클라우드컴퓨팅서비스 보안 인증 제도란

KISA_클라우드서비스_보안인증제도_안내서(2024.06).pdf

3.11MB

ㅁ 들어가며

KISA_클라우드서비스_보안인증제도_안내서(2024.06)에서 나타난 클라우드컴퓨팅서비스 보안 인증 제도의 중요성과 공공기관에 미치는 영향을 정리하였다. 이 글을 통해 우리는 클라우드 서비스의 보안이 왜 중요한지, 그리고 어떻게 이를 강화할 수 있는지를 알아보았다.

 

ㅁ 클라우드컴퓨팅서비스 보안 인증 제도란?

 클라우드컴퓨팅서비스 보안 인증 제도는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 클라우드 서비스 제공자가 보유한 데이터와 시스템을 보호하기 위한 표준적인 절차를 의미한다. 이 인증 제도는 클라우드 서비스 제공자가 제공하는 서비스의 정보보호 수준을 향상시키고 보장하기 위해 만들어졌다. 이 제도의 주요 목적은 다음과 같다.

1. 국가·공공기관에 안전성과 신뢰성이 검증된 클라우드 서비스 공급
2. 객관적이고 공정한 인증 제도를 통해 이용자의 보안 우려 해소
3. 클라우드 서비스의 경쟁력 확보

ㅁ 공공기관의 클라우드 이용 촉진

제20조의 제목 중 "공공기관"을 "국가기관등"으로 하고, 같은 조 제목 외의 부분을 제1항으로 하며, 같은 조 제1항(종전의 제목 외의 부분) 중 "정부는 공공기관이"를 "국가기관등은"으로 하고, 같은 조에 제2항부터 제4항까지를 각각 다음과 같이 신설한다.   ② 국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다.   ③ 과학기술정보통신부장관은 국가기관등이 제1항에 따른 클라우드컴퓨팅서비스를 이용할 수 있도록 다음 각 호의 어느 하나에 해당하는 서비스(이하 "디지털서비스"라 한다)를 선정할 수 있으며, 선정된 디지털서비스를 등록 및 관리하는 시스템(이하 "이용지원시스템"이라 한다)을 구축하여 운영할 수 있다.   1. 클라우드컴퓨팅서비스   2. 클라우드컴퓨팅서비스를 지원하는 서비스   3. 지능정보기술 등 다른 기술ㆍ서비스와 클라우드컴퓨팅기술을 융합한 서비스   ④ 그 밖에 디지털서비스의 선정 및 이용지원시스템의 구축ㆍ운영에 필요한 사항은 대통령령으로 정한다.

  클라우드컴퓨팅법 제20조에 따르면, 국가기관 등은 업무를 위해 클라우드컴퓨팅서비스를 이용하도록 노력해야 한다. 특히 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려해야 한다고 명시하고 있다. 이는 공공기관이 클라우드 서비스를 도입할 때 보안 인증을 받은 서비스를 선택하도록 유도하는 효과가 있다.

ㅁ 클라우드컴퓨팅서비스 보안 인증 제도의 주요 요소

클라우드컴퓨팅서비스 보안 인증 제도는 다음과 같은 주요 요소를 포함한다.

1. 물리적 이중화 및 백업 시스템: 중요한 데이터와 서비스를 제공하기 위해 물리적으로 분리된 환경을 구축하고, 정기적인 백업과 복구 절차를 마련해야 한다.
2. 암호화 기술: 이용자 정보와 중요데이터는 암호화를 통해 보호되어야 하며, 이를 위한 검증필 국가표준암호화 기술이 적용된다.
3. 사고 대응 및 보안 관제: 정기적인 보안 점검과 사고 발생 시 신속한 대처 방침을 마련해야 한다.
4. 개인정보 보호 정책: 이용자 정보의 수집, 사용, 제공에 대한 명확한 정책이 필요하며, 이를 준수하기 위한 교육 및 훈련도 필수적이다.

ㅁ 보안 인증의 범위와 대상

보안 인증의 대상은 국가·공공기관 등의 업무를 위해 클라우드 서비스를 제공하려는 자이다. 인증 범위에는 클라우드 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등이 모두 포함된다. 주요 인증 유형은 다음과 같다.

• IaaS (Infrastructure as a Service)
• SaaS (Software as a Service)
• DaaS (Desktop as a Service)

각 유형별로 세부적인 인증 기준과 등급에 따른 요구사항이 마련되어 있다.

ㅁ 인증 등급 체계

보안 인증은 상·중·하 등급으로 구분되며, 유효기간은 5년이다. 등급에 따라 요구되는 인증 항목의 수가 다르다.

• 하등급: 64개 통제항목
• 하등급 SaaS: 30개 통제항목
• 중등급 및 상등급: 추후 안내 예정

이러한 등급 체계는 공공기관이 자신의 업무 특성과 보안 요구사항에 맞는 적절한 수준의 클라우드 서비스를 선택할 수 있게 해준다.

ㅁ 공공기관의 이점

1. 안전성 보장: 인증받은 클라우드 서비스를 이용함으로써 보안 우려를 해소하고 안전한 클라우드 환경을 구축할 수 있다.
2. 선택의 용이성: 인증 등급 체계를 통해 기관의 특성에 맞는 적절한 수준의 서비스를 쉽게 선택할 수 있다.
3. 법적 준수: 클라우드컴퓨팅법에서 요구하는 보안 인증 서비스 우선 고려 사항을 쉽게 충족할 수 있다.
4. 비용 효율성: 개별 기관이 직접 보안 체계를 구축하는 것보다 인증받은 클라우드 서비스를 이용하는 것이 비용 효율적일 수 있다.

