[Cloud Z] 클라우드 컴퓨팅(Cloud Computing) 발전을 위한 '클라우드 보안 인증제'

미국 등 글로벌 국가들이 민간 뿐만 아니라 정부기관 등 공공부분에서의 클라우드 서비스를 적극적으로 도입하고 아마존(Amazon), 마이크로 소프트(MS), 구글(Google), IBM 등 글로벌 기업들이 글로벌 시장을 대상으로 서비스를 확대하는 등 클라우드에 대한 관심과 투자가 이어지는 가운데, 국내에서도 클라우드의 중요성이 지속적으로 부각되고 왔습니다. ​

하지만 보안에 대한 우려와 투자 회피로 인해 클라우드 산업이 활성화 되지 못하는 가운데 이를 해결하고 국내 클라우드 산업을 활성화 하기 위해 2013년 10월 클라우드 발전 법안이 발의되고 국회 본회의 통과 등을 거쳐, 지난해 9월 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률'(이하 클라우드 발전법)이 본격 시행 되었습니다. 

클라우드 발전법은 클라우드 산업 발전의 기반을 마련하는데 필요한 내용과 함께 클라우드 서비스 이용자의 개인정보보호에 필요한 정보보호 조치 기준, 침해사고 통지, 이용자를 위한 정보 공개 등의 내용을 포함한 '이용자 보호, 공공·민간 확산, 클라우드 산업 육성' 등 크게 3가지로 구성되어 있습니다. 

클라우드 보안 인증제란?

클라우드 발전법 시행에 따른 후속 조치로 미래창조과학부와 한국인터넷진흥원(KISA)은 국내 민간 클라우드 서비스 사업자들이 공공 부문에 서비스를 제공할 수 있도록 부여하는 보안인증 기준인 '클라우드 보안 인증제'를 마련하고 시행하게 되었습니다. 

클라우드 보안 인증제는 지난해 9월부터 시행된 '클라우드 발전법' 제 23조제2항 정보보호 기준의 준수여부 확인을 인증기관에 요청하는 경우 인증 기관이 이를 평가 및 인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하기 위해 마련된 제도로 미국에서 시행하고 있는 '페드램프(FedRAMP, 연방정부 클라우드 보안통제 항목)'의 한국판으로 사업자가 자사 서비스에 대해 정보보호 기준 준수 여부를 인증기관인 한국인터넷진흥원에 확인을 요청하는 경우 인증원이 이를 평가·인증하는 제도로 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상에 필요한 정보보호 기준의 구체적인 내용을 관리적, 기술적, 물리적 보호조치, 공공기관용 보호조치 등 크게 4가지로 구분해 14개 부문, 118개 통제항목을 준수하고 있는지를 평가·인증 합니다. 

현재는 IaaS(Infrastructure as a Service)제공자를 대상으로 보안인증제를 실시하고 향후 확대할 예정이며 인증 획득을 위해서는 서류를 제출하는 준비단계(1개월~4개월), 실제 서면/현장 심사와 취약점 점검 등 평가단계(1개월~4개월), 인증단계(1개월)를 거쳐, 최소 3개월에서 최대 9개월 까지의 기간이 소요됩니다. 획득한 인증은 3년의 유효기간을 가지며, 매년 사후평가를 통해 인증자격을 유지할 수 있습니다.  

클라우드 보안 인증제 평가기준은?

클라우드 사업자는 공공기관용 클라우드를 구축한 후 인증신청을 해야 하며, 평가·인증 신청전에 예비점검이 실시됩니다. 클라우드컴퓨팅 서비스 제공자는 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 확보를 위해 관리적 보호조치, 물리적 보호조치, 기술적 보호조치, 공공기관용 추가 보호조치 등의 총 118개의 정보보호조치를 취해야 합니다. 

자세한 정보보호조치는 아래 미래창조과학부 '클라우드컴퓨팅 정보보호 및 품질성능 고시 시행' 보도자료 및 첨부파일을 참고해 주세요.  

▷ 참고

​- 클라우드컴퓨팅 정보보호 및 품질성능 고시 시행 (미래창조과학부)

   http://www.msip.go.kr/web/msipContents/contentsView.do?cateId=mssw311&artId=1295084

예비점검 이후에는 서면/현장평가, 취약점 점검 및 침투테스트 등을 거쳐 인증심의위원회의 심의 의결을 받게 됩니다. 취약점 점검 및 침투테스트는 예비 점검시 협의된 대상 목록을 대상으로 진행되며 외부 인터넷을 통한 클라우드 서비스 포털로의 침투가 주요 내용 입니다.

클라우드 서비스 사업자가 위 요건을 만족시켜 클라우드 보안 인증을 획득했다 하더라도 해당 클라우드 서비스가 100% 안전하다고 보증하는 것은 아니라는 것 점은 유념할 필요가 있습니다.  

 

정보보호관리체계(ISMS) 인증과 차이는?

