클라우드 보안인증제, IaaS에서 SaaS까지 확대 시행…SECaaS도 대상

서비스형소프트웨어(SaaS) 대상 클라우드 보안인증제가 본격 시행된다.

과학기술정보통신부는 공공기관의 민간 클라우드 이용 확산과 클라우드 산업 활성화를 위해 클라우드 보안 인증제를 SaaS까지 확대 시행한다고 29일 밝혔다.

클라우드 보안인증제는 공공기관이 민간 클라우드 서비스를 이용할 수 있도록 지난 2016년 7월부터 시행해 왔다.

공공기관은 민간 클라우드를 도입하려면 클라우드 보안인증제에 따라 인증된 서비스를 도입해야 한다. 그동안에는 서비스형인프라(IaaS)만을 대상으로 클라우드 보안인증제가 운영돼 왔지만 앞으로는 SaaS까지 확대된다.

과기정통부는 SaaS 보안인증제를 시행하기 위해 국가보안연구원, 한국인터넷진흥원(KISA)과 함께 보안인증 기준을 도출했다.

기존 IaaS 인증항목 117개 중 물리적 보안 등 39개 항목을 제외하고 총 78개의 필수항목으로 심사하기로 했다. ▲정보보호 정책, 인적 보안, 침해사고 관리, 준거성 등 관리적 보호조치 32개 ▲가상화 보안, 접근 통제, 네트워크 보안, 데이터 보호 등 기술적보호 조치 39개 ▲공공기관용 추가 보호조치 7개로 구성된다.

심사에 소요될 것으로 예상되는 기간은 3개월이다. 따라서 4개월 정도 소요되는 IaaS 인증에 비해 심사기간 단축 효과가 기대된다.

공공기관은 인증 받은 SaaS를 이용하면 국가정보원 보안성 검토가 간소화된다.

인증 대상은 인증된 IaaS에서 구축되는 SaaS다. 클라우드 보안 인증제가 퍼블릭 클라우드 서비스를 대상으로 하기 때문에 SaaS도 프라이빗·하이브리드 전용 클라우드 서비스는 제외된다. 인증받지 않은 IaaS를 포함해 IaaS와 SaaS 영역을 한꺼번에 인증 평가를 진행할 수 있다.

전자결재, 인사관리 등 내부 업무망에서만 이용가능한 SaaS는 제외된다. 국가 공공기관 보안지침 망분리 규정에 따라 업무망 SaaS 이용은 단계적으로 검토한 후 사용할 수 있다.

취약점 점검 불가, 데이터 해외 저장 등 평가가 불가능한 클라우드 서비스도 Saas 인증을 받을 수 없다.

‘SEcaaS(SEcurity as a Service)’라 불리는 관리형 보안서비스도 SaaS 인증 대상이다. 하드웨어 어플라이언스와 단순 설치형 솔루션은 SaaS 인증 대상이 아니다.

보안기능 검증은 공통평가기준(CC)인증, GS인증, 성능평가 등 다른 보안인증제로 대체하고 SaaS 인증에서는 인프라 연동 등에 대한 보안영향만을 평가한다. 다만 IaaS 사업자별로 형상변경이 필요한 경우 별도의 SaaS 평가인증이 필요하다. CC인증 제품이 클라우드 환경에 최초 구축될 경우 보안기능 형상 변화가 없는 것으로 보고 추가로 SaaS 인증을 받을 필요가 없다. 보안기능 형상 변화 여부는 점검할 예정이다.

클라우드 서비스 평가·인증은 KISA가 담당한다. 과기정통부는 클라우드 인증제도 활성화와 공공기관의 민간 클라우드 서비스 이용 활성화를 위해 한시적으로 클라우드 서비스 보안 평가·인증수수료를 지원한다. 이에 따라 SaaS 평가·인증 수수료는 당분간 무료다.

SaaS 보안인증제 유효기간은 3년이다. 인증취득 후 사업자 인증효력 유지 여부를 점검하기 위해 매년 사후평가를 실시한다. 상시 보안수준 유지관리를 위해 3개월마다 사업자 자체점검과 보안대책을 구현한 결과를 KISA에 송부해야 한다.

과기정통부 김정삼 정보보호정책관은 “클라우드 서비스 도입에 따른 보안 우려를 보안인증제를 통해 해소할 것으로 기대한다”면서 “앞으로 많은 공공기관들이 신뢰성이 검증된 SaaS 서비스를 활용해 업무의 신속성과 편의성을 확보함과 동시에 클라우드 산업이 활성화되기를 바란다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network