• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

클라우드 서비스 보안인증, 왜 꼭 받아야 하나 2019.03.08

‘클라우드서비스 보안인증제, 공공부문의 민간 클라우드 이용 위해선 필수

[보안뉴스 박미영 기자] 행정안전부의 ‘행정·공공기관 민간 클라우드 이용 가이드라인’ 개정(2018.12.)에 따라 공공 부문의 클라우드 활성화가 예상되고 있다.

[이미지=iclickart]


이러한 가운데 과학기술정보통신부(이하 과기정통부)는 지난 7일 세계보안엑스포&전자정부 정보보호 솔루션 페어(SECON & eGISEC) 2019에서 ‘공공 분야 민간 클라우드 도입에 따른 보안인증 컨퍼런스’를 개최했다.

정부 및 공공기관 담당자들의 원활한 클라우드 이용과 클라우드 보안인증제에 대한 이해를 돕기 위해 기획된 이번 컨퍼런스는 KISA 클라우드인증팀 박정환 팀장의 ‘클라우드서비스 보안인증제 이해와 정책 방향’ 강연으로 시작됐다.

강연에서 박정환 팀장은 △클라우드 보안인증제의 개요 및 추진 경과 △클라우드 보안인증 절차 △클라우드 보안인증 항목 △행정·공공기관 클라우드 도입 절차 △클라우드 보안인증 절차 개선 사항 등 KISA에서 진행하는 클라우드 보안인증제에 대한 전반적인 내용을 소개했다.

‘클라우드 보안인증제’는 공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 객관적이고 공정한 클라우드 서비스 보안인증을 실시해 이용자의 보안 우려를 해소하고 클라우드 서비스의 경쟁력 확보를 위해 2016년 7월부터 시행되고 있는 제도다. 시행 초기에는 국내 클라우드 시장 현황을 고려해 이용 수요가 높은 ‘IaaS’부터 보안인증제를 시행했으며, 지난해부터는 공공기관의 클라우드 서비스 이용을 ‘SaaS’까지 확대하기 위해 SaaS 보안인증제를 시행하고 있다.

클라우드 보안인증 대상은 ‘IaaS’의 경우 행정·공공기관을 대상으로 퍼블릭(Public) 형태로 인프라를 제공하는 서비스이고, ‘SaaS’의 경우 다수의 기관을 대상으로 퍼블릭(Public) 형태로 소프트웨어를 제공하는 서비스다.

보안인증을 위한 평가에서는 사업자가 제공하는 클라우드 서비스를 위한 관련 자산 및 조직에 대해 관리적·물리적·기술적 보호 조치, 공공기관용 추가 보호 조치 등을 준수했는지를 중점적으로 본다. 단 평가 시에는 인증 준비 미흡, 요청 사항 대응 미흡, 중요 부적합 사항 미조치 등 평가가 어렵다고 판단될 경우 평가 중단 및 평가팀 철수가 이뤄질 수 있으므로 주의해야 한다. 평가는 최초평가·사후평가·갱신평가로 나눠 진행된다.

클라우드 보안인증 절차는 △평가·인증 계약 체결 전에 평가·인증 가능 여부를 확인하는 예비 점검이 실시되는 ‘준비 단계(30일)’ △서면/현장평가, 취약점 점검, 침투테스트 등 실시되는 ‘평가 단계(30~120일)’ △인증위원회를 구성해 인증서를 발급하는 ‘인증 단계(30일)’ △ ‘사후관리 단계’로 진행된다.

클라우드 보안평가·인증 항목과 소요 기간은 ‘IaaS’는 117개 항목에 4개월이 소요되고, ‘SaaS’는 인증받은 ‘IaaS’에 구축하는 것으로 물리적 보호 조치가 제외돼 78개 항목에 3개월이 소요된다.

행정·공공기관이 민간 클라우드 서비스를 이용하려면, 인증받은 서비스를 도입해야 하고 행안부의 ‘행정·공공기관 민간 클라우드 이용 가이드라인(2018.12.)’에 따라 이용 가능 여부를 확인하고 클라우드 서비스 보안인증제에 따라 인증된 클라우드 서비스를 도입해야 한다.

KISA는 지난해 12월 공공기관이 이용 가능한 ‘SaaS’ 서비스 확대 및 구축 비용 절감을 위해 기존 평가 준비 시 ‘SaaS’ 사전 구축 절차를 폐지했다. 단 ‘SaaS’ 사업자를 돕기 위한 사전 컨설팅은 자율 의사에 따라 참여 가능하도록 유지하기로 했다.

한편, ‘공공 분야 민간 클라우드 도입에 따른 보안인증 컨퍼런스’는 총 4개 강연으로 진행됐다. 박정환 팀장의 강연에 이어 행정안전부 정보자원정책과의 김경직 클라우드 팀장은 ‘행안부 클라우드 가이드라인 및 정책 방향’을 주제로 강연했다. 또 세 번째 시간에는 KCA 디지털혁신팀의 김경근 차장이 ‘공공기관의 민간 클라우드 도입과 전환 사례’를, 마지막 시간에는 NBP 김준범 이사가 ‘클라우드 사업자의 클라우드 보안인증 사례’를 주제로 강연했다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>