클라우드 서비스 보안 인증제도란 클라우드 서비스 제공자가 제공하는 서비스에 대해 인증 기관이 평가•인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도를 말합니다.
법적 추진 근거는 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드 컴퓨팅 법)’입니다. 다음은 인증 마크입니다.
이 제도가 나온 이유는 첫째, 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고자 함입니다.
둘째, 객관적이고 공정한 클라우드 서비스 보안 인증을 실시해 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보하고자 함입니다. 즉, 인증을 통해 공공기관에서 클라우드를 믿고 잘 써보자는 의미로 해석됩니다.
클라우드 서비스 보안 평가•인증 체계는 다음과 같은데, 요약하면 클라우드 서비스 제공자가 신청하면 KISA(한국인터넷진흥원)가 인증하는 구조입니다.
세부적인 클라우드 서비스 보안 인증 평가•인증 절차는 다음과 같이 준비 단계, 평가 단계, 인증 단계, 사후 관리 단계로 총 4단계입니다. 현장 평가도 있어서 짧게는 3개월, 길게는 9개월 정도 걸린다고 볼 수 있습니다. 물론, 이 기간은 클라우드 서비스 제공자인 신청 기관이 인증을 위한 모든 준비를 마쳤다는 전제입니다.
특히, 평가 단계를 자세히 살펴보면 인증 종류별로 소요 기간이 다릅니다. 인증 종류는 어떻게 구분되는지, 인증 종류에 따라 절차 및 소요 기간이 어떻게 달라지는지 알아보겠습니다.
인증은 크게 SaaS(Software-as-a-Service)와 IaaS(Infrastructure-as-a-Service)로 나뉘고, SaaS는 다시 표준 등급과 간편 등급으로 나뉩니다. IaaS는 구분 없이 표준 등급만 있습니다. 이를 표로 정리해보았습니다.
또한, 인증을 유지하기 위해서는 다음과 같이 최초 평가 후에 사후 평가, 갱신 평가를 받아야 합니다.
최초 평가를 통해 인증을 취득하면, 위 표와 같이 5년(SaaS 간편 등급은 3년)의 유효 기간을 부여받습니다.
사후 평가는 보안 인증을 취득한 이후 지속해서 클라우드 서비스 보안 평가•인증 기준을 준수하고 있는지 확인하기 위한 평가로, 인증 유효 기간(3~5년) 안에 매년 시행합니다.
갱신 평가는 보안 인증 유효 기간(3~5년)이 만료되기 전에 클라우드 서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가입니다. 갱신 평가를 통과하는 경우, 3~5년의 유효 기간을 다시 부여받습니다.
이제 클라우드 서비스 보안 인증 심사 기준을 알아보도록 하겠습니다. 인증 심사 기준은 관리적, 물리적, 기술적 보호 조치 및 공공기관용 추가 보호 조치로 총 14개 부문이며, IaaS는 117개, SaaS는 78개 통제 항목의 준수 여부를 평가합니다.
인적 보안, 물리적 보안, 접근 통제, 시스템 개발 및 도입 보안과 같이 통제 항목이 ISMS-P와 매우 유사합니다. 다만, 가상화 보안처럼 클라우드 기술 특성이 반영된 통제 항목이 있으며, 공공부문의 클라우드 도입을 고려하다 보니 공공부문에 대한 추가 보안 요구 사항이 포함되어 있습니다. 총 항목 수는 IaaS의 경우, 117개로 ISMS-P 102개보다 많습니다.
마지막으로 얼마나 많은 기업이 인증을 받았는지 살펴보고 마치도록 하겠습니다. 다음의 연도별 인증서 발급 현황을 보면, 2020년 10월 10일 기준으로 24건이나 되네요.
LG CNS도 다음과 같이 IaaS를 대상으로 2018년에 첫 번째로 받았습니다.
특히, 공공기관 클라우드 서비스 인증 사업과 관련해 유관 부서에서는 시나리오 기반으로 침해 사고 대응 모의 훈련을 해 클라우드 침해 사고 대응 역량 강화 및 이용자 보호에 대비하고 있습니다. 그리고 정기적인 취약점 점검 활동을 수행하고 자산과 위협, 취약점을 분석해 위험을 평가하는 보안 대책을 수립하고 있습니다.
지금까지 클라우드 서비스 보안 인증제도를 간략히 알아보았습니다. LG CNS도 클라우드 서비스 보안 인증을 받은 만큼 입증된 역량으로 클라우드 서비스 분야에서 더욱 승승장구할 수 있기를 기대합니다.
글 l LG CNS 보안아키텍처팀
[출처]
한국인터넷진흥원 클라우드 보안 인증제 https://isms.kisa.or.kr/main/csap/intro/