클라우드 전문정보
제목 | 국내외 클라우드 보안 인증제도 동향 분석 | ||
---|---|---|---|
등록일 | 2017-08-28 | 조회수 | 3566 |
고갑승 한국IT평가원 연구소장
개요
지난 2015년 3월에 “클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률”(이하 “클라우드 발전법”)이 제정 및 시행됨에 따라 미래창조과학부(現 과학기술정보통신부)에서는 클라우드 컴퓨팅 산업 육성의 일환으로 “클라우드 서비스 활성화를 위한 정보보호 대책”(‘15.09)을 발표하였다. 본 클라우드 정보보호대책은 ① 클라우드 사업자 정보보호 수준향상 및 대응체계 구축, ② 클라우드 이용자 정보 보호 기반 구축, ③ 클라우드 정보보호 기업 육성 등의 과제로 ‘19년까지 단계적으로 추진할 계획이다.
또한, “K-ICT 클라우드컴퓨팅 활성화 계획”(‘15.11)을 통해 클라우드 컴퓨팅 발전 기본계획을 발표하면서, 클라우드 정보보호 수준 향상을 위해 국제 클라우드 보안표준 및 주요국의 보안인증기준을 고려하여 정보보호 기준을 마련하기로 하였으며, 지난 2016년부터 한국인터넷진흥원(KISA)에서는 이를 적용하기 위한 “클라우드 보안인증제”를 시행하고 있다.
본 고에서는 국외 주요국들의 클라우드 보안 인증제도 운영 현황 및 현재 국내에서 운영하고 있는 클라우드 보안 인증제를 살펴보고자 한다.
국외 클라우드 정보보호정책 현황
ICT 활용 패러다임이 기존 On-Premise1 환경에서 On-Demand 2 환경인 클라우드 서비스 환경으로 전환됨에 따라 주요 선진국에서는 공공부문의 클라우드 우선 정책(‘Cloud First Policy’)을 통해 민간 클라우드 서비스 이용의 확산을 추진하고 있다(표 1).
[표 1] 국외 클라우드 활성화 정책 및 정보보호 정책
구분 | 활성화 정책 | 정보보호 정책 |
---|---|---|
미국 | 미 연방정부 차원의 클라우드 우선 도입 정책(Cloud First Policy) 수립․추진(‘11년) | 미 연방정부가 이용하는 클라우드의 보안인증과 조달을 위한 FedRAMP 프로그램 수립・운용 (‘12년) |
영국 | 공공부문의 클라우드 도입・확산을 위해 ‘정부 클라우드 전략’(Government Cloud Strategy) 수립(‘12년) | 클라우드 서비스의 보안 수준을 측정 하기 위해 정부인가제도 운영(‘12년) |
일본 | 정부의 IT시스템을 클라우드로 전환하는 ‘가스미가세키 프로젝트’ 수립(‘13년) | 클라우드의 안정성, 신뢰성 검증을 위한 인증제도 운영(‘12년) |
중국 | 국제적 수준의 클라우드 실현을 위한 6대 핵심전략 발표(‘15. 1월) | 클라우드 데이터센터를 자국내에 두는 등 인터넷 안전법 발표(‘15년) |
국외 클라우드 보안 인증제도 현황
미국, 영국 등 주요 선진국에서는 클라우드 이용 활성화를 위해 각 국의 환경에 적합한 공공조달용 클라우드 스토어를 구축하여 공공부문의 클라우드 이용을 촉진하고 있으며, 공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 클라우드 보안 인증제도를 운영하고 있다(표 2).
