묻고 답하기

안녕하세요 

클라우드 혁신센터입니다. 

SaaS로 전환하면서 개인정보를 안전하게 다루는 것은 매우 중요한 문제이기 때문에 외부 클라우드 환경에서 운영되는 특성상 보안 관리에 대해 신중히 접근해야 합니다. 3가지를 안내해드리오니 참고해주시기 바랍니다. 

1. SaaS 제공자의 보안 수준

• 인증 및 접근 관리: 제공자가 강력한 인증 및 권한 관리 시스템을 갖추고 있는지 확인해야 합니다. 예를 들어, 멀티팩터 인증(MFA) 및 역할 기반 접근 제어(RBAC)와 같은 보안 조치를 사용할 수 있습니다.
• 보안 인증: 제공자가 ISO/IEC 27001, SOC 2, GDPR 등과 같은 국제 보안 인증을 받았는지 확인하셔야 합니다. 

2. 데이터 보호 및 개인정보보호법 준수

• GDPR, CCPA 등 법규 준수: SaaS 제공자가 해당 국가나 지역의 개인정보보호법(GDPR, CCPA 등)을 준수하는지 검토해야 합니다. 데이터 주권과 관련된 법적 요구사항을 따르는지 확인하는 것이 중요합니다.
• 데이터 주권: 저장되는 데이터가 어느 국가의 서버에 위치하는지 리전을 확인하셔야 합니다. 각 국가는 데이터 보호 규정이 다를 수 있으며, 특정 지역에서 데이터를 저장해야 할 수 있습니다.

3. 서비스 가용성 및 백업 정책

• 데이터 백업 및 복구: SaaS 제공자가 데이터 손실을 방지하기 위해 백업 정책을 잘 운영하고 있는지 확인해야 합니다. 정기적인 백업과 복구 프로세스가 잘 마련되어 있는지 확인하세요.
• 서비스 중단 대비: SaaS 제공자가 서비스 중단이나 장애 발생 시 빠르게 대응할 수 있는 시스템과 계획을 갖추고 있는지 검토해야 합니다.

SaaS 전환이 안전한지 여부는 제공자의 보안 성능, 법적 준수 여부, 데이터 보호 정책 등에 따라 달라집니다.충분한 사전 조사와 위험 분석을 통해 신뢰할 수 있는 SaaS 제공자를 선택하고, 필요한 보안 대책을 강화한다면 SaaS 전환은 안전하게 이루어질 수 있습니다.

CSAP(Cloud Security Assurance Program)은 클라우드 서비스 보안인증제도로, 한국의 클라우드 서비스 제공자가 보안성을 인증받기 위한 제도입니다. **한국인터넷진흥원(KISA)**에서 주관하며, 한국에서 공공기관이 클라우드 서비스를 도입할 때는 CSAP 인증을 받은 서비스를 이용해야 하는 경우가 많습니다. 이는 공공 데이터를 안전하게 관리하고 보호하기 위한 법적 요구사항입니다.

CSAP는 공공기관뿐만 아니라 민간 기업에게도 신뢰할 만한 보안 기준을 제시해 줍니다. CSAP 인증을 획득한 클라우드 서비스는 이미 엄격한 보안 평가를 거쳤기 때문에, 민간 기업도 보안이 중요한 경우 CSAP 인증 서비스를 선택함으로써 안심하고 사용할 수 있습니다. 개인정보를 다루는 환경에서 CSAP 인증을 받은 SaaS나 클라우드 서비스를 선택하는 것은 안전한 선택이 될 수 있습니다.