정부가 2012년 입법예고한 지 3년만인 오는 9월부터 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(클라우드법) 시행이 두 달 앞으로 다가왔다.
해당 법은 공공서비스에 대한 클라우드서비스 도입을 목표로 하고 있는 만큼 보안성을 보장하기 위한 여러 대책이 앞으로 더욱 중요해질 것으로 예상된다.
클라우드 보안에 대해 미래창조과학부 산하 한국인터넷진흥원(KISA)에서 서비스 제공 사업자, 이용자, 정보보호기업들을 위한 가이드라인을 검토 중이다. 이와 함께 글로벌 시장에서 활용되고 있는 각종 클라우드 보안 인증 등도 참고할만 하다.
■서비스 제공자-이용자-정보보호기업 협력 필요
최근 클라우드보안워크숍2015에 참석한 KISA 백종현 팀장에 따르면 크게 서비스 제공자, 서비스 이용자, 정보보호기업 차원에서 클라우드 서비스에 대한 보안대책을 세우는 중이다.
먼저 서비스 제공자 입장에서는 클라우드 서비스 보안인증제도 개발이 추진될 예정이다. 앞서 국내 클라우드서비스산업협회를 통해 클라우드 서비스 인증제도가 운영됐지만 보안성에 대한 검토는 정보보호관리체계(ISMS) 인증을 받았는지 여부에 대해 확인하는데 그쳤다. KISA는 이와 관련 별도 보안인증제도를 개발해 문서점검, 현장실사 등을 통해 사업자들의 보안수준을 진단한다는 계획이다. 다만 해당 인증은 ISMS와 같이 의무사항이 아니라 자율인증제 형태로 제공될 예정이다.
두번째로는 서비스 이용자인 공공기관, 기업, 개인들을 위해 사고에 대한 보증보험 가입을 독려하고, 임치제도를 활용해 자산을 보호하고, 표준계약서 등을 마련해 보급한다는 계획이다. 여기에는 관련 보안기술개발/보급, 클라우드이용수칙 등을 통한 사용자 보안인식 제고 등이 제공된다.
세번째로는 정보보호기업들이 클라우드 보안 클러스터를 조성해 일종의 클라우드 서비스에 대한 테스트베드 역할을 하고, 이를 제공할 수 있도록 지원한다는 계획이다. 단말, 네트워크, 서비스 제공자를 위한 보안기술 등에 대한 개발도 진행된다. 기술개발에는 위험도를 기반으로 한 다중인증 및 동적 접근제어, 이상행위탐지 및 모니터링 등이 포함된다. 클라우드용 보안서비스인 웹방화벽, DB암호화, 이메일 암호화 등에 대해서도 개발 및 지원도 검토 중이다.
■AWS-애저 등 글로벌 회사...인증으로 보안성 보장
아마존웹서비스(AWS), 마이크로소프트 애저 등과 같은 해외 퍼블릭 클라우드 서비스 사업자는 보안과 관련된 여러 인증을 받았다는 점을 강조하고 나섰다. 국내서도 공공서비스 부문에 대한 클라우드 서비스 활성화를 위해 이러한 인증이 중요한 보안기준으로 작용할 가능성이 높다.
대표적인 클라우드 보안 관련 인증으로는 정보통신사업자들이 ISMS 인증을 받기 위해 필수였던 국제표준인증규격인 'ISO27001' 개발을 주도한 영국표준협회(BSI)와 국제단체인 클라우드보안협회(CSA)가 공동으로 마련한 'STAR 인증'을 들 수 있다. 이 인증은 ISO27001을 받은 클라우드 사업자를 대상으로 한다.
BSI코리아 송일섭 선임심사원은 "클라우드 보안이 기존 일반적인 정보보안과 구분되는 특징은 서비스의 가용성과 회복능력을 보장해야한다는 점에 있다"고 강조했다. 클라우드 서비스는 수많은 가상서버로 활용하는 만큼 이에 대한 보안통제대책을 만드는 작업이 필요하다.
이런 점들을 검토해 마련된 STAR 인증은 ISMS를 큰 골격으로 클라우드 서비스에 필요한 보안적인 검토사항을 추가한 것으로 보안에 대한 '성숙도'까지 파악한다는 점이 특징이다. 송 심사원에 따르면 STAR 인증의 경우 처음 인증을 받으면 별도로 인증서를 발급하지 않는다. 대신 단계를 거쳐가면서 성숙도가 높아졌다고 판단될 경우 브론즈, 실버, 골드라는 인증등급을 부여한다.
클라우드 보안에 특화된 사항으로는 클라우드컨트롤매트릭스(CCM) 버전3.01을 통해 비즈니스 연속성 관리, 공격에 대한 회복력(BCR), 데이터 보안 및 정보라이프사이클 관리(DSI) 등 항목을 통해 정보 자체만이 아니라 데이터에 대한 관리까지도 요청한다. 해당 인증을 가장 먼저 받은 곳은 알리바바 그룹이며, 유럽 이동통신사나 중국 기업 등이 보안수준을 높이기 위해 인증을 받았다.
클라우드 서비스를 활용할 경우 개인정보보호에 대해서도 충분한 고려가 이뤄져야한다. 우리나라처럼 개인정보보호에 대한 규제가 강력한 유럽에서는 클라우드 서비스를 활용할 때 반드시 개인식별정보(PII)에 대한 관리지침을 담고 있는 'ISO27018'을 따르도록 하고 있다. 마이크로소프트 애저, 오피스365가 해당 인증을 받은 대표 클라우드 서비스 중 중 하나다.
미국 정부나 공공기관이 클라우드 서비스를 활용할 때 필수인 'FedRAMP' 인증도 참고할만하다. 한국정보보호학회장을 맡고 있는 서울여대 정보보호학과 박춘식 교수는 "미국의 경우 정부나 공공기관이 민간에서 제공하는 퍼블릭 클라우드 서비스를 활용할 때 연방정보보안관리법(FISMA)에 따라 정보의 중요도를 상/중/하로 분류하고, 중/하 등급에 대해서만 클라우드 서비스를 활용할 수 있도록 하고 있다"고 밝혔다.
■전문가 육성과 정보등급 마련이 보안 발판될 것
관련기사
- 클라우드 기반 정부 정보화 사업 확산 예고2015.07.03
- 클라우드로 옮길 데이터, 어떻게 분류하나?2015.07.03
- "클라우드로 보안 역량 강화할 수 있다"2015.07.03
- 클라우드가 PC보다 위험?…오해와 진실2015.07.03
이와 함께 가장 최근에는 CSA와 국제공인 정보시스템전문가 자격증(CISSP)를 발급하는 ISC가 공동으로 마련한 클라우드보안전문가 자격증인 'CCSP'를 보유한 전문가들을 영입하는 방안도 생각해 볼 수 있다. HP에서는 국제 공인 클라우드 보안 교육 및 자격증인 'CCSK'라는 제도를 운영 중이다.
국내서도 행정자치부를 중심으로 FISMA와 같이 공공기관이 보유한 정보자산에 대한 등급을 매겨 관리하는 제도에 대한 운영을 검토 중이다. 이와 연동해 FedRAMP나 이에 준하는 정부기관의 클라우드 서비스 이용에 관한 인증이 앞으로 더 중요하게 작용할 것으로 전망된다.
