공공분야 위한 SaaS 보안인증, 보안성·편의성 강화한다
상태바
공공분야 위한 SaaS 보안인증, 보안성·편의성 강화한다
  • 김선애 기자
  • 승인 2017.12.07 13:35
  • 댓글 0
이 기사를 공유합니다

“과기정통부·KISA, SaaS 보안인증 설명회 개최…SECaaS, CC인증·SaaS 보안인증 모두 필요”

정부가 공공분야 클라우드 도입 활성화를 위해 추진하고 있는 클라우드 보안인증제도 중 서비스형 소프트웨어(SaaS) 분야 인증 기준의 방향이 정해졌다. 큰 틀에서는 IaaS의 기준과 같지만, SaaS의 특징에 맞게 물리적 보안·인프라 보안을 축소하고 개발보안, 공급망 관리 등을 강화한다는 내용을 담고 있다.

가장 중요한 것은 공공분야에서 안전하게 사용할 수 있도록 보안점검을 강화하면서 중복되는 점검 항목을 줄이고, 서비스의 성격에 따라 다른 기준을 정해 합리적으로 공공 클라우드를 사용할 수 있도록 한다는 계획이다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 7일 서울 양재동에서 ‘SaaS 보안인증 기준 및 평가방법 설명회’를 열고 현재 논의 중인 SaaS 보안인증의 방향에 대해 상세히 설명했다.

이날 발표된 주요 내용은 SaaS 인증 기준은 서비스형 인프라(IaaS)보다 33% 감소된 78개로 단축시켰으며, IaaS 기준의 보안성을 유지하되, SaaS 관점에서의 평가 방법론을 개발한다는 것이다. 다양한 오픈소스 점검과 다자간 계약관계, 이용자 데이터 흐름 점검, 소프트웨어 개발 보안 등을 강화한다는 내용을 담고 있다.

임채태 KISA 클라우드보안관리팀장은 “SaaS는 서비스의 종류가 다양하고 성격도 다르기 때문에 IaaS처럼 일관된 보안 인증 기준을 둘 수 없다. 그래서 서비스 특성에 따라 각각 다른 기준을 제정하고 있다”며 “7일 논의된 내용과 업계 의견을 수렴해 내년 상반기 2차 설명회를 갖고 인증 기준을 구체화 할 예정이다. 많은 클라우드 사업자가 보안인증에 참여할 수 있도록 하겠다”고 말했다.

보안인증 평가 대상, 퍼블릭 클라우드

SaaS 보안인증 평가 대상은 공공기관에 도입되는 서비스형 소프트웨어로, 퍼블릭 서비스만을 대상으로 하고, 구축형(프라이빗) 클라우드는 제외한다. 보안관제, 원격 모니터링과 같은 매니지드 서비스, CDN, 웹 취약점 점검 서비스와 같은 부가 서비스 등은 관리대상으로 별도 구분하게 된다. 이러한 서비스는 완전한 퍼블릭 서비스도, 프라이빗 서비스도 아니기 때문에 클라우드 사업자가 자체적으로 보안 점검을 한 후 KISA 등 평가기관의 보안점검을 거쳐 조달 등록 여부를 확인하게 된다.

서비스형 보안(SECaaS)는 공공기관에 공급하기 위해 필요한 CC인증과 클라우드 보안 인증을 모두 받아야 하는 경우도 있다. 퍼블릭 VDI 서비스를 이용하는 경우, 민감한 정보를 다루는 업무가 많은 만큼 CC인증과 SaaS 보안인증을 모두 획득해야 하며, 충분한 안전성을 검증한 후 인증을 부여할 예정이다.

웹방화벽, DB암호화 등 가상머신에 설치형으로 제공되는 보안 서비스는 CC인증만 획득하면 된다. 매니지드 서비스와 같이 설치한 후 관리 서비스를 유지하는 경우, 혹은 공공 클라우드에 설치된 서비스가 여러 기관에 서비스를 제공해야 하는 경우 CC인증·SaaS 보안인증을 모두 받아야 한다. 이 경우 SaaS 보안인증은 CC인증과 중복되는 것을 제외해 인증을 간소화 한다.

