클라우드뉴스

이달부터 클라우드 보안 인증제 접수, 평가 기준은 무엇?

백지영
-IaaS 사업자 대상으로 KISA에서 인증‧평가, ISMS 공통영역은 간소화 추진

[디지털데일리 백지영기자] 공공기관에 클라우드 서비스를 제공하려는 민간 사업자들을 대상으로 한 클라우드컴퓨팅 서비스 보안인증제도가 마련됐다.

이달 24일부터 한국인터넷진흥원(KISA)에서 본 접수를 받는다. 당분간은 서비스형 인프라(IaaS) 사업자를 대상으로 평가할 예정이다. 때문에 서비스형 소프트웨어(SaaS) 등을 제공하려는 사업자는 반드시 인증받은 IaaS에서 제공해야 하며, 필요한 경우 보안성 검토 등을 받아야 한다. 제도 활성화를 위해 일정기간 동안은 평가 및 인증 수수료를 받지 않는다.

인증기간이 최소 3개월에서 최대 9개월 가량 걸리는 점을 감안했을 때, 실제 공공기관이 클라우드 보안 인증을 받은 민간 클라우드 서비스를 사용할 수 있는 시점은 내년이 될 전망이다.

다만 일정 규모 이상의 사업자가 받아야 하는 정보보호관리체계(ISMS) 인증 과 일부 겹치는 부분이 있어, 이에 대한 중복논란도 있을 전망이다. 이에 대해 KISA 측은 공통되는 부분에 있어선 간소화하는 방안을 계획하고 있다고 밝혔다.

◆클라우드 보안 인증제, 왜?=이번 클라우드 서비스 보안인증제도는 지난해 9월부터 시행된 ‘클라우드 발전법’제 23조제2항 정보보호 기준의 준수여부 확인을 인증기관에 요청하는 경우, 인증 기관이 이를 평가 및 인증해 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하기 위해 마련됐다. 미국의 페드람프, 싱가포르의 MTCS-SS와 같은 해외 인증제를 벤치마크한 것이다.

보안 평가‧인증기준은 관리적‧물리적‧기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부문 117개 통제 항목으로 구성됐다. 클라우드 사업자는 공공기관용 클라우드 구축 후 인증신청을 해야 한다. 평가‧인증 신청 전에 예비점검이 실시된다.

현재 미래부가 고시한 공공기관용 클라우드 필수요건은 ▲CC인증이 필수적인 제품군 사용 ▲클라우드 시스템 및 데이터의 국내 존재 여부 ▲공공과 민간 클라우드 서비스 영역에 대한 물리적 분리 여부 ▲중요장비 이중화 및 백업체계 구축 여부 ▲주요구간에 대한 국가 검증필 암호화 적용 여부 등이다.

예비점검 이후 서면/현장평가, 취약점 점검 및 침투테스트 등을 거쳐 인증심의위원회의 심의 의결을 받게 된다. 취약점 점검 및 침투테스트는 예비 점검시 협의된 대상 목록을 대상으로 진행되며, 외부 인터넷을 통한 클라우드서비스 포털로의 침투가 주요 내용이다.

이와 관련, 9일 미래창조과학부와 KISA 주도로 개최된 ‘클라우드컴퓨팅서비스 보안인증제도 설명회’에서 라영선 KISA 융합보안인증팀 책임 연구원은 “네트워크와 보안, 시스템 장비 등에 대해 점검도구, 수동점검, 모의해킹 등을 통해 확인하는 것으로 웹보안에 대한 대처방안만 잘 수립된다면 어렵지 않을 것”이라고 설명했다.

다만 클라우드서비스 보안인증을 받는다고 해서 인증을 받은 사업자의 클라우드 서비스가 100% 안전하다는 것은 아니라는 점을 분명히 했다.

임채태 KISA 사이버침해대응본부 인프라보호단 융합보안인증팀장은 “보안인증을 받았다는 것은 공공기관이 클라우드 서비스를 이용하기 위한 최소한의정보보호 요건을을 충족했다는 뜻일뿐, 인증을 받았다고 해서 사고발생시 면책사유가 될 수는 없다”고 전했다.

◆국내외 CC인증 필수 제품군 사용, ISMS와는 별개=또한 이번 보안인증제도와 함께 국가정보원, 행정자치부 등 범 정부부처와의 협력을 통해 공공기관의 클라우드 서비스 보안 체계를 마련해 나갈 계획이라고 밝혔다. 현재 국가정보원은 국가 공공기관 클라우드 컴퓨팅 보안 가이드라인을 개발 중이며, 행정자치부는 공공기관 민간 클라우드 이용 지침 등을 마련하고 있다.

한편 IaaS 사업자가 공공기관에 서비스를 제공하기 위해서는 국가정보화 기본법과 시행령에 따라 국가보안기술연구소 산하 IT보안인증사무국이 제시한 24종의 제품군에 대해서는 반드시 국내/국제CC인증을 받은 제품을 사용해야 한다.

라영선 책임연구원은 “클라우드 서비스 구축을 위해 도입되는 서버와 PC가상화 솔루션 및 정보보호제품 중에 CC인증이 필수적인 제품군은 국내오 CC인증을 받은 제품을 사용해야 한다”며 “IaaS 사업자의 경우, 24종 가운데 약 5종~6종이 해당이 되는 것으로 보인다”고 설명했다.

또한 가상화를 위한 하이퍼바이저의 경우, 각 제품 버전 별로 CC 인증 획득 여부를 벤더에게 확인하는 것이 필요하다고 덧붙였다.

기존 ISMS 인증과 유사한 부분이 많아 중복된다는 지적에 대해선 “클라우드 보안인증제는 ISMS와 달리 취약점 점검 및 침투테스트와 같은 기술점검이 이뤄지며, 가상화 솔루션에 대한 보안성 검토, 공공기관에서 요구하는 보안 사항에 대해서 추가검토항목이 있기 때문에 사실상 별개의 인증”이라고 말했다.

이어 그는 “다만 두 인증 모두 ISO/IEC27001을 기준으로 하기 때문에 유사한 항목이 있는 것은 사실”이라며 “향후 제도 개선 차원에서 중복 점검사항에 대한 면제 또는 간소화 검토 중에 있다”고 덧붙였다.

당분간은 인증 평가 활성화를 위해 수수료를 면제하지만, 일정기간이 지난 후에는 인건비와 직접경비, 기술료 등을 합쳐 부과할 방침이다. 연간 매출액 100억 이하인 중소기업에 대해선 30%의 할인율을 적용한다. 인증을 받기까지는 준비단계(30일~120일), 평가단계(30일~120일), 인증단계(30일)까지 최소 3개월에서 9개월까지 소요될 것으로 보인다. 최초평가를 통해 인증을 취득하면 3년의 유효기간이 부여되며, 유효기간 중 매년 1회 이상 사후 평가를 실시한다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널