SaaS 보안인증 시행 ‘초읽기’…인증기준·평가방법은
서비스형인프라(IaaS)를 대상으로 시행하고 있는 클라우드 보안인증제가 서비스형소프트웨어(SaaS)까지 확대된다. 이르면 내년 1분기 안에 SaaS 보안인증을 위한 시험평가가 본격화될 것으로 예상된다.
클라우드 보안인증제는 공공기관이 안전한 민간 클라우드 서비스를 이용할 수 있도록 지난해 5월부터 IaaS를 대상으로 시행됐다. 현재 KT, NBP(네이버비즈니스플랫폼), 가비아가 인증을 받은 상태다. 연말까지 한 곳이, 내년 초까지 한 곳이 더 추가될 예정이란 게 KISA의 설명이다. NHN엔터테인먼트와 LGCNS가 유력하다.
이에 따라 앞으로 공공기관을 대상으로 IaaS뿐 아니라 SaaS 서비스를 제공하길 원하는 사업자는 먼저 보안인증을 획득해야 한다.
클라우드 서비스 평가·인증기관인 한국인터넷진흥원(KISA)은 이를 위해 올해 SaaS 보안인증 기준과 평가방법론을 개발, 하반기에 시범사업자를 모집해 시범적으로 SaaS 보안인증을 적용했다. 가비아의 ‘하이웍스(hiworks)’와 인프라닉스 ‘엠콘솔(M Console)’, 지니언스 ‘클라우드 지니안 NAC’가 시범인증에 참여했다.
주 평가대상은 ‘퍼블릭 SaaS’, ‘SECaaS’ CC와 중복인증 최소화
7일 KISA가 SaaS 보안인증기준 및 평가방법 평가기준 설명회를 열어 공개한 내용에 따르면, SaaS 인증 대상은 퍼블릭 SaaS다. 구축형 SaaS는 대상이 아니다. 오피스, 협업도구, 데스크톱가상화(VDI), 서비스형보안(SECaaS) 등을 프라이빗 클라우드 환경에 구축해 운영하는 경우는 평가 대상에서 제외된다.
다만 SaaS 종류가 퍼블릭·설치형·매니지드 서비스 등의 형태로 다양해 예비점검 절차를 통해 세부 서비스 분석이 먼저 진행될 예정이다.
콘텐츠전송네트워크(CDN), 웹취약점 점검 서비스 등 IaaS의 부가서비스 형태로 제공되는 서비스도 평가대상에서 제외된다. 하지만 사후관리 대상에는 포함된다.
이와 관련해 라영선 KISA 책임연구원은 “IaaS 부가서비스 형태로 제공되는 SaaS 서비스는 평가대상은 아니지만 공공조달을 위한 서비스 목록관리가 필요해 관리대상이 된다”라며 “부가서비스는 사업자가 자체 점검해 결과를 KISA에 보내면 보안대책이 적절한지 점검해 조달청으로 전달하는 방식이 될 것”이라고 설명했다.
공통평가기준(CC) 인증 대상이 되는 SECaaS(SEcurity as a Service) 제품의 경우, 가상머신에 설치형으로 제공되는 웹방화벽·DB암호화같은 보안서비스는 CC인증을 받았으면 SaaS 보안인증을 별도로 받을 필요가 없다.
설치형과 매니지드 서비스가 결합돼 제공하는 보안서비스는 CC인증을 받은 범위는 제외하고 나머지 부분만 SaaS 보안인증을 받으면 된다. 공급망관리나 수집하는 개인정보·보안정책 배포 안전성 점검 등에 대한 추가 인증이 필요하기 때문이다.
단독형(Stand-alone) 보안서비스도 마찬가지다. VDI 서비스를 퍼블릭 서비스로 제공되는 경우에는 CC인증과 SaaS 보안인증을 모두 받아야 한다. 컴퓨팅 기기와 운영 플랫폼이 복합적으로 구축되기 때문이다.
주목할 점은 SaaS 보안인증을 받고자 하더라도 해당 SaaS가 구동되는 인프라(IaaS)단 보안 점검 등이 필요하다는 점이다. SaaS 인증 범위에 인프라 보안이 포함돼 있어 인증을 획득하기 위해서는 자체 IaaS에서 구동할 경우 이 부분까지 함께 인증을 받거나, 인증받은 IaaS를 이용해야 한다. <관련기사 – ‘클라우드 보안 인증제’ 때문에 우는 스타트업>
예를 들어 클라우드 보안인증을 받지 않은 아마존웹서비스(AWS), 마이크로소프트 애저 등 국내외 IaaS를 이용하는 SaaS는 보안인증을 받을 수 없다. 따라서 자체 클라우드 서비스 인프라를 구축·운영할 여력이 없는 많은 중소 SaaS 업체들은 공공 서비스 사업을 위해 인증받은 IaaS로 갈아타게 될 가능성이 높아 보인다.
통제항목 78개…인증에 최소 2개월 소요
SaaS 인증 기준은 IaaS 인증기준(117개) 대비 통제항목은 78개로 33% 적다. 물리적 보안과 인프라 보안분야는 축소하고 개발보안, 공급망 관리 등을 강화했다.
공급망 관리는 클라우드 구축을 위한 인프라 사업자와의 계약, 클라우드 서비스 개발·운영 관련 위탁계약 등의 관계에서 정보 교환·전송 유형에 따른 보안위험과 보안관리 정책, 데이터 누출 또는 침해사고시 대응방안 등을 명확하게 수립하고 있는지 들여다보는 것이다
통제항목은 각각 관리적 보호조치 32개, 기술적 보호조치 39개, 공공기관 요구사항 7개로, SaaS 서비스 특징에 따라 예비점검 절차에서 조정될 수는 있다.
평가 절차는 ▶신청접수▶예비점검▶계약체결▶서면(현장)평가▶취약점 점검▶모의침투 테스트▶보완조치(사업자)▶이행점검▶인증위원회▶인증부여 단계로 이뤄진다. 서면(현장)평가와 취약점 점검, 모의침투 테스트에 한 달간 소요될 것으로 예상된다. 보완조치가 필요한 경우 30일을 부여하고 최장 2개월까지 연장할 수 있는 기한을 부여할 방침이다.
보완조치가 이뤄진 후 이행점검을 완료한 후 인증위원회 승인을 거쳐 인증이 부여되는데 총 30일 정도 소요될 것으로 보인다.
만일 보완조치가 필요 없다면 최소 2개월 남짓이면 평가와 인증을 완료할 수 있다.
사후관리는 인증 취득 후에는 사업자 보안수준 유지관리를 위해 3개월(분기)마다 사업자가 자체 점검과 보안대책을 구현해 그 결과를 KISA에 송부하는 방식으로 이뤄질 예정이다.
임채태 KISA 인프라보호단 클라우드보안관리팀장은 “SaaS 보안인증 기준은 ISO 기준을 참조해 만들었다. 해당 기준은 유지한 상태에서 세부 평가방법론 등을 보완한 것”이라며 “시범평가·인증을 완료하고 그 결과를 정부부처와 협의하고 있다. 국가정보원 IT보안인증사무국과도 협의를 진행하고 있어, 향후 확정되는 내용을 바탕으로 2차 설명회를 개최한 후 올해 1분기에 시행할 수 있게 될 것”이라고 말했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
