보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

국내 클라우드 시장의 보안평가 시스템 및 인증 정책 수립을 위한 해결과제

2015.08.25

6,495

이글루시큐리티 컨설팅사업본부 박준형 컨설턴트

(junehyeong.park@igloosec.com)

 

 

 

‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)’이 국회를 통과하여 오는 9월 시행을 앞둔 가운데, 클라우드 서비스를 안전하게 사용하기 위한 보안 가이드라인 제정 필요성이 업계에서 꾸준히 제기되고 있다. 클라우드 서비스에 대한 보안 위협이 지금껏 산업 활성화를 가로막는 장벽이 되어왔던 만큼, 안심하고 클라우드 서비스를 쓸 수 있는 보안 인증제도 운영으로 클라우드 서비스 사용을 공공에서 민간 부문까지 확산시키기 위함이다.

 

실제로 드롭박스, 아이클라우드 해킹 공격 등 클라우드 보안 문제를 앞서 경험한 미국에서는 일관성 있는 보안 평가 및 인증 수행을 위한 ‘클라우드 보안 인증체계(The Federal Risk and Authorization Management Program, 이하 FedRAMP)’ 구축으로 클라우드 서비스에 대한 규제를 강화하며 신뢰도를 향상시켜 왔다. 반면, 국내의 경우에는 미래부가 관련 부처와 협의 하에 시행 월에 맞춰 구체적인 지침을 마련할 계획으로 아직 명확한 보안 평가 요소가 수립되지 않은 상황이다. 클라우드 서비스 이용에 따른 중요 정부 자료 유출, DDoS 공격 우려로 클라우드 서비스 도입이 더뎠던 까닭이다.

 

이에, 미 클라우드 보안인증체계인 FedRAMP와 이와 가장 유사한 목적을 가지고 있는 국내 정보보호시스템 공통평가기준의 평가요소 및 조직 체계를 비교 분석함으로써 국내에 추가적으로 도입되어야 할 보안 요소는 무엇인지 도출해 보고자 한다.

 

 

FedRAMP란

FedRAMP는 미 정부기관이 이용하는 클라우드 제품 및 서비스에 대한 보안평가, 허가, 지속적인 모니터링을 위해 도입한 표준화된 보안평가 및 인증 프로그램으로, ▷보안 평가수행, ▷운용 권한 부여, ▷인증 후 지속적 평가 및 인증 유지의 총 3 단계 보안 인증 절차로 구성된다. 내부 조직체계는 FedRAMP PMO(FedRAMP 프로그램 관리국), FedRAMP JAB(FedRAMP 인증 위원회), NIST(JAB 기술 자문위원회), 연방 CIO 협의회로 구성되어 있다.

 

 

보안 평가요소 비교

FedRAMP 의 핵심 템플릿인 시스템보안계획(SSP)문서에는 보안 평가요소가 정의되어 있다. 시스템 보안계획 문서는 클라우드 서비스 제공업체의 정보보안통제에 대한 정보가 포함된 템플릿 형식의 문서로, FedRAMP 프로그램을 통해 서비스 제공 자격을 얻기 위한 서비스 제공업체에 의해 사용된다. 국내 정보보호시스템 공통평가기준은 ISO 15408에서 표준으로 채택된 정보보호 제품 평가 기준으로 정보화 제품의 정보보호 기능과 이에 대한 사용 환경 등급을 정하고 있다.

 

 

 美 FedRAMP

 정보보호시스템  공통평가기준

 접근통제

 접근통제 정책, 기능

 인식 및 교육

 정보보호 교육 및 훈련

 감사 및 책임

 보안 감사는 있지만 책임 여부는 없음

 인증 , 보안 평가

 식별 및 인증만 존재, 보안 평가 요소는 없음

 구성 관리

 X

 비상 계획

 X

 식별 및 인증

 식별 및 인증

 사고대응

 보안사고 관리

 유지 보수

 X

 매체 보호

 암호지원

 물리적 환경 보호

 TSF의 물리적 보호만 존재

 계획

 X

 인사 보안

 X

 위험 평가

 X

 시스템 및 서비스 취득

 TSF 보호, TOE 접근

 시스템 및 통신 보호

 통신 보호만 존재

 시스템 또는 정보의 무결선

 TSF 보호, 사용자 데이터 보호

 


FedRAMP 의 보안 평가요소에는 일반적인 컴퓨팅 시스템에 대한 보안평가 요소뿐만 아니라, 내부 구성요소의 지속적 관리를 위한 평가요소가 포함되어 있어 소프트웨어와 하드웨어의 유동성이 높은 클라우드 컴퓨팅에 특화된 보안 평가 요소가 포함되어 있는 것을 알 수 있다. 또한, 보안 평가요소들이 세분화 되어 있어 미시적 보안평가가 용이하도록 구성되어 있는 것으로 분석되었다.

 

 

조직체계 비교

美 FedRAMP 와 국내 인증제도의 조직체계를 비교해보면, FedRAMP 의 경우 클라우드 서비스 업체 평가는 제 3 의 평가대행기관이 진행하며, 평가기관의 평가결과 검토는 FedRAMP PMO 에서 담당하고 평가 신청기관에 대한 인증부여는 FedRAMP JAB 이 담당하는 세분화된 조직 구성이 특징이다. 하지만 국내의 경우 평가기관에서 주요 평가를 담당하며, 국가보안기술연구소에서 인증하는 방식으로 진행된다.

 

또한 美 FedRAMP 의 인증제도는 특정 기관에 종속된 평가가 아닌, 분산되어 있는 기관들이 인증 프로세스를 구성하여 독립적이며 공정성 있는 평가가 이루어질 수 있도록 하고 있다. 반면에 국내 정보보호시스템 인증체계는 평가기관에 주요 평가가 집중되어 있는 특징을 가진다.

 

 





결론

지금까지 미국의 FedRAMP와 국내 정보보호시스템 공통평가기준의 비교 분석을 통해 보안 평가요소와 조직체계의 각 특징을 비교해보았다. 체계적인 클라우드 컴퓨팅 시스템 평가체계 수립을 위해서는 다음과 같은 제도적인 개선이 필요할 것으로 보인다.

 

첫째, 국내 정보보호시스템 공통평가기준의 인증 프로세스의 경우, 평가기관에서 주요 평가 수행을 담당하는 정부 주도형 성격을 띠고 있는 만큼, 평가기관의 업무를 분리해 독립성과 공정성을 높여야 한다. 둘째, 구성 관리, 비상 계획, 유지 보수, 위협 평가 등 클라우드 컴퓨팅에 특화된 세분화된 보안 요소 마련으로 미시적 보안 평가가 가능해야 한다. 더불어, 클라우드 컴퓨팅 시스템이 지속적으로 업데이트, 변경되는 만큼, 클라우드 서비스 제공업체 및 평가기관을 지속적으로 모니터링 할 수 있는 보안 평가 요소 수립 및 평가 프로세스가 마련되어야 한다.

 

적절한 보안 인증은 클라우드 서비스에 대한 신뢰도를 높이는 동인으로 작용할 수 있다. 클라우드 서비스에 대한 보안 정책 강화를 통해 국내 클라우드 서비스 수준을 높이고 기업의 역량을 향상시킬 수 있는 기반을 조성해야 할 때다.