[표 2] 국외 클라우드 보안 인증제도 운영현황
국가 | 인증명 | 심사기준 | 인증기관 | 평가기관 | 비고 |
---|---|---|---|---|---|
미국 | FedRAMP(‘11년) | NIST SP 800-53(‘12년) | FedRAMP PMO(운영사무국)(‘11년) | 공인기관(45개의 심사기관) |
|
영국 | UK G-클라우드 | ISO/IEC 27001+자체규정 | CESG(국가정보보증기술국) | - |
|
일본 | ASP∙SaaS 인증 IaaS∙PaaS 인증 데이터센터 인증 |
클라우드 서비스의 안전∙신뢰성에 관한 정보 공개 지침 | ASPIC(일본 ASP 산업협회) | ASPIC(인증심사위원회) |
|
싱가포르 | MTCS-SS | ISO/IEC 27001+자체규정 | ITSC(정보기술표준위원회) | 공인기관(7개의 심사기관) |
|
호주 | ASD CCSL |
ISO/IEC 27001+자체규정 | ASD(호주 신호국)(‘11년) | IRAP (인증심사위원회) |
|
국내 클라우드 보안 인증제 소개
“클라우드 발전법” 시행에 따른 후속 조치로 미래창조과학부(現 과학기술정보통신부)와 한국인터넷진흥원(KISA)은 국내 민간 클라우드 서비스 사업자들이 공공 부문에 서비스를 제공할 수 있도록 부여하는 보안 인증 기준인 “클라우드 보안 인증제”를 마련하고 시행하게 되었다.
“클라우드 보안 인증제”는 “클라우드 발전법” 제23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가․인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도이다.
(그림 1)은 클라우드 보안 인증제의 조직 및 역할을 보인다.
(그림 1) 클라우드 보안 인증제의 조직 및 역할
※ 출처: 클라우드 컴퓨팅 서비스 보안인증제도 안내서 한국인터넷진흥원(2017.07)
클라우드 사업자는 공공기관용 클라우드를 구축한 후 인증신청을 해야 하며, 평가․인증 신청 전에 예비점검이 실시되며, 서면/현장평가, 취약점 점검 및 침투테스트 등을 거쳐 인증위원회의 심의 의결을 받게 된다.
클라우드 보안 인증제의 보안 평가․인증 기준은 관리적․물리적․기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부문 117개의 통제항목으로 구성되어 있다(표 3).
[표 3] 클라우드 보안 인증제의 평가․인증 기준
구분 | 주요 조치내용 |
---|---|
관리적 보호조치 | 정보보호 정책 수립, 인적보안, 자산관리, 서비스 공급망 관리, 침해사고 관리 등 |
기술적 보호조치 | 가상화 보안, 접근통제, 네트워크 보안, 데이터 보안/암호화 등 |
물리적 보호조치 | 보안구역 지정, 물리적 접근제어, 장비 반출입 등 정보처리 시설 및 장비보호 |
공공기관용 추가 보호조치 | 도입 전산장비 안정성, 물리적 위치 및 분리, 검증필 암호화 기술 제공 등 |
국내 클라우드 보안 인증제 현황
국내 클라우드 보안 인증제는 지난 2016년부터 5월부터 현재까지 IaaS 서비스 대상으로 KT, NBP(Naver Business Platform), 가비아가 인증을 완료했으며, 더존비즈온, 이노그리드, SK C&C, NHN 엔터테인먼트 등이 인증을 준비하고 있다(표 4).
[표 4] 클라우드 보안 인증제 운영 현황
구분 | 신청 예정 | 심사 완료 |
---|---|---|
IaaS CSP |
|
|
SaaS CSP |
|
- |
또한 금년에는 클라우드 보안 인증 대상을 기존 IaaS 서비스에서 SaaS 서비스로 점차 확대하여 공모를 통해 3종의 SaaS 서비스를 시범사업자로 선정하여 SaaS 서비스에 대한 점검 기준 및 방법론 등을 적용하는 시범평가를 진행할 것으로 보인다.
국내 클라우드 보안 인증제를 통해 공공기관 이용자들에게는 객관적이고 공정하게 인증 받은 클라우드 서비스를 이용함으로써 클라우드 서비스 도입의 걸림돌이었던 보안우려를 해소하고 클라우드 사업자들에게는 클라우드 서비스 보안 경쟁력이 확보될 것으로 기대된다.