CSAP와 공공클라우드 이해하기: 클라우드서비스 보안인증제도

공공기관에서는 AWS나 GCP와 같은 글로벌 사의 클라우드를 사용하지 않고, 국내 몇 개의 클라우드 서비스만 사용하는 것을 알 수 있습니다. 도대체 왜 그럴까요?

 

바로 KISA에서 주관하는 클라우드컴퓨팅서비스 보안인증제도(CSAP, Cloud Security Assurance Program) 때문입니다.

 

 

1. CSAP 란?

「 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 」에 따르면 공공기관이 안전하게 민간 클라우드를 이용할 수 있도록 클라우드 보안인증제도를 마련하고 시행해야 한다는 내용이 있습니다.

 

클라우드컴퓨팅법에 명시된 신뢰성 향상과 보안인증 관련 조항

 

 

따라서 국가정보원과 과학기술정보통신부, KISA는 국가 및 공공기관에 안전성과 신뢰성이 검증된 클라우드서비스 공급을 위해 인증 체계를 마련하고 인증을 실시해 보안 우려를 해소해야 합니다. 

 

궁극적으로는 인증 제도를 통해 안전한 클라우드서비스를 구축하고 이용을 활성화 하는 것이 주 목적입니다.

 

 

이 때 IaaS, SaaS, DaaS 의 세 가지 인증 유형이 존재하며, 인증 등급은 다시 상/중/하 로 구분됩니다. 인증 유효기간은 5년입니다.

 

출처: KISA

 

최초 평가 - 사후 평가(총 4회) - 갱신 평가의 단계로 진행되며, 인증받은 내용 및 결과를 보안인증 마크 사용으로 알릴 수 있습니다.

출처: KISA

 

 

2. 보안인증 대상

「 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령 」제3조에 따라 클라우드 컴퓨팅 기술을 이용하여 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 클라우드서비스 및 제공자가 해당됩니다.

 

법률에서의 클라우드컴퓨팅서비스 정의

 

 

3. 보안인증 기준

 

보안인증 기준은 KISA의 「클라우드컴퓨팅서비스 보안인증제도 안내서」의 부록에서 확인할 수 있으며, 아래와 같은 총 네 가지 보호조치의 세부 사항으로 구성되어 있습니다.

 

<관리적 보호조치>

1. 정보보호 정책 및 조치	정보 보호 정책 및 조직 구성
2. 인적보안	내/외부 인력 관리(고용계약, 직무 분리 등), 정보 보호 교육
3. 자산관리	자산 식별 및 보안등급 분류, 변경 검증, 위험 관리
4. 서비스 공급망 관리	공급망 관리 정책 및 모니터링 검토
5. 침해사고관리	침해사고 대응 절차와 훈련 점검, 사후 관리
6. 서비스연속성관리	장애 대응 절차(보고, 처리 및 복구, 재발방지), 서비스 가용성 점검
7. 준거성	법 및 정책의 준수 여부와 보안 감사 여부 확인

 

 

<물리적 보호조치>

8. 물리적 보안

보호 구역 지정과 출입 통제, 장비 보호

 

 

<기술적 보호조치>

9. 가상화 보안	가상화 인프라(하이퍼바이저, 공개서버) 보안 관리
10. 접근통제	접근통제 정책 수립, 권한 및 사용자 인증 관리
11. 네트워크 보안	네트워크 보안 정책 수립, 접근통제 및 분리
12. 데이터보호 및 암호화	데이터 소유권/무결성/추적성 관리, 저장매체 관리, 암호화
13. 시스템 개발 및 도입 보안	시스템 설계와 도입 시 보안 고려(요구사항 정의, 구현 및 테스트 등)

 

 

<국가기관등이 이용하는 클라우드컴퓨팅서비스 보호조치> ⭐ 

14. 국가기관등의 보안 요구 사항

관련 정보보호 정보를 국가기관에게 제공, 시스템 관리 및 운영 인력의 물리적 위치 국내로 한정, 데이터 국외 유출 방지

 

2023년 8월, 국정원에서 CSAP를 통과한 클라우드 서비스 도입 가능 제품을 공개했습니다.

국가공공기관 민간클라우드컴퓨팅서비스 도입 가능 제품(23.8.2기준).pdf

0.09MB

 

이 중 국외 제품은 하나도 없는 것을 알 수 있는데, 그 이유는 해외 사업자들이 인증을 위한 보안 요구사항에 부담을 느꼈기 때문입니다. 

 

향후 해외 클라우드 사업자들이 CSAP 인증을 받고 공공시장에 진출할지 가능성 여부에 따라 국내 공공 클라우드서비스 시장과 클라우드보안의 판도가 달라질 수 있을 것입니다.