클라우드 보안인증 받은 DaaS 이용 가능…CC인증 등 확인해야
[데이터넷] 공공기관 인터넷 전용 PC 대신 민간 서비스형 데스크톱(DaaS)을 사용할 수 있게 된다. 단 DaaS 서비스 사업자는 클라우드 보안인증을 받아야 하며, 민간기관처럼 모바일 기기·개인 노트북 등에서는 사용할 수 없다.
한국인터넷진흥원이 온라인으로 진행한 ‘클라우드 보안 인증제 DaaS 분야 확대 시행 설명회’에서 발표한 주요 내용을 살펴보면, 공공기관에서 도입 가능한 DaaS는 ▲인프라: 네트워크, 보안 시스템, 하이퍼바이저 등 ▲DaaS 필수 요소: 가상PC OS, 인증·관리 서버, 보안 소프트웨어 등이 포함된다.
DaaS 인증 항목은 14개 부분, 110개 통제항목으로 구성되며, 인증에는 2~4개월 정도 소요됙 인증 수수료는 정부에서 지원하며, 인증 유효기간은 5년이다. 인증 항목 중 IaaS 인증과 중복되는 것은 생략할 수 있는데, 예를 들어 클라우드 운영을 위한 전담 조직과 이를 책임지는 정보보호 최고 책임자를 두어야 한다는 항목에 대해 IaaS 인증 요건을 만족했다면 DaaS 인증에서 다시 심사를 받을 필요가 없다.
IaaS 보안인증과 중복되지 않는 DaaS 보안인증의 예를 살펴보면, DaaS는 공공기관이 내부망에서 외부망 연결을 위해 클라이언트를 설치해 사용하게 되는데, 이 클라이언트는 IaaS 인증 항목에는 없으므로 점검을 받아야 한다.
DaaS를 통해 제공받는 가상 PC에 백신, 유해사이트 차단, 상용메일 차단, 망연계 시스템, 내PC 지키미 등 5개의 필수 소프트웨어가 설치돼 있어야 하는데, 백신·망연계 시스템 등 CC인증 대상 항목은 반드시 CC인증을 받은 제품을 사용해야 한다. 만일 벤더에서 CC인증을 진행중일 경우 이를 증빙하는 서류를 제출하면 조건부 인증 획득이 가능하며, 추후 CC인증 획득 여부를 확인하게 된다.
가상PC의 OS 제약은 없으며 윈도우 뿐 아니라 개방형 OS도 사용 가능하다. 가상PC로 작업한 후 완료되면 해당 내용은 모두 삭제되어야 하며또한 가상PC에 대한 비인가 접속 단말 차단 방안을 마련해야 하며, 공공기관 내부망 PC에 부여하는 IP/MAC 주소를 통제해야 한다.
시스템에 접속할 때에는 다중인증(MFA)를 이용해 사용자 접근권한을 통제해야 하며, DaaS로 접속하는 구간은 VPN이나 전용선을 이용해야 한다.
