클라우드 보안 관련 동향 (금융보안원)

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2223


클라우드 보안 관련 동향

□ 개요

o 미래창조과학부는 2016년 1월 클라우드 컴퓨팅법 관련 고시 제정 추진을 위한‘클라우드 품질·성능 기준과 정보보호 기준 고시 공청회'를 개최함

※ 클라우드 관련 주요 정책 추진 현황
    ☞ 클라우드컴퓨팅 발전 및 이용자보호에 관한 법률 제정·시행('15.9.28)
    ☞ 클라우드 품질,성능 기준 과 정보보호 기준 고시안 공청회('16.1.22)
    ☞ 클라우드 품질,성능 기준 과 정보보호 기준 고시 예정('16.4.1)

o 본 보고서에서는 공청회에서 발표된 정보보호 기준 고시안과 관련된 주요 내용 조사

□ 주요 내용

o (제정 취지)「클라우드 컴퓨팅법」제23조에 따른 정보보호에 관한 기준을 제시하여, 이용자 신뢰도 향상 및 서비스 제공자의 보안수준 제고

[참고 : 클라우드 컴퓨팅법 제23조 2항]

제23조(신뢰성 향상) 제2항: 미래창조과학부장관은 클라우드컴퓨팅서비스의 품질 성능에 관한 기준 및 정보보호에 관한 기준 을 정하여 고시하고, 클라우드컴퓨팅서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다.

o (기본 방향) 정보보호에 필수적인 조치 사항을 클라우드서비스 사업자에게 제공하고 자발적인 보호조치를 유도하여 정보보호 수준 향상을 도모함

o (구성 내용) 클라우드서비스 제공자에게 권고하는 관리적, 물리적,기술적 조치 사항과 공공기관 추가 조치사항으로 총 14개 부문, 118개통제항목으로 구성됨

- 관리적, 물리적, 기술적 조치 사항이 미국, 유럽 등 해외 클라우드 보안인증기준1)과 부합하도록 기준을 마련
- 공공기관 추가 조치사항의 경우, 도입 제품의 CC인증, 시스템 및 데이터위치를 국내로 한정, 민간용 클라우드 서비스 영역과 분리, 암호화 수단은 검증필2) 국가표준 암호화 기술 제공 등 공공기관의 민간 클라우드 이용에 필요한 보안인증제 운영을 위해 구성

1) 해외의 주요 인증기준으로는 FedRAMP(미국), MTCS(싱가폴), 클라우드 정보보안 감사제도(일본), UK G-Cloud(영
국), ASD CCSL(호주)가 있다.
2) 국가 및 공공기관 정보보호제품을 공급하기 위해서 필수로 획득하여야 하는 암호모듈의 안전성과 구현 적합성 검증
제도

<클라우드 정보보호 기준(안)>

구분	주요 내용
관리적 조치	정보보호 정책 및 조직, 인적보안, 자산관리, 서비스 공급망관리, 침해사고 관리, 서비스 연속성 관리, 준거성
물리적 조치	물리적 보호구역 지정 및 보호, 정보처리 시설 및 장비보호
기술적 조치	가상화 보안, 접근통제, 네트워크보안, 데이터 보호·암호화, 시스템 개발 및 도입보안
공공기관 추가 조치사항	보안서비스 수준협약, 도입전산장비 안전성, 물리적 분리, 이중화 및 백업체계 구축, 암호화 기술 제공, 보안관제 제반환경 지원

※ 자료 : 미래창조과학부

o (활용 방안) 민간 클라우드 컴퓨팅 서비스 제공자가 정보보호 기준을 준수하는지 요청하는 경우 전문기관(KISA)를 통해 시험·평가를 실시하고, 공공기관에서 보안인증제를 통해 안전한 민간 클라우드 도입을 보장

□ 결론

o 클라우드 정보보호 기준을 기반으로 향후 보안인증제가 시행 되면, 공공부문을 시작으로 클라우드 서비스 도입이 활성화 될 것으로 기대

o 다만, 서비스 제공자 및 수요자의 의견 수렴을 통해 클라우드 도입 활성화에 걸림돌이 될 수 있는 부분(CC인증 필요, 물리적 분리 등)에 대해서는 지속적인 검토 필요

 

o 금융권에서도 공공부문 클라우드 도입 활성화에 발맞춰, 서비스 제공자의 정보보호 수준 평가 결과를 서비스 도입 시 활용 할 수 있을 것으로 기대

​