클라우드 서비스 보안 인증제도, 산업 활성화 촉매제 될까?

미래부, 클라우드 서비스 도입 걸림돌 해소...보안 강화와 산업 활성화 기대

[보안뉴스 김태형] 미래부는 9일 서울 양재동 엘타워에서 원활한 클라우드 서비스 보안인증제도 시행을 위한 정보보호 기준 주요 내용 및 인증제도 설명회를 개최했다. 이날 설명회에는 보안인증 관심기업, 수요자, 산·학·연 관계자 200여명이 참석해 관심을 모았다.

▲ 미래부는 9일 서울 양재동 엘타워에서 클라우드 시장 활성화 및 보안 강화를 위한 ‘클라우드 서비스 보안 인증제도 설명회’를 개최했다.

지난해 9월 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드컴퓨팅법)’이 본격 시행되면서 클라우드 시장 활성화에 대한 기대가 매우 커졌다. 특히 ‘클라우드 컴퓨팅 정보보호 대책’ 및 ‘클라우드 컴퓨팅 기본계획’이 수립·발표되면서 산업 활성화를 견인하기 위한 클라우드 컴퓨팅서비스의 ‘품질·성능 및 정보보호 기준 고시 제정’의 필요성이 제기됐다.

이에 지난 4월 4일자로 ‘클라우드 컴퓨팅 서비스 정보보호에 관한 기준 고시’가 제정되어 정보보호 기준 준수 여부 확인을 인증기관에 요청하는 경우, 인증기관이 이를 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 클라우드컴퓨팅 서비스 보안 인증제도를 마련했다.

특히, 클라우드 컴퓨팅 환경에서는 시간·장소·단말·네트워크 환경에 상관없이 업무 시스템에 접속할 수 있어 사용자에 대한 접근제어·인증, 단말의 무결성, 네트워크 안전성, 송수신 데이터의 암호화 등 정보보호 기준은 매우 중요하다.

하지만 공공기관이 민간 클라우드컴퓨팅 서비스를 이용하기 위해서는 정부가 정한 ‘클라우드 서비스 보안인증’을 획득한 사업자의 IaaS(Infrastructure as a Service) 서비스만 사용할 수 있어 공공기관 클라우드 서비스 제공자들은 반드시 ‘클라우드 서비스 보안인증’을 획득해야만 한다.

이와 관련 한국인터넷진흥원(KISA) 융합보안인증팀 임채태 팀장은 “클라우드 서비스 보안인증제도는 클라우드 서비스 제공자에게 객관적이고 공정한 평가 인증을 통해 이용자 신뢰도를 높일 뿐만 아니라 클라우드서비스 제공자의 정보보호 수준을 향상시키고 클라우드 서비스를 이용하는 공공기관의 정보화 사업에 입찰 참여가 가능하도록 한다”면서 “이용자들은 인증받은 클라우드 서비스를 이용함으로써 클라우드 도입의 걸림돌이었던 보안 우려를 해소하고 안전한 클라우드 서비스 이용환경 구축 및 이용 활성화를 가능케 한다”고 말했다.

또한 그는 “클라우드 서비스 사업자가 클라우드 서비스 보안인증을 받았다고 해서 100% 안전한 것은 아니며 보안인증을 받았다는 것은 공공기관이 클라우드 서비스를 이용하기 위한 최소한의 정보보호 요건을 충족했으며 침해사고가 발생하더라도 피해를 최소화할 수 있음을 의미한다”고 말했다.

이와 같은 클라우드 서비스 보안 인증제도는 기존 ISMS 인증과 별도로 운영된다. 하지만 클라우드 서비스 사업자 입장에서는 ISMS 인증과 유사한 부분이 많아 중복 인증 문제를 제기하는 실정이다. 이에 대해 임채태 팀장은 “클라우드 서비스 보안인증제가 ISMS 인증과 다른 점은 침투테스트, 취약점 점검과 같은 기술점검도 진행된다는 점이며, 하이퍼바이저 등과 같은 가상화 서비스에 대한 보안성 검토와 공공기관에서 요구하는 보안사항에 대해 추가적인 검토를 진행하다는 것”이라고 말했다.

또한, 민간 클라우드 서비스가 공공분야 클라우드컴퓨팅 분야에 도입되기 위해서는 서버 PC 가상화 솔루션 및 정보보호 제품의 경우 국내외 CC인증을 받은 제품을 사용해야 한다. 특히, 하이퍼바이저는 CC인증 여부와 함께 벤더별 확인이 필요하다. 또한, CC인증을 받은 버전보다 이후에 나온 신규 버전 사용 시에는 사용하는 버전의 CC인증 획득여부를 확인하고 CC인증 심사중이라면 유예기간을 제공해 심사를 진행하는 것으로 알려졌다.

이에 대해 KISA 융합보안인증팀 라영선 책임연구원은 “국가정보화 기본법과 시행령에 따라 국가보안기술연구소 산하 IT보안인증사무국이 제시한 침입탐지방지시스템(IDS/IPS)·통합보안관리제품 등 24종의 제품군에 대해서는 반드시 국내·국제 CC인증을 받은 제품을 사용해야 한다”고 강조했다.

이 외에도 클라우드컴퓨팅 서비스 정보보호에 관한 기준에 의하면 클라우드컴퓨팅 서비스 운영장소 및 망은 공공기관 내부 정보 시스템 운영 보안수준에 준해 보안관리가 이루어져야 한다. 또한, 침해사고 및 장애 대응에 관련해서는 별도의 계약이 있으면 계약사항에 따라야 하고 침해사고 발생 시에는 이용자에게 지체없이 통보하고 이용자 정보유출 시에는 미래부장관은 물론 이용자에게 지체없이 통보해야 한다. 서비스 중단 시에도 이용자에게 지체없이 통보해야 함은 물론이다.

한편, 공공 클라우드 서비스를 제공하고자 하는 사업자는 오는 13일부터 클라우드 서비스 보안인증제 사전 참여 의향서를 접수해야 하고, 오는 24일 이후부터는 보안인증을 상시 신청할 수 있다. 6월 1일부터는 보안평가가 시작된다.

이번에 시행되는 보안 인증제도는 IaaS 사업자가 대상이며, 보안인증을 받은 IaaS 사업자가 제공하는 SaaS(Software as a Service)는 별도의 인증 기준이 마련될 때까지 공공기관이 제한 없이 자유롭게 사용할 수 있다.
[김태형 기자(boan@boannews.com)]

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)