공공기관 클라우드PC 도입 가능해졌다…DaaS 보안인증 시행

2020-11-26 09:25
기존 IaaS 인증기준에 보안SW 등 추가된 형태

행정·공공기관들이 '클라우드PC'를 정식 도입할 수 있는 제도적 기반이 마련됐다. 서비스형데스크톱(DaaS)이 클라우드보안인증(CSAP) 제도 대상분야에 추가되고 그 인증심사 체계가 확정됐다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 CSAP에 DaaS 분야를 추가하고 보안인증체계를 확정해 26일부터 심사인증에 적용한다고 밝혔다. CSAP는 공공기관에 클라우드서비스를 제공하려는 민간기업이 자사 서비스에 대한 인증심사를 신청해 취득하는 보안인증이다. 이를 취득한 클라우드서비스에 한해 공공기관이 직접 도입·활용할 수 있다.

DaaS는 가상화된 데스크톱 운영체제(OS)와 업무용 애플리케이션을 클라우드서비스 환경에서 빌려 쓰는 시스템이다. 공무원들은 CSAP를 취득한 DaaS를 도입하면 인터넷 전용 PC를 따로 두지 않고 공공기관 보안요구사항이 적용된 인터넷용 PC를 이용할 수 있게 된다.

과기정통부는 국가정보원(국가사이버안전센터)와 사전 협의 후 기업 의견수렴을 거쳐 DaaS 보안인증 체계를 마련했다. 이는 기존 CSAP 대상분야인 서비스형인프라(IaaS), 서비스형소프트웨어(SaaS), 서비스형플랫폼(PaaS)에 이어 추가된 유형이다.
 

클라우드보안인증 제도 가운데 IaaS 인증 영역과 DaaS 인증 영역 비교 도안. [사진=과학기술정보통신부 제공]


DaaS 인증 항목은 110개로 IaaS 기준과 유사하며 가상PC 저장데이터 초기화, 비인가접속단말 차단, 필수 보안 소프트웨어(백신, 망연계솔루션, 유해사이트차단솔루션 등) 제공 등 DaaS 특화 항목이 추가된 형태다. 앞서 IaaS 보안인증을 획득한 사업자는 이 추가된 사항만 인증심사를 받으면 돼 DaaS 인증을 빠르게 취득할 수 있다.

손승현 과기정통부 정보보호네트워크정책관은 "앞으로 많은 공공기관들이 신뢰성이 검증된 DaaS 서비스를 활용하여 업무의 신속성과 편의성을 확보할 수 있을 것"이라며 "코로나 위기 상황에서도 정보통신산업 성장 모멘텀이 지속되도록 민간 클라우드 시장 확대와 클라우드 산업의 신뢰성 확보를 위해 지속적으로 노력해 나가겠다"고 말했다.

과기정통부와 한국인터넷진흥원은 오늘 오후 3시부터 온라인을 통해 DaaS 보안인증의 주요 인증기준 안내를 위한 설명회를 개최한다. 설명회는 KISA 유튜브 채널, 네이버TV 등을 통해 진행된다. 별도 사전등록 없이 참석 가능하다. 설명회 자료는 클라우드보안인증제 홈페이지를 통해 공개된다.

[과학기술정보통신부 현판. 아주경제 DB]