• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정부 차원의 ‘클라우드 서비스 인증제’ 본격 시행! 2012.01.16

방통위, ‘클라우드 서비스 인증제’ 마련·시행

ISMS 인증 등 획득 시 보안관리 항목에 대해 심사 면제


[보안뉴스 김정완] 이용자의 신뢰를 높여 클라우드 서비스를 확산하고, 품질이 우수한 국내 중소업체의 사업 여건을 개선한다는 취지의 ‘클라우드 서비스 인증제’가 마련돼 본격적으로 시행된다.


방송통신위원회는 클라우드 업체가 제공하는 서비스를 평가해 일정 수준 이상의 체계나 절차를 확보하고 있는 경우에 인증을 부여하는 ‘클라우드 서비스 인증제’를 마련해 시행한다고 16일 밝힌 것.


이번 ‘클라우드 서비스 인증제’는 작년 5월 경제정책조정회의에서 발표된 ‘클라우드 컴퓨팅 확산 및 경쟁력 강화전략’의 일환으로 마련된 것으로서, 현재 초기 단계에 있는 국내 클라우드 서비스의 수준 및 신뢰를 높이는 계기가 될 것으로 기대된다.


현재 우리나라의 경우 아직 클라우드의 품질·보안 등에 대한 이용자의 불안감이 높은 상황인바, 이 인증 제도의 시행으로 우수 서비스가 확산되면 신뢰가 높아지고 이에 따라 관련 시장도 확대될 수 있을 것으로 전망된다.


또한, 글로벌 기업이나 대기업에 비해 인지도나 브랜드 파워가 부족한 중소기업의 경우에도 품질만 좋으면 시장에 진출할 수 있는 여건이 개선됨은 물론, 해외의 경우에는, 미국 (FedRAMP)이나 일본 (ASP·SaaS 인증제)에서 클라우드 서비스의 품질이나 보안 수준을 평가하기 위해 인증제를 도입하고 있으며, 점차 확산될 전망이다.


기존 단순 웹하드나 동영상 스트리밍 서비스 등은 인증 대상에서 제외

인증 대상은 클라우드 서비스로, 기존의 단순한 웹 하드나 동영상 스트리밍 서비스는 인증 대상에서 제외된다.


심사 기준은 3대(품질, 정보보호, 기반) 분야, 7개(가용성, 확장성, 성능(속도), 데이터 관리, 보안, 서비스 지속성, 서비스 지원) 항목으로 구성되었으며, 총 세부 심사 항목은 105개(필수 항목 : 39개 항목)이다. 클라우드 서비스 인증을 받고자 하는 기업은 전체 심사 항목에서 70% 이상의 점수를 획득하는 동시에, 필수 항목을 모두 충족해야 한다. 인증제가 초기 단계인 관계로, Pass (합격)/Fail (불합격) 방식으로 운영된다.


※ 주요 심사기준

▷ 가용성 기준 (예. 99.5% 이상)을 제시, 이를 보장하기 위해 정책 등을 보유하는지 심사

▷ 언제든지 IT 자원을 신속히 확장·축소하여 제공할 수 있도록 관리하는지 평가

▷ 이용자가 원할 때, 언제든 데이터를 반환·폐기할 수 있도록 조치하는지 점검

▷ 데이터가 손상·유실될 경우에 대비, 백업·복구 등 정책·기반시설을 마련하는지 평가


특히, 심사기준에 있어 보안 항목에 있어서는 정보보호 관리체계(ISMS : Information Security Management System)를 중심으로, 클라우드 환경에서의 보안상 취약점(예. 가상자원 내 악성 코드 침입)을 추가적으로 보완하는 대책을 마련하였는지 심사하고, ISMS 및 기타 유사 인증을 받았거나, 이미 받은 데이터 센터를 이용하는 경우에는 클라우드 서비스 인증 평가기준의 보안·데이터 관리 항목에 대해 심사를 면제(인증료 감면)해 준다.


현재는 민간 인증으로 추진...향후에는 정부 인증으로 격상 추진

클라우드 서비스 인증제는 민간 인증으로 추진하며, 이에 따라 (사)한국클라우드서비스협회에 사무국과 산·학·연 전문가로 구성된 인증 위원회를 두어 운영할 계획이다.


인증 절차는 신청이 접수된 이후 60일 이내에 완료되며, 신청인은 사무국을 통해 인증서 신청부터 발급까지 모든 서비스를 원스톱으로 받을 수 있다.


인증의 효력은 인증서(인증 마크) 발급일로부터 2년 간 유지되며, 인증을 받은 클라우드 업체는 인증서를 사업장에 게시하거나, 홍보물·방송·신문·인터넷 등 매체에 인증 마크와 인증 획득 사실을 공표하거나 홍보할 수 있다. 또한, 인증을 받은 업체가 정부 사업에 참여 하는 경우 가점을 부여할 수 있도록 할 계획이다.


인증제의 본격 시행에 따라, 클라우드 서비스 인증을 받고자 하는 업체는 사무국(한국클라우드서비스협회)에 2월 1일부터 온라인으로 신청(www.kcsa.or.kr)하거나, 사무국(070-8730-2343)으로 문의하면 된다.


이와 관련 방통위 관계자는 “우수한 서비스를 가진 다수의 기업들이 인증을 받을 수 있도록 설명회를 개최하고, 인증 사실을 유관 기관(클라우드서비스협회, 한국인터넷진흥원, 한국정보통신진흥협회 등) 홈페이지에 게시하며, 언론과 협조하는 등 적극적으로 서비스 업체와 이용자에게 홍보할 계획”이라며, “향후에는 인증 등급을 부여하거나 정부 인증으로 격상하는 방안을 검토할 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>