공공부문 클라우드 서비스 규제 현황과 개선 방안 연구 : 클라우드 보안인증제 중심으로 Current Status and Improvement of Cloud Service Regulations in Public Sector : Focusing on Cloud Security Assurance Program원문보기
클라우드 서비스는 현대의 급격히 변화하는 경영환경에서 기존의 전통적인 IT인프라가 대응하기 어려웠던 부분들을 저렴한 구축비용, 유연하고 신속하며 안정적인 IT서비스를 제공한다는 장점들을 내세우며 전 세계적으로 모든 산업 분야에 걸쳐 도입이 확대되고 있다. 민간 부문뿐만 아니라 정부 공공기관들도 공공의 이익을 실현하기 위해 정부 정책을 통하여서 클라우드를 적극 활용하려 하고 있다. 우리나라의 경우, 2015년 ...
클라우드 서비스는 현대의 급격히 변화하는 경영환경에서 기존의 전통적인 IT인프라가 대응하기 어려웠던 부분들을 저렴한 구축비용, 유연하고 신속하며 안정적인 IT서비스를 제공한다는 장점들을 내세우며 전 세계적으로 모든 산업 분야에 걸쳐 도입이 확대되고 있다. 민간 부문뿐만 아니라 정부 공공기관들도 공공의 이익을 실현하기 위해 정부 정책을 통하여서 클라우드를 적극 활용하려 하고 있다. 우리나라의 경우, 2015년 클라우드 컴퓨팅 발전 및 이용자 보고에 관한 법률을 시작으로 3차에 걸친 클라우드 컴퓨팅 기본계획을 통해서 그 의지를 드러내었고, 또한 2021년 행정안전부에서 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진 계획’을 발표하고, 2025년까지 행정·공공기관에서 운영하고 있는 전체 정보시스템을 클라우드로 전면 전환·통합한다고 밝히기도 했다. 정부의 이러한 노력에도 불구하고, 공공부문에서의 클라우드 서비스 활성화는 기대에 못 미치고 있는 것이 현실이다. 그 이유로 제도적인 뒷받침이나 사례들이 충분하지 않다는 의견들도 있으나, 공공부문에만 적용되는 클라우드 서비스 규제인 클라우드 보안인증제(CSAP)가 걸림돌이 되고 있다는 의견들이 존재했다. 2023년 1월 규제 개선의 일환으로 클라우드 보안인증 등급제가 시행되었다. 등급제에서는 데이터 및 정보시스템의 중요도에 따라 상·중·하 등급으로 나누었고, 그 중 하등급은 물리적 분리가 아닌 논리적 분리를 허용하여, 상·중 등급과는 달리 실증을 거치지 않고 우선 시행되었다. 하지만 여전히 클라우드 보안인증 등급제를 둘러싼 이슈와 쟁점들로 인해 이해당사자들 간의 갈등이 현안이 되고 있으나, 이에 대한 실증적 연구는 부족한 것이 사실이다. 본 연구에서는 전체 IT비용에서 클라우드 컴퓨팅이 차지하는 비중이 높은 주요 국가들인 미국, 호주, EU, 영국의 클라우드 서비스 규제 현황을 공공부문 클라우드 서비스 제공 사업자들에 대한 보안 인증제를 중심으로 살펴본다. 또한 우리나라의 클라우드 보안인증제(CSAP)와의 비교 분석을 통해 시사점을 도출하고, CSAP 등급제 시행의 의미와 시행 이후의 이슈와 쟁점들에 대해서 기술하며 제도의 개선 방안을 제시한다. CSAP는 클라우드 서비스 보안 규제임과 동시에 국내 CSP업체들을 보호하는 역할을 수행해오고 있었다. 이제 CSAP 등급제를 통해서 아마존, MS, 구글 등 글로벌 클라우드 서비스 제공업체(CSP)들 뿐만 아니라 국내 MSP 및 Saas업체들에게 공공부문 클라우드 서비스 사업의 문이 열렸다. 국내 MSP 및 Saas업체들에는 기회가 됨과 동시에 국내 CSP업체들에는 위기가 된다고 하는데, 실제로 그러한지 실익에 대한 비교형량 검토가 필요하며, 다양한 이해관계자들의 의견을 적극적으로 경청하고 국가 전체의 이익을 고려한 정책 수립이 필요하다. 결론적으로, 기존의 규제에 대한 접근 방식이 아닌, 보다 현실적인 차원에서 관점의 변화를 가져올 수 있는 규제 개선 방안을 제시한다. 보안 업무 중심에서 데이터 자체를 중심으로 하는 보안 및 보호 통제, 소유의 관점이 아닌 활용의 주체 관점의 데이터 주권, 공급 중심에서 수요 중심으로, 인프라 중심에서 소프트웨어 중심으로의 전반적인 정책 개선을 통해, CSAP 등급제, 나아가서는 공공부문 클라우드 규제에 있어서 이슈와 쟁점들에 대한 합의점을 찾는데 도움이 되고자 한다. 그리고 공공부문 클라우드 서비스의 효과적인 활용과 규제 사이에서 균형을 찾는데 주요한 규제 정책 연구가 이어지기를 희망한다.
