정책 포럼' 워크샵에서 '제로 트러스트 글로벌 시장 동향 및 과제' 발표를 통해 이같이 밝혔다.
제로 트러스트는 정보 시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, '절대 믿지 말고, 계속 검증하라'는 새로운 보안개념이다. 제로 트러스트는 그간 암묵적으로 믿어왔던 내부망, 관리자, 애플리케이션, IP 등을 믿지 않고, 필요한 시기에 필요한 만큼만 접근을 허용하는 것이다.
디지털 서비스 이용지원 시스템(12월 4일 기준)에 따르면, 총 계약 건수 990건 중 SECaaS 도입 건수는 5건에 불과했다. 대부분 웹메일, 웹오피스 등 업무 생산성 관련 도구를 서비스형소프트웨어(SaaS) 형태로 도입한 것으로 분석됐다. 더욱이 정보보안 분야에서 CSAP 인증을 받은 12개 제품 중 1개 제품만 공공에 도입됐다. 지니언스의 '지니언 클라우드 NAC(Genian Cloud NAC)'다.
![CSAP SECaaS 인증 및 도입 현황 [사진=발표 자료]](https://image.inews24.com/v1/7fd9dee1105577.jpg)
김계연 부사장은 "고도화 되고 있는 사이버 공격을 막고, 제로 트러스트 보안 모델을 구현하려면 클라우드로 가야하는 데, 한국은 아직도 과도하게 온프레미스 중심"이라면서 "국내 보안 기업들이 글로벌 기준의 클라우드 기반 제품을 만들고 싶어도 국내에선 팔 곳이 없다"고 지적했다. 이어 "국내 클라우드 시장이 부재하기 때문에 국내 기업들의 클라우드 제품 개발에 대한 두려움이 크다"고 전했다.
또 제로 트러스트 보안 모델은 클라우드 기반으로 구현될 수밖에 없다고 강조했다. 그는 "기본 IT 인프라가 클라우드 네이티브로 넘어가는 과정에서 제로 트러스트 모델이 자연스럽게 구현되는 것"이라면서 "미국 행정명령에서도 사이버 시큐리티를 현대화하는 과정에서 SaaS, IaaS, PaaS를 활성화하고 이를 위해 제로 트러스트 모델을 도입한다고 규정하고 있다"고 설명했다.
이어 그는 "온프레미스에서 커스터마이징된 솔루션으로는 제로 트러스트 생태계를 만들 수 없다"면서 "솔루션들이 공개돼야 하고, SaaS 활성화를 위해 국내 엄격한 여러 규제들이 개선돼야 한다"고 전했다.
/박진영 기자(sunlight@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기