클라우드법 시행, 앞으로의 계획은?

본 글은 ZDnet 기사의 ‘클라우드법 시행 눈앞..보안은 어떻게? 라는 기사를 요약한 글입니다. 본 기사에는 BSI 의 정보보호인증 스킴매니저인 송일섭 위원의 인터뷰가 포함되어 있습니다. 

 

클라우드법 시행, 앞으로의 계획은?

‘클라우드컴퓨팅 발전 및 이용자 보호에 과한 법률(클라우드법)’ 시행이 9월28일부터 시작되었습니다. 해당 법은 공공서비스에 클라우드 서비스 도입을 목표로 하고 있는 만큼 보안성을 보장하기 위한 대책이 중요해질 것으로 예상되고 있는데요. 미래창조과학부 산하 기관인 한국인터넷 진흥원(KISA)에서 클라우드 서비스 제공사업자는 물론 이용자와 정보보호기업들을 위한 가이드라인을 검토 중입니다.

최근 클라우드보안워크숍2015에 참석한 KISA 백종현 팀장에 따르면 크게 서비스 제공자, 서비스 이용자, 정보보호기업 차원에서 클라우드 서비스에 대한 보안대책을 세우는 중이라고 합니다.
먼저 서비스 제공자 입장에서는 클라우드 서비스 보안인증제도 개발이 추진될 예정입니다. 앞서 국내 클라우드서비스산업협회를 통해 클라우드 서비스 인증제도가 운영됐지만 보안성에 대한 검토는 정보보호관리체계(ISMS) 인증을 받았는지 여부에 대해 확인하는데 그쳤는데요. KISA는 이와 관련 별도 보안인증제도를 개발해 문서점검, 현장실사 등을 통해 사업자들의 보안수준을 진단한다는 계획이다. 다만 해당 인증은 ISMS와 같이 의무사항이 아니라 자율인증제 형태로 제공될 예정입니다.

두번째로는 서비스 이용자인 공공기관, 기업, 개인들을 위해 사고에 대한 보증보험 가입을 독려하고, 임치제도를 활용해 자산을 보호하고, 표준계약서 등을 마련해 보급한다는 계획이다. 여기에서 임치제도란 기술자료를 신뢰성 있는 전문기관에 보관(임치)함으로써 이용자의기술유출을 방지하며, 대기업은 중소기업의 폐업·파산 시 계약조건에 따라 기술사용을 보장하는 제도를 말합니다.
세번째로는 정보보호기업들이 클라우드 보안 클러스터를 조성해 일종의 클라우드 서비스에 대한 테스트베드 역할을 하고, 이를 제공할 수 있도록 지원한다는 계획입니다. 단말, 네트워크, 서비스 제공자를 위한 보안기술 등에 대한 개발도 진행됩니다. 기술개발에는 위험도를 기반으로 한 다중인증 및 동적 접근제어, 이상행위탐지 및 모니터링 등이 포함되며 클라우드용 보안서비스인 웹방화벽, DB암호화, 이메일 암호화 등에 대해서도 개발 및 지원도 검토 중입니다

 

클라우드 서비스 활성화를 위한 필수요건: 정보보안

아마존웹서비스(AWS), 마이크로소프트 애저 등과 같은 해외 퍼블릭 클라우드 서비스 사업자는 보안과 관련된 여러 인증을 받았다는 점을 강조하고 나서고 있습니다. 국내서도 공공서비스 부문에 대한 클라우드 서비스 활성화를 위해 이러한 인증이 중요한 보안기준으로 작용할 가능성이 높은데요.

대표적인 클라우드 보안 관련 인증으로는 정보통신사업자들이 ISMS 인증을 받기 위해 필수였던 국제표준인증규격인 ‘ISO27001’ 개발을 주도한 영국표준협회(BSI)와 국제단체인 클라우드보안협회(CSA)가 공동으로 마련한 ‘STAR 인증’을 들 수 있습니다. 이 인증은 ISO27001을 받은 클라우드 사업자를 대상으로 하고 있습니다.

BSI코리아 송일섭 선임심사원은 “클라우드 보안이 기존 일반적인 정보보안과 구분되는 특징은 서비스의 가용성과 회복능력을 보장해야한다는 점에 있다”고 강조했습니다. 클라우드 서비스는 수많은 가상서버로 활용하는 만큼 이에 대한 보안통제대책을 만드는 작업이 필요하다는 것입니다. 이런 점들을 검토해 마련된 STAR 인증은 ISMS를 큰 골격으로 클라우드 서비스에 필요한 보안적인 검토사항을 추가한 것으로 보안에 대한 ‘성숙도’까지 파악한다는 점이 특징입니다. 송 심사원에 따르면 STAR 인증의 경우 처음 인증을 받으면 별도로 인증서를 발급하지 않고 그 대신 단계를 거쳐가면서 성숙도가 높아졌다고 판단될 경우 브론즈, 실버, 골드라는 인증등급을 부여합니다.

클라우드 보안에 특화된 사항으로는 클라우드컨트롤매트릭스(CCM) 버전3.01을 통해 비즈니스 연속성 관리, 공격에 대한 회복력(BCR), 데이터 보안 및 정보라이프사이클 관리(DSI) 등 항목을 통해 정보 자체만이 아니라 데이터에 대한 관리까지도 요청합니다. 해당 인증을 가장 먼저 받은 곳은 알리바바 그룹이며, 유럽 이동통신사나 중국 기업 등이 보안수준을 높이기 위해 인증을 받고 있는 상황입니다.

클라우드 서비스를 활용할 경우 개인정보보호에 대해서도 충분한 고려가 이뤄져야합니다. 우리나라처럼 개인정보보호에 대한 규제가 강력한 유럽에서는 클라우드 서비스를 활용할 때 반드시 개인식별정보(PII)에 대한 관리지침을 담고 있는 ‘ISO27018’을 따르도록 하고 있습니다. 마이크로소프트 애저, 오피스365가 해당 인증을 받은 대표 클라우드 서비스 중 중 하나입니다.

 

장기적 관점에서는 교육과 전문가 육성이 필요

이와 함께 가장 최근에는 CSA와 국제공인 정보시스템전문가 자격증(CISSP)를 발급하는 ISC가 공동으로 마련한 클라우드보안전문가 자격증인 ‘CCSP’를 보유한 전문가들을 영입하는 방안도 생각해 볼 수 있습니다. HP에서는 국제 공인 클라우드 보안 교육 및 자격증인 ‘CCSK’라는 제도를 운영 중입니다. 국내에서도 행정자치부를 중심으로 FISMA와 같이 공공기관이 보유한 정보자산에 대한 등급을 매겨 관리하는 제도에 대한 운영을 검토 중입니다. 

 

출처: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150702182123&type=det&re=