해외에서는 이미 정부차원에서의 다각적인 지원을 통해 클라우드 산업이 나날히 발전하고 대중화되고 있는 상황이지만, 이러한 흐름속에서도 우리나라에서는 정보를 외부에 맡긴다는 것에 대한 막연한 보안 우려와 기업들의 적극적인 도입 회피 등으로 클라우드 컴퓨팅 산업이 활성화되지 않았습니다.
어찌됬던 위 법령을 통해 통해 국내 클라우드 산업이 보다 발전 할 것으로 기대가 됩니다.
실제 법령을 관련 내용을 아래와 간추려 보았으며, 자세한 내용은 법제처 사이트에서 확인할 수 있습니다 (참조)
여기서 한가지 짚고 넘어가야 할 사항은, 아직 국내에는 클라우드 서비스에 대해 보안성을 평가하는 명확한 인증기준이 없다는 것입니다. 반면 미국은 이미 2012년에 FedRAMP 라는 클라우드 관련 인증 기준을 공식 발표하였고 지금까지 운용 중에 있습니다.
따라서 이번 포스팅에서는 위 사안에 주안점을 두고 1) FedRAMP 라는 인증 기준에 대해 살펴보고, 2) 국내 보안관련 인증제도와의 비교, 3) 국내외 클라우드 관련 인증제도와의 비교를 통해 국내의 클라우드 관련 보안인증제도의 필요성을 제고해 보도록 하겠습니다.
1) FedRAMP 의 정의 목적
FedRAMP(Federal Risk and Authorization Management Program)는 클라우드 제품 및 서비스를 위한 보안평가, 인증 및 지속적인 모니터링에 대한 표준화된 정부 프로그램입니다. 기존에 기관별로 수행하던 보안평가 및 인증을 FedRAMP 로 통합함으로써 비용, 시간 및 인력 절감이 가능하고 FedRAMP 보안 인증을 받은 클라우드 서비스는 별도의 인증절차 없이 다른 기관에 일괄적으로 도입할 수 있습니다. 또한 FedRAMP는 클라우드에 특화된 보안 통제항목을 제시하여 신뢰성을 높이고, 외부 전문 평가 대행기관을 선정하고 일관성 있는 보안평가를 수행하는 클라우드 서비스 보안인증 프로그램입니다. FedRAMP의 목적은 연방정부기관이 이용하는 정보 시스템/서비스에 대해 적정한 수준의 정보보호를 보증하면서 리스크 관리비용을 절감하고, 연방정부기관용 정보 시스템/서비스를 신속하고 효율적으로 조달하는데 있습니다.
실제 조사를 해본 결과, FedRAMP는 엄청난 규모의 인증기준을 자랑하고 있습니다. 또한 세부 운영 기준 역시 상당히 상세합니다. 본 포스팅에서는 FedRAMP 에 대한 상세설명 보다 FedRAMP와 국내외 인증제도와의 비교를 목적으로 하고 있으므로, 세부 내용은 생략하였습니다.
FedRAMP 의 거버넌스, 참여대상 및 운영절차, 세부 통제항목, 평가 방법은 아래의 사이트 및 문서에서 확인하세요.
- FedRAMP 공식홈페이지 - http://www.fedramp.gov/
- 참고문헌 - 미 연방정부 클라우드 서비스 보안인증 제도(FedRAMP) 분석, 한국인터넷진흥원
2) 국내 인증제도와의 비교
국내의 정보보호관련 인증 제도로는 1) ISMS인증, 2) 정보보호평가(CC)인증 이 있습니다.
< Reference - 미 연방정부 클라우드 서비스 보안인증 제도(FedRAMP) 분석 >
사실 정확하게는 위 3개 기준은 정확한 비교잣대가 될 수 없습니다. 각각의 인증 목적이 모두 다르기 때문입니다. ISMS 인증은 정보통신망 서비스 제공자를 대상으로 하는 인증이며, 클라우드 환경을 반영하고 있지 않습니다. 최근 관련 내용을 반영하려는 움직임을 보이고 있긴 하지만 아직까지는 많이 미흡한것이 사실입니다. 또한 보안성평가(CC)인증 기준 역시 정보보호 제품 및 암호 모듈을 평가하는 인증기준이기 때문에 클라우드 환경을 반영하고 있지 않습니다.
즉, 아직까지 우리나라는 클라우드 보안성을 평가하는 국가인증기준이 없습니다.
3) 국내외 클라우드와 관련된 인증제도 비교
사실 아시는분도 있겠지만 우리나라에도 '클라우드 서비스 인증제' 라는 민간 제도가 존재합니다. 하지만 FedRAMP와 달리 법적인 근거 없이 민간사업자 사업자 자율에 의지하다보니 항목 자체가 보안에 관련된 항목보다는 가용성과 신뢰성에 관한 항목이 많고 상세한 요구사항보다는 포괄적인 요구사항을 다룹니다.
< Reference - 미 연방정부 클라우드 서비스 보안인증 제도(FedRAMP) 분석 >
4) 결론
서두에서 말한바와 같이 '클라우드 법' 이 제정됨에 따라, 국내 클라우드 사업의 많은 발전이 예상됩니다. 하지만 보안성을 고려하지 않은 무분별한 발전은 언제나 커다란 사고를 야기하기 마련입니다. 그에 따라 우리나라에도 미국의 FedRAMP와 같이 정부차원의 클라우드 보안을 위한 제도적 장치가 하루빨리 마련되길 기대해 봅니다.
서두에서 말한바와 같이 '클라우드 법' 이 제정됨에 따라, 국내 클라우드 사업의 많은 발전이 예상됩니다. 하지만 보안성을 고려하지 않은 무분별한 발전은 언제나 커다란 사고를 야기하기 마련입니다. 그에 따라 우리나라에도 미국의 FedRAMP와 같이 정부차원의 클라우드 보안을 위한 제도적 장치가 하루빨리 마련되길 기대해 봅니다.
No comments
0 개의 댓글:
댓글 쓰기