IT Solutions/Security

클라우드 보안 믿고 쓰려면?

2020. 11. 17. 09:31

클라우드 서비스 보안 인증제도란 클라우드 서비스 제공자가 제공하는 서비스에 대해 인증 기관이 평가•인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도를 말합니다.


법적 추진 근거는 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드 컴퓨팅 법)’입니다. 다음은 인증 마크입니다.


l 클라우드 서비스 보안 인증 마크


이 제도가 나온 이유는 첫째, 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고자 함입니다.


둘째, 객관적이고 공정한 클라우드 서비스 보안 인증을 실시해 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보하고자 함입니다. 즉, 인증을 통해 공공기관에서 클라우드를 믿고 잘 써보자는 의미로 해석됩니다.


클라우드 서비스 보안 평가•인증 체계는 다음과 같은데, 요약하면 클라우드 서비스 제공자가 신청하면 KISA(한국인터넷진흥원)가 인증하는 구조입니다.


l 클라우드 서비스 보안 평가•인증 체계


세부적인 클라우드 서비스 보안 인증 평가•인증 절차는 다음과 같이 준비 단계, 평가 단계, 인증 단계, 사후 관리 단계로 총 4단계입니다. 현장 평가도 있어서 짧게는 3개월, 길게는 9개월 정도 걸린다고 볼 수 있습니다. 물론, 이 기간은 클라우드 서비스 제공자인 신청 기관이 인증을 위한 모든 준비를 마쳤다는 전제입니다.


l 클라우드 서비스 보안 평가•인증 절차


특히, 평가 단계를 자세히 살펴보면 인증 종류별로 소요 기간이 다릅니다. 인증 종류는 어떻게 구분되는지, 인증 종류에 따라 절차 및 소요 기간이 어떻게 달라지는지 알아보겠습니다.


인증은 크게 SaaS(Software-as-a-Service)와 IaaS(Infrastructure-as-a-Service)로 나뉘고, SaaS는 다시 표준 등급과 간편 등급으로 나뉩니다. IaaS는 구분 없이 표준 등급만 있습니다. 이를 표로 정리해보았습니다.


l 클라우드 서비스 보안 인증 종류


또한, 인증을 유지하기 위해서는 다음과 같이 최초 평가 후에 사후 평가, 갱신 평가를 받아야 합니다.


l 클라우드 서비스 보안 인증 평가 구분


최초 평가를 통해 인증을 취득하면, 위 표와 같이 5년(SaaS 간편 등급은 3년)의 유효 기간을 부여받습니다.


사후 평가는 보안 인증을 취득한 이후 지속해서 클라우드 서비스 보안 평가•인증 기준을 준수하고 있는지 확인하기 위한 평가로, 인증 유효 기간(3~5년) 안에 매년 시행합니다.


갱신 평가는 보안 인증 유효 기간(3~5년)이 만료되기 전에 클라우드 서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가입니다. 갱신 평가를 통과하는 경우, 3~5년의 유효 기간을 다시 부여받습니다.


이제 클라우드 서비스 보안 인증 심사 기준을 알아보도록 하겠습니다. 인증 심사 기준은 관리적, 물리적, 기술적 보호 조치 및 공공기관용 추가 보호 조치로 총 14개 부문이며, IaaS는 117개, SaaS는 78개 통제 항목의 준수 여부를 평가합니다.


l 클라우드 서비스 보안 인증 심사 기준


인적 보안, 물리적 보안, 접근 통제, 시스템 개발 및 도입 보안과 같이 통제 항목이 ISMS-P와 매우 유사합니다. 다만, 가상화 보안처럼 클라우드 기술 특성이 반영된 통제 항목이 있으며, 공공부문의 클라우드 도입을 고려하다 보니 공공부문에 대한 추가 보안 요구 사항이 포함되어 있습니다. 총 항목 수는 IaaS의 경우, 117개로 ISMS-P 102개보다 많습니다.


마지막으로 얼마나 많은 기업이 인증을 받았는지 살펴보고 마치도록 하겠습니다. 다음의 연도별 인증서 발급 현황을 보면, 2020년 10월 10일 기준으로 24건이나 되네요.


l 클라우드 서비스 인증서 발급 현황


LG CNS도 다음과 같이 IaaS를 대상으로 2018년에 첫 번째로 받았습니다.

특히, 공공기관 클라우드 서비스 인증 사업과 관련해 유관 부서에서는 시나리오 기반으로 침해 사고 대응 모의 훈련을 해 클라우드 침해 사고 대응 역량 강화 및 이용자 보호에 대비하고 있습니다. 그리고 정기적인 취약점 점검 활동을 수행하고 자산과 위협, 취약점을 분석해 위험을 평가하는 보안 대책을 수립하고 있습니다.

 

l LG CNS 클라우드 서비스 인증서 발급 내역


지금까지 클라우드 서비스 보안 인증제도를 간략히 알아보았습니다. LG CNS도 클라우드 서비스 보안 인증을 받은 만큼 입증된 역량으로 클라우드 서비스 분야에서 더욱 승승장구할 수 있기를 기대합니다.



글 l LG CNS 보안아키텍처팀


* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


[출처]


한국인터넷진흥원 클라우드 보안 인증제 https://isms.kisa.or.kr/main/csap/intro/

 



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로