“클라우드 컴퓨팅 보안기준 지키고 있는지에 대해 보안 감사 필요” 

 

일본에서는 클라우드 컴퓨팅 도입 활성화 및 보안 강화를 위해 위해 지난 2011년 클라우드 시큐리티 가이드를 제정했고, 이를 발전시켜 지난해에는 클라우드 보안감사 제도를 마련했다. 고객들이 클라우드 컴퓨팅을 도입하는데 가장 우려하는 정보보안에 대한 불안감을 없애고자 한 것이다.

이와 관련한 일본 측 강연이 ‘제3회 한일 정보보안 심포지움’에서 진행됐다. 쿠보타 일본 클라우드협의회 부회장(JASA/니프티)은 “최근 새로운 보안위협과 APT 공격 등이 증가하고 있다. 이러한 가운데 일본의 클라우드 분야 총 40여개 기업이 ‘클라우드 정보 연구회’에 참여하고 있다”고 설명했다.

이어서 그는 “자신이 근무하는 클라우드 기업인 니프티(NIFTY)에서 ‘클라우드 시큐리티 감사 자격증’을 마련했다”고 덧붙였다.

 

한 조사결과 미국의 클라우드 컴퓨팅 도입률은 60%, 일본은 20%에 지나지 않는다. 이렇게 일본에서 클라우드 컴퓨팅 도입률이 낮은 이유는 40% 가량이 ‘필요 없다’고 생각하고 있고, 33%가 ‘정보보안에 대한 불안감’ 때문인 것으로 조사됐다.

이에 쿠보타 씨는 “우리는 고객 불안을 어떻게 없앨 것인지를 고민하다가 클라우드 컴퓨팅 보안감사 제도를 구축하게 됐다. 처음엔 클라우드 시큐리티 가이드를 만들었고, 이후 이를 발전시켜 클라우드 보안감사 제도를 마련해 거버넌스, 매니지먼트, 통제기준 등으로 구성했다”고 설명했다.

또한, 그는 “클라우드 보안감사 제도는 리스크 중심의 다양한 문제를 고려하고 엔지니어 대상의 클라우드 보안감사를 위한 교육 스킬도 마련해 감사 자격증을 취득할 수 있도록 했다. 이 자격증은 외부감사도 가능하기 때문에 이를 활용한 보안감사에 효과적”라고 강조했다.

 

쿠보타 씨는 “클라우드 환경에서 보안이 중요한 틀이 되는 만큼 고객을 안심시키기 위한 아시아, 더 나아가 세계적인 감사기준이 필요하다. 비용을 절감할 수 있는 클라우드 컴퓨팅 도입에 대한 기업들의 관심이 늘어나고 있는 만큼 클라우드 컴퓨팅 부문에서도 제대로 보안기준을 지키고 있는지에 대한 감사가 필요하다”고 덧붙였다.