이와 관련한 구체적인 내용은 IT보안인증사무국, CC 평가제도 클라우드 보안성 관련 정책에 따라 변동의 여지가 있다.

“안전한 SaaS 제공 역량 갖춘 기업 평가에 중점”

SaaS 보안인증은 서비스 자체의 보안성 뿐만 아니라 서비스 공급망까지 주의 깊게 점검하게된다. 클라우드 구축을 위한 인프라 사업자와의 계약 문제나 클라우드 서비스 개발, 운영과 관련된 위탁계약, 클라우드 서비스 제공과 관련된 계약 등을 점검한다.

정보교환과 전송 유형, 사용하는 네트워크 유형, 데이터 누출·침해사고 시 책임, 침해사고 대응방안 등도 점검하게 되며, 이용자 데이터의 생명주기에 따른 관리방안도 필수적으로 살펴본다. 여러 기관의 데이터를 취급하는 클라우드 서비스의 경우, 논리적 방식으로 분리하는 것을 원칙으로 하며, 물리적 분리가 필요한 경우 별도의 저장장치를 이용해야 한다. 공공기관에서 요구하는 검증필 암호화 적용 대상은 공공 데이터에만 한하며, SaaS 사업자와 고객의 데이터는 해당되지 않는다.

SaaS는 점검 서비스 대상이 다양하기 때문에 인증 기준을 만드는 것이 쉽지 않은 일이다. SaaS를 개발할 때 다양한 DB, 개발언어, 오픈소스를 사용하고 있으며, 다수의 논리적 자산에 대한 보안성을 검증하기가 까다롭다. 사업자 규모도 영세한 사업자부터 대형 서비스 사업자까지 다양하기 때문에 업계에서 많은 이견이 나온다.

라영선 KISA 책임연구원은 “보안인증제는 안전한 SaaS를 제공할 역량을 갖춘 기업을 평가하기 위한 것이기 때문에 영세 사업자를 위해 보안 점검 기준을 낮출 수 없다. 대신 SaaS 기업을 육성하기 위해 서비스 개발 지원과 실증, 보안 컨설팅 등의 여러 지원 정책이 마련될 예정으로, 보안인증에 투자하기 어려운 소규모 SaaS 사업자도 경쟁할 수 있게 될 것”이라고 말했다.

인증 비용 무료…인증에 2~3개월 소요

인증 평가에는 2~3개월 가량 소요되지만, 점검해야 할 자산이 많으면 오래 걸릴 수 있고, 자산이 적으면 더 짧은 기간 내에 끝낼 수 있다. 정식 계약 체결 전 예비점검 단계에서 서비스 기관이 자체적으로 점검한 후 KISA에서 준비도 점검과 취약점 점검까지 지원해 서비스에 맞는 점검 방법을 사전에 준비할 수 있도록 한다. 이 때 IaaS 사업자의 동의가 필요한 부분이 있을 수 있으므로 미리 확인하고 동의를 구하는 절차도 필요하다.

예비점검 후 계약을 체결하고 현장/서면 평가 후 취약점 점검, 모의 침투테스트, 보완조치, 이행점검을 거친 후 인증위원회에서 인증을 부여한다.

인증 취득 후에는 사업자의 보안수준 유지 위해 분기(3개월)마다 사업자가 자체 보안활동을 수행해야 한다. 클라우드 시스템 증설 등 변경사항을 관리하고 신규 취약점 대비 공통 취약점 목록(CVE)을 점검하며, 그 결과를 KISA에 송부해야 한다.

라영선 연구원은 “SaaS는 수시로 변동되기때문에 인증 획득만큼 사후 관리도 중요하다. 서비스 사업자의 자체 점검을 통해 SaaS 보안수준을 유지하는 것이 중요하다”고 강조했다.

한편 SaaS 보안인증 비용은 아직 확정되지 않았으며, 확정 전 까지는 무료로 진행된다. 내년 보안인증 기준을 구체화하고 인증에 필요한 인력, 장비 등에 대한 비용을 조사할 계획이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.