클라우드법 시행에 따른 후속 조치로 민간 클라우드 서비스 사업자들이 공공 부문에 서비스를 제공하기 위해 클라우드서비스 보안 인증제가 5월부터 본격 시행된다.
일각에서는 클라우드 보안인증제가 주요 정보통신사업자나 전자정부서비스에 필수인 정보보호관리체계(ISMS) 인증과 중복된다는 지적이 나오는가 하면 새로운 인증제와 관련한 세부심사 기준이나 일정 등에 대해 보다 구체적으로 알고 싶어하는 사업자들도 많다.
이와 관련 9일 미래창조과학부, 한국인터넷진흥원(KISA)이 주최한 클라우드컴퓨팅서비스 보안인증제도 설명회를 통해 나온 핵심 사항을 정리해 봤다.
1. 클라우드서비스 보안 인증제는 ISMS 인증제는 별개
ISMS 인증과 앞으로 클라우드 서비스 사업자들이 공공에 서비스를 제공할 때 받아야하는 클라우드서비스 보안 인증제는 별개로 운영된다.
일각에서는 두 인증이 모두 ISO/IEC27001을 기준으로 하기 때문에 유사한 항목이 많아 유사한 인증을 중복해서 받아야한다는 불만을 제기하기도 하고 있는 실정이다.
이와 관련 KISA 융합보안인증팀 임채태 팀장은 "클라우드 서비스 보안인증제는 ISMS와 달리 침투테스트, 취약점 점검과 같은 기술점검이 이뤄지며, 하이퍼바이저 등 가상화 서비스에 대한 보안성 검토, 공공기관에서 요구하는 보안 사항에 대해서 추가적으로 검토를 하게 된다"고 밝혔다.
현재 클라우드서비스 사업자들 중 KT 유클라우드, 더존비즈온 등이 제공하는 민간 영역에 제공 중인 퍼블릭 클라우드 서비스의 경우 ISMS 인증을 받았지만 추가적인 보안사항을 요구하는 공공부문에 대한 ISMS 인증을 받은 사례는 없다. ISMS 인증에서는 클라우드 보안인증제에서 제시한 기술점검, 공공기관이 요구하는 보안 사항 등에 대한 검증은 포함되지 않았다.
다만 앞으로 제도 개선 차원에서 중복 점검사항에 대해서는 면제 또는 간소화하는 방안을 검토할 계획이다.
2. 클라우드 사업자가 쓰는 보안솔루션 국내/국제 CC인증 필수
민간 클라우드 서비스 사업자가 공공영역에 서비스를 제공하기 위해서는 내부에서 사용하는 보안솔루션이 국내 혹은 국제 CC인증을 받은 것이어야만 한다.
KISA 융합보안인증팀 라영선 책임연구원은 "국가정보화 기본법과 시행령에 따라 국가보안기술연구소 산하 IT보안인증사무국이 제시한 24종의 제품군에 대해서는 반드시 국내/국제CC인증을 받은 제품을 써야한다"고 말했다.
클라우드 컴퓨팅 서비스를 위해 기본적으로 필요한 침입탐지/방지시스템(IDS/IPS), 통합보안관리제품 등과 함께 클라우드 서비스에 필수인 가상화 솔루션과 관련해서는 하이퍼바이저에 대한 국내 혹은 국제 CC인증을 받은 제품을 사용해야만한다.
3. IaaS? SaaS? 어떤 클라우드 서비스를 평가하나?
현재로서는 클라우드 자원을 서버, 라우터나 스위치와 같이 네트워크 등 인프라 용도(IaaS)로 활용하는 사업자들이 우선적으로 인증제 적용 대상이 된다. 클라우드 기반 소프트웨어(SaaS) 사업자들에 대해서는 상반기 중 보안인증 기준을 마련해 하반기 시범 도입 후 적용한다는 계획이다.
다만 SaaS 부문에 인증제가 없다고 해서 공공기관이 도입할 수 없는 것은 아니다. 임 팀장은 "클라우드서비스 보안인증제를 받은 IaaS 위에서 SaaS가 제공된다면 별다른 제약은 없다"고 설명했다.
4. ISMS와 다른 공공기관용 추가 보호조치는 뭐가 있나?
관리적, 물리적, 기술적 보호조치들로 이뤄졌으며 크게 8가지 사항을 점검한다.
주요 항목을 보면 클라우드컴퓨팅서비스를 위한 시스템, 데이터센터는 반드시 한국에 위치해야만 한다. 같은 클라우드서비스 사업자가 기존에 민간에서 서비스를 제공해 왔다고 하더라도 이와는 구분되는 물리자원(서버, 네트워크, 보안장비 등)을 활용해야하고, 출입통제, 운영인력 등도 민간용과는 분리해서 운영해야한다. 다시 말하면 민간 클라우드 서비스를 제공해 왔던 사업자라도 공공용으로 별도로 서비스를 구축해야한다는 것이다.
기술적 보호조치 중에는 반드시 국가정보원이 안전하다고 규정한 검증필 암호화 기술을 사용해야만 한다. ARIA, SEED, LEA 등 블록암호 기술과 함께 해시값을 만드는 암호화 알고리즘 중 SHA-224, SHA-256 등을 활용해야만 한다.
현재로서는 IaaS 사업자의 경우 암호화 통신을 위해 사용하는 가상사설망(VPN) 정도만 검증필 암호화 기술 사용 대상이다.
5. 인증 기간, 비용은 얼마 정도?
현재로서는 도입 초기라는 점을 고려해 인증 수수료가 무료다. 이후 인증제가 활성화되면 평가 및 인증수수료는 인건비, 직접 경비, 제경비, 기술료 등을 포함해 산정될 예정이며, 연간 매출액 100억원 이하 중소기업에 대해서는 30% 할인율이 적용된다.
관련기사
- 클라우드서비스 보안인증제 내달 시행2016.05.09
- "보안 때문이라도 클라우드 쓰는 시대 온다"2016.05.09
- 전자정부 클라우드 도입 발판 마련되나2016.05.09
- 공공 클라우드에 보안인증제 도입된다2016.05.09
인증을 받기까지는 짧게는 3개월에서 길게는 9개월까지 소요된다. 서류를 제출하는 준비단계가 1개월~4개월, 실제 서면/현장 심사와 취약점 점검 등을 진행하는 평가단계가 1개월~4개월, 인증단계가 1개월이 걸린다.
인증은 3년 유효기간을 가지며 매년 사후평가를 통해 인증자격을 유지할 수 있다.