클라우드 정보보호 기준(안) 준수 여부를 확인하는 보안인증제가 기존 정보보호관리체계(ISMS)와 유사한 부분이 많아 ISMS 인증을 받은 기업 입장에서 클라우드 보안인증제는 이중규제에 해당한다는 지적이 있습니다. 

ISMS 인증제도는 기업이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도로 이를 통해 정보자산의 안전, 신뢰성 향상과 정보보호관리에 대한 인식제고, 국제적 신뢰도 향상과 정보보호서비스 산업의 활성화를 목적으로 심사기준은 정보보호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개 분야 92개 통제사항 등 총 104개 통제사항으로 구성되어 있습니다. 

▷ 참고

- 정보보호 관리체계(ISMS) 인증기준 (KISA)

http://isms.kisa.or.kr/kor/intro/intro02.jsp  

[표] 공공기관용 클라우드 컴퓨팅서비스 추가 보호조치 (미래창조과학부)

구분			세부조치사항
14 공공기관 보안요구사항	14.1. 관리적  보호조치	14.1.1.  보안서비스  수준 협약	공공기관의 보안 요구사항이 반영된 보안서비스 수준 협약을 체결하고, 클라우드 컴퓨팅서비스 관련 정보보호 정보를 공공기관에 제공하여야 한다.
		14.1.2.  도입 전산장비  안전성	클라우드 컴퓨팅 서비스 구축을 위해 도입되는 서버·PC 가상화 솔루션 및 정보보호 제품 중에 CC인증이 필수적인 제품군은 국내·외 CC인증을 받은 제품을 사용하여야 한다.
		14.1.3. 보안관리 수준	클라우드컴퓨팅서비스 운영 장소 및 망은 공공기관 내부 정보 시스템 운영 보안 수준에 준하여 보안 관리하여야 한다.
		14.1.4.  사고 및 장애대응	클라우드컴퓨팅서비스를 제공하는 민간 사업자는 사고 또는 장애 발생 시 공공기관의 사고·장애 대응 절차에 따라 해당 공공기관, 대내·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하여야 하며, 공공기관의 사고·장애 대응에 적극 협조하여야 한다.
	14.2. 물리적  보호조치	14.2.1. 물리적 위치  및 분리	클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고, 공공기관용 클라우드컴퓨팅서비스의 물리자원(서버, 네트워크, 보안장비 등), 출입통제, 운영인력 등은 일반 이용자용 클라우드컴퓨팅서비스 영역과 분리하여 운영하여야 한다.
		14.2.2. 중요장비 이중화  및 백업체계 구축	클라우드컴퓨팅서비스를 제공하는 사업자는 네트워크 스위치, 스토리지 등 중요장비를 이중화하고 서비스의 가용성을 보장하기 위해 백업체계를 구축하여야 한다.
		14.3.1.  검증필 암호화  기술 제공	클라우드컴퓨팅서비스를 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 국가표준암호화 기술을 제공하여야 한다.
		14.3.2. 보안관제  제반환경 지원	공공기관에 클라우드컴퓨팅서비스 보안관제 수행에 필요한 제반환경을 지원하여야 한다.

클라우드 보안 인증제는 평가 활성화를 위해 수수료를 당분간 면제하고 있지만 이후에는 인건비와 직접경비, 기술료 등을 부과할 방침이며 연간 매출액 100억 이하인 중소기업에 대해서는 30% 할인율을 적용할 방침입니다. 

한국인터넷진흥원은 지난 5월 클라우드서비스 보안인증제 신청접수 안내 및 양식 배포를 공지한 후 24일부터 접수를 받고 있습니다. 공공기관의 업무를 위해 클라우드서비스를 제공하려는 클라우드서비스 제공자는 클라우드서비스 보안인증 신청서류를 전자우편, 방문접수, 등기우편 등을 통해 한국인터넷진흥원(KISA)에 제출하면 됩니다.  

* 클라우드서비스 보안인증 신청서류 

• 클라우드서비스 보안인증 신청 공문 1부
• ​클라우드서비스 보안인증 신청서
• ​취약점 점검 및 침투테스트 동의서
• ​클라우드서비스 보안인증 명세서
  (클라우드서비스 보안운영 명세서 포함)
• ​법인/개인 사업자 등록증 1부

▷ 참고

- 클라우드서비스 보안인증제 신청접수 안내 및 양식배포​ (한국인터넷진흥원)

http://www.kisa.or.kr/notice/notice_View.jsp?mode=view&p_No=4&b_No=4&d_No=1697 

SK인포섹은 정보보안 컨설팅에서 독보적인 인력과 노하우를 보유하고 있으며, 올해부터 클라우드 보안관제 서비스도 제공하고 있습니다. 기술 트렌드 변화와 고객의 니즈를 충족시키기 위해 앞서나가는 SK인포섹은 클라우드 보안 관련 컨설팅도 제공하고 있습니다. 보안관련 고민과 그 해결은 SK인포섹과 함께 하세요~   

♣ 컨텐츠 제공 출처 : SK인포섹 블로그