클라우드 서비스는 현대의 급격히 변화하는 경영환경에서 기존의 전통적인 IT인프라가 대응하기 어려웠던 부분들을 저렴한 구축비용, 유연하고 신속하며 안정적인 IT서비스를 제공한다는 장점들을 내세우며 전 세계적으로 모든 산업 분야에 걸쳐 도입이 확대되고 있다. 민간 부문뿐만 아니라 정부 공공기관들도 공공의 이익을 실현하기 위해 정부 정책을 통하여서 클라우드를 적극 활용하려 하고 있다. 우리나라의 경우, 2015년 클라우드 컴퓨팅 발전 및 이용자 보고에 관한 법률을 시작으로 3차에 걸친 클라우드 컴퓨팅 기본계획을 통해서 그 의지를 드러내었고, 또한 2021년 행정안전부에서 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진 계획’을 발표하고, 2025년까지 행정·공공기관에서 운영하고 있는 전체 정보시스템을 클라우드로 전면 전환·통합한다고 밝히기도 했다. 정부의 이러한 노력에도 불구하고, 공공부문에서의 클라우드 서비스 활성화는 기대에 못 미치고 있는 것이 현실이다. 그 이유로 제도적인 뒷받침이나 사례들이 충분하지 않다는 의견들도 있으나, 공공부문에만 적용되는 클라우드 서비스 규제인 클라우드 보안인증제(CSAP)가 걸림돌이 되고 있다는 의견들이 존재했다. 2023년 1월 규제 개선의 일환으로 클라우드 보안인증 등급제가 시행되었다. 등급제에서는 데이터 및 정보시스템의 중요도에 따라 상·중·하 등급으로 나누었고, 그 중 하등급은 물리적 분리가 아닌 논리적 분리를 허용하여, 상·중 등급과는 달리 실증을 거치지 않고 우선 시행되었다. 하지만 여전히 클라우드 보안인증 등급제를 둘러싼 이슈와 쟁점들로 인해 이해당사자들 간의 갈등이 현안이 되고 있으나, 이에 대한 실증적 연구는 부족한 것이 사실이다. 본 연구에서는 전체 IT비용에서 클라우드 컴퓨팅이 차지하는 비중이 높은 주요 국가들인 미국, 호주, EU, 영국의 클라우드 서비스 규제 현황을 공공부문 클라우드 서비스 제공 사업자들에 대한 보안 인증제를 중심으로 살펴본다. 또한 우리나라의 클라우드 보안인증제(CSAP)와의 비교 분석을 통해 시사점을 도출하고, CSAP 등급제 시행의 의미와 시행 이후의 이슈와 쟁점들에 대해서 기술하며 제도의 개선 방안을 제시한다. CSAP는 클라우드 서비스 보안 규제임과 동시에 국내 CSP업체들을 보호하는 역할을 수행해오고 있었다. 이제 CSAP 등급제를 통해서 아마존, MS, 구글 등 글로벌 클라우드 서비스 제공업체(CSP)들 뿐만 아니라 국내 MSP 및 Saas업체들에게 공공부문 클라우드 서비스 사업의 문이 열렸다. 국내 MSP 및 Saas업체들에는 기회가 됨과 동시에 국내 CSP업체들에는 위기가 된다고 하는데, 실제로 그러한지 실익에 대한 비교형량 검토가 필요하며, 다양한 이해관계자들의 의견을 적극적으로 경청하고 국가 전체의 이익을 고려한 정책 수립이 필요하다. 결론적으로, 기존의 규제에 대한 접근 방식이 아닌, 보다 현실적인 차원에서 관점의 변화를 가져올 수 있는 규제 개선 방안을 제시한다. 보안 업무 중심에서 데이터 자체를 중심으로 하는 보안 및 보호 통제, 소유의 관점이 아닌 활용의 주체 관점의 데이터 주권, 공급 중심에서 수요 중심으로, 인프라 중심에서 소프트웨어 중심으로의 전반적인 정책 개선을 통해, CSAP 등급제, 나아가서는 공공부문 클라우드 규제에 있어서 이슈와 쟁점들에 대한 합의점을 찾는데 도움이 되고자 한다. 그리고 공공부문 클라우드 서비스의 효과적인 활용과 규제 사이에서 균형을 찾는데 주요한 규제 정책 연구가 이어지기를 희망한다.
Cloud services are increasingly being adopted across all industries globally, citing the advantages of providing low-cost, flexible, fast, and reliable IT services that are difficult for traditional IT infrastructures to respond to in today's rapidly changing business environment. Not only the priva...