ㅁ 공공기관의 고려사항

1. 서비스 유형 선택: IaaS, SaaS, DaaS 중 기관의 업무 특성에 맞는 서비스 유형을 선택해야 한다.
2. 보안 등급 결정: 기관이 다루는 정보의 중요도와 보안 요구사항을 고려하여 적절한 보안 등급의 서비스를 선택해야 한다.
3. 인증 유효기간 확인: 선택한 서비스의 인증 유효기간을 확인하고, 갱신 여부를 지속적으로 모니터링해야 한다.
4. 추가 보안 요구사항 검토: 인증 기준 외에 기관 특유의 추가 보안 요구사항이 있는지 검토하고, 필요시 서비스 제공자와 협의해야 한다.
5. 사용자 교육: 클라우드 서비스 이용에 대한 내부 사용자 교육을 실시하여 보안 인식을 제고해야 한다.

ㅁ 도입 절차 및 주의사항

공공기관이 클라우드 서비스를 도입할 때 다음과 같은 절차를 따르는 것이 좋다:

1. 업무 분석: 클라우드로 전환 가능한 업무 영역을 파악한다.
2. 보안 요구사항 정의: 해당 업무에 필요한 보안 수준과 요구사항을 명확히 한다.
3. 서비스 조사: 보안 인증을 받은 클라우드 서비스들을 조사하고 비교한다.
4. 서비스 선정: 업무 요구사항과 보안 요구사항을 모두 충족하는 서비스를 선정한다.
5. 계약 및 도입: 선정된 서비스 제공자와 계약을 체결하고 서비스를 도입한다.
6. 모니터링 및 관리: 서비스 이용 현황과 보안 상태를 지속적으로 모니터링하고 관리한다.

주의할 점은 보안 인증을 받았다고 해서 100% 안전한 것은 아니라는 점이다. 인증은 최소한의 보안 요건을 충족했다는 의미이므로, 기관은 추가적인 보안 조치를 고려해야 한다.

ㅁ 향후 전망 및 과제

클라우드컴퓨팅서비스 보안 인증 제도는 계속해서 발전하고 있다. 향후 중등급과 상등급에 대한 세부 기준이 마련될 예정이며, 이에 따라 공공기관은 더욱 다양한 선택지를 가질 수 있을 것이다. 그러나 몇 가지 과제도 존재한다.

1. 인증 기준의 지속적인 업데이트: 빠르게 변화하는 기술과 보안 위협에 대응하기 위해 인증 기준을 지속적으로 업데이트해야 한다.
2. 공공기관의 인식 개선: 여전히 많은 공공기관이 클라우드 서비스 도입에 대해 보수적인 태도를 보이고 있어, 이에 대한 인식 개선이 필요하다.
3. 다양한 서비스 확보: 더 많은 클라우드 서비스 제공자들이 보안 인증을 받도록 유도하여 공공기관의 선택의 폭을 넓혀야 한다.
4. 보안 사고 대응 체계 강화: 인증받은 서비스라 하더라도 보안 사고 발생 가능성은 존재하므로, 이에 대한 대응 체계를 강화해야 한다.

ㅁ 마무리

  클라우드 보안은 지속적으로 변화하고 있는 환경에서 중요한 요소이다. 클라우드컴퓨팅서비스 보안 인증 제도는 공공기관의 안전한 클라우드 도입을 위한 중요한 기반이 된다. 이 제도를 통해 공공기관은 보안성이 검증된 클라우드 서비스를 선택할 수 있고, 이는 결과적으로 공공 서비스의 효율성과 안전성에 도움이 된다.

 

  그러나 이 제도가 성공적으로 정착하기 위해서는 공공기관, 클라우드 서비스 제공자, 정부의 적극적인 참여와 이해가 필요하다.

 공공기관은 단순히 인증 여부만을 기준으로 서비스를 선택하는 것이 아니라, 기관의 특성과 요구사항을 충분히 고려한 신중한 접근이 필요하다. 또한 클라우드 서비스 제공자들도 지속적인 보안 강화와 서비스 개선에 힘써야 한다. 인증을 받는 것에서 그치지 않고, 계속해서 변화하는 보안 위협에 대응할 수 있는 체계를 갖추어야 할 것이다. 정부 차원에서는 이 제도를 지속적으로 발전시키고, 공공기관의 클라우드 도입을 지원하기 위한 다양한 정책을 마련해야 한다. 예를 들어, 클라우드 전환 성공 사례를 공유하거나, 클라우드 도입을 위한 가이드라인을 제공하는 등의 노력이 필요할 것이다.

  따라서 공공기관, 클라우드 서비스 제공자, 정부가 협력하여 클라우드컴퓨팅서비스 보안 인증 제도는 이제 시작 단계이지만, 앞으로의 발전 가능성이 매우 크다고 할 수 있다. 이 제도를 발전시키고 활용한다면, 궁극적으로 국가 전체의 디지털 경쟁력 향상으로 이어질 수 있을 것이다.