해외 현황으로 살펴본 클라우드 보안인증제 길라잡이

공공 클라우드 서비스의 기술적·관리적·물리적 보호조치 기준은 필수

[보안뉴스 김태형] 지난해 9월 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드컴퓨팅법)’이 본격 시행되면서 클라우드 시장 활성화에 대한 기대가 매우 커졌다. 특히 ‘클라우드 컴퓨팅 정보보호 대책’ 및 ‘클라우드 컴퓨팅 기본계획’이 수립·발표되면서 이에 따른 산업 활성화를 위해서는 ‘클라우드컴퓨팅법’ 제23조에 따른 품질·성능 및 정보보호 기준 고시 제정을 서둘러야 한다는 의견이 제기되고 있다.

특히, 클라우드 컴퓨팅 환경에서는 시간·장소·단말·네트워크 환경에 상관없이 업무 시스템에 접속할 수 있어 사용자에 대한 접근제어·인증, 단말의 무결성, 네트워크 안전성, 송수신 데이터의 암호화 등 정보보호 기준이 매우 중요하다.

이에 정부는 공공 클라우드의 안전성을 보장하기 위해서 ‘클라우드 품질·성능 기준 및 정보보호 기준’을 마련하고 업계 의견 수렴과 관계부처와의 협의를 거쳐 오는 4월부터 시행할 계획이다.

이를 통해 클라우드 서비스 제공자에게 권고할 정보보호 측면의 기술적·관리적·물리적 보호조치 기준과 더불어 공공기관 민간 클라우드 이용에 필요한 보안인증제 운영 근거가 될 공공부문을 위한 정보보호 기준을 마련하게 된다.

이미 미국이나 일본, 싱가폴 등, 주요 클라두으 선진국은 안전한 클라우드 이용을 위한 클라우드 정보보호 제도를 운영하고 있다. 특히 미국은 공공부문 클라우드 우선 도입(Cloud First) 정책과 함께 공공기관의 안전한 민간 클라우드 이용을 위한 보안인증제를 운영 중이다.

미국 ‘FedRAMP’ 도입
미국은 클라우드 서비스 보안수준 평가·인증제도(FedRAMP) 도입을 통해 연방정부의 안전한 클라우드 이용을 도모하고 있다. 클라우드 서비스의 보안 평가·인증 관련 모든 사항을 통합해 연방정부의 민간 클라우드 도입을 위한 보안성 평가 항목을 규정하고 ‘FedRAMP’ 인증을 획득한 클라우드 서비스는 추가 인증절차 없이 모든 연방기관에서 이용 가능한 방법으로, 정보보호 수준 제고는 물론 위험관리 비용 절감에 기여하고 있다.

이는 연방정부 차원에서 보증하는 JAB 임시인증(높은 수준, 9개월 소요)과 개별 기관에서 보증하는 기관인증(낮은 수준, 4개월 소요)으로 구분되며 ‘NIST SP 800-53 지침(미 연방정부의 정보시스템 및 개인정보 보안 지침)’을 기반으로 클라우드 서비스에 특화된 사항을 추가, 총 17개 분야, 325개 보안 통제기준을 제시한다. 또한, 제공되는 클라우드 서비스의 중요도와 민감도에 따라 가중치를 부여해 통제항목을 Low, Moderate-level로 구분한다.

미국은 FedRAMP 도입으로 연방정부 클라우드 이용에 걸림돌이 되어 온 보안문제는 물론, 중복인증에 따른 비효율성을 해결했다. 다만 높은 보안수준을 요구하는 ‘NIST SP 800-53’을 기반으로 함에 따라 통제항목 수가 많고 인증절차가 복잡하다.

싱가폴 ‘MTCS(Multi-Tier Cloud Security)’ 인증
싱가폴은 클라우드 안전성 확보를 위한 MTCS 인증을 운영해 공공 클라우드 입찰에는 인증 취즉을 필수요건으로 하고 있다. MTCS는 민간 클라우드 서비스 제공자에 대한 안정성 확보를 위한 것으로 자율 인증이지만, 공공 클라우드 입찰 시에는 필수 요건이며 유효기간은 인증 취득 후 3년으로 제한하고 있다. 클라우드 사업자의 경우 MTCS 총 취득비용의 70%를 정부에서 지원한다. 특히, MTCS는 국제표준(ISO 27001:2005)을 바탕으로 총 19개 분야 117개 통제항목을 제시하고 항목별 보안등급을 3단계로 구분하고 있다.

일본 ‘클라우드 정보보안 감시제도’
일본은 정부에서 클라우드 정보보안 관리지침을 수립·발표하고 민간단체인 ‘일본정보감사협회(JASA)’는 퍼블릭 클라우드 정보보안 감사를 실시한다. 민간단체인 JASA에서 퍼블릭 클라우드 서비스 대상(Private 제외)으로 외부 전문가 등을 활용해 보안감사를 수행한다.

‘정보보안 관리지침’은 일본 정보보호 표준(JISQ 27001) 및 국제표준(ISO 27001:2013)을 기반으로 클라우드 특성을 반영해 총 12개 분야 135개의 통제항목으로 구성되어 있다.

▲ 해외 클라우드 보안인증 운영현황 비교

영국 ‘UK G-Cloud’
영국은 정부기관에서 이용하는 클라우드 서비스인 ‘G-Cloud’에 대한 안전성 확보를 위해 ‘클라우드 서비스 보안원칙’ 준수 여부를 인증하는 제도를 운영한다. 이는 국제표준 ISO 27001을 기반으로 클라우드 특성을 가미해 개발됐다.

호주 ‘ASD CCSL(Certified Cloud Services List)’
호주는 정부기관에서 아웃소싱하는 모든 클라우드 서비스에 대한 보안인증(ASD 인증)을 수행하고 인증목록을 이용자에게 공개(CCLS)한다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)