Cloud services are increasingly being adopted across all industries globally, citing the advantages of providing low-cost, flexible, fast, and reliable IT services that are difficult for traditional IT infrastructures to respond to in today's rapidly changing business environment. Not only the private sector, but also government agencies are actively utilizing the cloud through government policies to realize public benefits. In the case of Korea, the government has shown its will through three basic cloud computing plans, starting with the Act on Cloud Computing Development and User Reporting in 2015, and in 2021, the Ministry of the Interior and Safety announced the 'Promotion Plan for Cloud Conversion and Integration of Information Resources of Administrative and Public Institutions' and stated that the entire information system operated by administrative and public institutions will be fully converted and integrated into the cloud by 2025. Despite the government's efforts, the activation of cloud services in the public sector has fallen short of expectations. The reason for this is that there is not enough institutional support or examples, but there are opinions that the Cloud Security Assurance Program (CSAP), a cloud service regulation that only applies to the public sector, is a stumbling block. In January 2023, the CSAP was implemented as part of the regulatory improvements. The grading program was divided into high, moderate, and low grades according to the importance of data and information systems, and the low grade allowed logical separation rather than physical separation, so unlike the high and moderate grades, it was implemented first without verification. However, the issues and controversies surrounding the cloud security assurance grading program are still causing conflicts among stakeholders, but empirical studies are lacking. This study examines the current status of cloud service regulation in the United States, Australia, the European Union, and the United Kingdom, which are major countries where cloud computing accounts for a large share of total IT costs, focusing on the security certification system for public sector cloud service providers. It also draws implications through a comparative analysis with Korea's cloud security assurance program (CSAP), describes the meaning of the CSAP grading program, issues and problems after its implementation, and suggests ways to improve the program. CSAP has been playing a role in protecting domestic CSPs as well as regulating cloud service security. Now, the CSAP grading program has opened the door to public sector cloud service business not only to global cloud service providers (CSPs) such as Amazon, MS, and Google, but also to domestic MSPs and SaaS companies. It is said that it is an opportunity for domestic MSPs and Saas companies and a crisis for domestic CSPs, but whether this is the case or not requires a comparative sentencing review of the actual benefits, and it is necessary to actively listen to the opinions of various stakeholders and establish policies that consider the interests of the entire country. In conclusion, we propose ways to improve regulation that can bring about a change in perspective at a more realistic level, rather than the existing approach to regulation. Through security and protection controls centered on the data itself instead of security tasks, data sovereignty from the perspective of the subject of utilization instead of ownership, and overall policy improvements from supply to demand and from infrastructure to software, we hope to help find a consensus on issues and problems in the CSAP rating system and eventually in public sector cloud regulation. We hope that this will lead to major regulatory policy research to find a balance between effective utilization and regulation of public sector cloud services.
Cloud services are increasingly being adopted across all industries globally, citing the advantages of providing low-cost, flexible, fast, and reliable IT services that are difficult for traditional IT infrastructures to respond to in today's rapidly changing business environment. Not only the private sector, but also government agencies are actively utilizing the cloud through government policies to realize public benefits. In the case of Korea, the government has shown its will through three basic cloud computing plans, starting with the Act on Cloud Computing Development and User Reporting in 2015, and in 2021, the Ministry of the Interior and Safety announced the 'Promotion Plan for Cloud Conversion and Integration of Information Resources of Administrative and Public Institutions' and stated that the entire information system operated by administrative and public institutions will be fully converted and integrated into the cloud by 2025. Despite the government's efforts, the activation of cloud services in the public sector has fallen short of expectations. The reason for this is that there is not enough institutional support or examples, but there are opinions that the Cloud Security Assurance Program (CSAP), a cloud service regulation that only applies to the public sector, is a stumbling block. In January 2023, the CSAP was implemented as part of the regulatory improvements. The grading program was divided into high, moderate, and low grades according to the importance of data and information systems, and the low grade allowed logical separation rather than physical separation, so unlike the high and moderate grades, it was implemented first without verification. However, the issues and controversies surrounding the cloud security assurance grading program are still causing conflicts among stakeholders, but empirical studies are lacking. This study examines the current status of cloud service regulation in the United States, Australia, the European Union, and the United Kingdom, which are major countries where cloud computing accounts for a large share of total IT costs, focusing on the security certification system for public sector cloud service providers. It also draws implications through a comparative analysis with Korea's cloud security assurance program (CSAP), describes the meaning of the CSAP grading program, issues and problems after its implementation, and suggests ways to improve the program. CSAP has been playing a role in protecting domestic CSPs as well as regulating cloud service security. Now, the CSAP grading program has opened the door to public sector cloud service business not only to global cloud service providers (CSPs) such as Amazon, MS, and Google, but also to domestic MSPs and SaaS companies. It is said that it is an opportunity for domestic MSPs and Saas companies and a crisis for domestic CSPs, but whether this is the case or not requires a comparative sentencing review of the actual benefits, and it is necessary to actively listen to the opinions of various stakeholders and establish policies that consider the interests of the entire country. In conclusion, we propose ways to improve regulation that can bring about a change in perspective at a more realistic level, rather than the existing approach to regulation. Through security and protection controls centered on the data itself instead of security tasks, data sovereignty from the perspective of the subject of utilization instead of ownership, and overall policy improvements from supply to demand and from infrastructure to software, we hope to help find a consensus on issues and problems in the CSAP rating system and eventually in public sector cloud regulation. We hope that this will lead to major regulatory policy research to find a balance between effective utilization and regulation of public sector cloud services.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.