클라우드 서비스

‘SaaS 보안인증’ 기준 마련…물리보안 제외한 78개 항목 평가

백지영

[디지털데일리 백지영기자] 서비스형 인프라(IaaS) 사업자에만 적용되던 클라우드 보안인증 평가가 서비스형 소프트웨어(SaaS) 사업자로 확대된다.

클라우드 보안인증은 클라우드 사업자가 국내 공공기관에 서비스를 공급하기 위해 필수적으로 받아야 하는 평가체계다. 지난해부터 최근까지 클라우드 보안인증을 받은 IaaS 사업자는 KT와 네이버비즈니스플랫폼(NBP), 가비아 3곳이다. 올해 말까지 1곳, 내년 초에 1곳이 추가로 획득할 전망이다.

IaaS에 이어 SaaS에도 내년부터 클라우드 보안인증이 적용된다. 이를 위해 클라우드 보안인증 평가기관인 한국인터넷진흥원(KISA)는 지난 6월부터 일부 SaaS에 한해 시범사업을 진행해 왔다. 관련업계의 의견수렴, 관계부처와의 협의 등을 거쳐 늦어도 내년 1분기 내에 SaaS 보안인증 평가기준을 내놓을 방침이다.

◆SaaS 보안인증 시범운영, IaaS보다 33% 줄어든 78개 체크리스트=7일 과학기술정보통신부와 KISA는 양재동 엘타워에서 ‘SaaS 보안인증 기준 및 평가방법 설명회’를 개최하고 보안 인증의 방향성을 설명하는 자리를 가졌다.

이에 따르면, SaaS 보안인증 평가기준은 IaaS 인증기준 대비 약 33% 줄어든 78개다. IaaS 물리보안 등의 내용이 빠지면서 사업자의 부담을 줄였다는 설명이다. 다만 SaaS 사업자는 클라우드 보안인증을 받은 IaaS 사업자의 클라우드 인프라에서 서비스를 제공해야 한다.

현재는 인증받은 IaaS 사업자 위에서 SaaS를 제공할 경우, 공공기관에 공급이 가능하지만, SaaS 보안인증기준이 마련되는 내년에는 별도의 인증을 받아야 한다. SaaS 인증을 받지 않고, 공공기관에 서비스를 제공하기 위해선 국정원의 보안적합성 검토와 별도의 조달절차를 거쳐야 한다.

임채태 KISA 클라우드보안관리팀장은 “미국 페드람프를 살펴봐도 SaaS 인증을 받은 사업자는 57개, 싱가포르의 경우도 22개로 큰 폭으로 늘고 있는 추세”라며 “국내도 SaaS 보안인증마련을 위해 지난 6월부터 11월까지 3개의 SaaS 서비스를 대상으로 시범운영을 했다”고 설명했다.

SaaS 보안인증 시범사업에 참여한 업체는 가비아 하이웍스(ERP, 그룹웨어), 인프라닉스(시스템 모니터링), 지니언스(SECaaS) 세곳이다. 임 팀장은 “막상 시범운영을 해보니 SaaS 보안인증은 IaaS와는 너무 다르고, 서비스도 다양하며 변수가 너무 많았다”며 “만족스러울지 않을 수도 있지만, 사업자들이 가능한 쉽게 접근할 수 있도록 논의하고 있다”고 설명했다.

그는 “직원이 수명에 불과한 영세사업자도 있어, 기준이 너무 과한 것 아니냐고 말할 수도 있는데, 공공에 납품하기 위한 최소한의 기준을 충족시키는 수준”이라며 “서비스마다 성격이 다른 만큼, 일부는 기준 적용대상에서 제외시킬 수 있도록 간소화 작업도 진행 중”이라고 말했다.

◆오픈소스 등 각종 SW도 관리대장에 포함해 관리=이번 SaaS 보안 인증의 평가대상은 기본적으로 퍼블릭 SaaS로 한정했다. 오피스나 협업도구, 데스크톱 가상화, 서비스형 보안(SEaaS) 등이다. 다만 보안관제나 원격 모니터링 등 매니지드 서비스나 CDN, 웹취약점 점검서비스와 같은 보안서비스는 평가대상에서 제외하되, 관리대상에는 포함된다.

라영선 KISA 융합보안인증팀 책임연구원은 “특정 SaaS를 제공하기 위해 반드시 따라가야 제공돼야 할 매니지드서비스, 부가서비스는 클라우드 사업자가 자체적으로 점검하고 KISA에 제공하면, 이를 목록화시켜 조달청의 정보관리대상으로 포함시킬 예정”이라고 말했다.

또 현재 SECaaS나 정보보호서비스 및 제품군은 공공조달을 위해 CC인증을 받아야 한다. 웹방화벽이나 DB암호화솔루션 등 가상머신에 설치형으로 제공되는 보안서비스의 경우 클라우드 보안인증 필요없이 CC인증만 받으면 된다. 하지만 VDI 서비스를 퍼블릭으로 제공할 경우 CC인증과 클라우드 보안인증 전부를 받아야 한다.

라 연구원은 “다만 SaaS 보안인증에 대한 방향성을 제시하는 것일 뿐, IT보안인증사무국과 CC평가제도 클라우드 보안성 관련 정책에 따라 변동될 가능성도 있다”고 말했다.

이와 함께 도커나 엘라스틱서치 등 다양한 응용프로그램에 대한 보안점검은 물론, 오픈소스를 포함한 각종 SW도 관리대장에 포함해 관리할 예정이다.

라 연구원은 “기존 IaaS 기준과 큰 틀에서의 차이는 없으나 물리적 보안, 인프라 보안을 축소하고 개발보안, 공급망 관리 등을 강화했으며, 상세 점검항목과 평가방법에서 SaaS 환경에 맞게 수정했다”며 “특히 이용자 데이터 생명주기수립, 가상화 기술을 통한 테넌트 및 DB테이블 분리 관리 부분을 강화했다”고 설명했다.

인증절차는 IaaS 인증과 거의 동일하다. 인증비용은 현재까지는 무료다. 2019년부터 변경될 가능성이 있다. 신청접수 이후 예비점검, 계약체결을 거쳐 서면(현장)평가, 취약점 점검, 모의침투테스트, 보완조치, 이행점검을 거친 이후 인증위원회로부토 인증을 부여받는다.

최소 2~3개월이면 인증을 받을 수 있지만 점검해야 할 자산에 따라 기간 차이는 있을 수 있다. 이 과정에서 IaaS 사업자의 동의가 필요한 부분이 있을 수 있어 미리 확인하고 동의를 구하는 절차도 필요하다.

인증을 취득한 후에도 사업자의 보안수준 유지 위해 3개월(분기)마다 자체 보안활동을 수행해야 한다. 시스템 증설 시 변경사항을 관리하고 신규 취약점 대비 공통 취약점 목록(CVE)을 점검해 그 결과를 KISA에 통보해야 한다. SaaS에는 수시로 새로운 기능이 추가되는 등 변동이 잦은만큼, 사후관리에 노력을 기울여줄 것을 강조했다.

임채태 팀장은 “보안 전담부서나 인력 등을 갖춘 중견사업자에 비해 영세사업자는 준비 여력이 힘들 수도 있다”며 “정부가 제공하는 SaaS 기업 육성, 서비스 개발지원, 보안컨설팅 등을 적극 활용해 충분한 양질의 서비스를 만든 다음에 인증을 신청하는 것이 좋을 것”이라고 조언했다.

그는 이어 “보안인증제는 안전한 SaaS 서비스를 제공할 역량을 갖춘 기업을 평가하는 것임을 알아달라”고 덧붙였다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널