국내 공공기관 클라우드 공급에의 필수 관문이라 불리는 클라우드 서비스 보안 인증제도란 무엇일까요?

클라우드 보안 인증제도 CSAP는 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다. CSAP는 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고 이용자에게 안전한 클라우드 서비스를 제공하기 위한 목적으로 시행되었습니다.

클라우드 서비스 보안인증을 받은 경우 다음과 같은 인증 마크를 문서ㆍ송장ㆍ광고 등에 표시할 수 있으며 보안인증을 받은 사업자의 클라우드 서비스가 100%안전한 것은 아니지만, 클라우드 서비스를 이용하기 위한 최소한의 정보보호 요건을 충족했음을 의미합니다.

법령에서 규정하고 있는 클라우드 서비스 보안인증제도

「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제4장에서는 클라우드 서비스의 신뢰성 향상과 이용자 보호를 위한 법령을 규정하고 있으며, 클라우드 컴퓨팅 서비스의 보안인증에 관해서는 23조의 2항에서 자세히 규정하고 있습니다.

제23조의 2(클라우드컴퓨팅서비스의 보안인증)
① 과학기술정보통신부장관은 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 대통령령으로 정하는 바에 따라 인증을 할 수 있다.
② 보안인증의 유효기간은 인증 서비스 등을 고려하여 대통령령으로 정하는 5년 내의 범위로 하고, 보안인증의 유효기간을 연장받으려는 자는 대통령령으로 정하는 바에 따라 유효기간의 갱신을 신청하여야 한다.
③ 클라우드컴퓨팅서비스 제공자는 보안인증을 받은 클라우드컴퓨팅서비스에 대하여 보안인증을 표시할 수 있다.
④ 누구든지 보안인증을 받지 아니한 클라우드컴퓨팅서비스에 대하여 보안인증 표시 또는 이와 유사한 표시를 하여서는 아니 된다.
⑤ 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원 또는 대통령령에 따라 과학기술정보통신부장관이 지정한 기관으로 하여금 보안인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.
1. 보안인증기준에 적합한지 여부를 확인하기 위한 평가(이하 “인증평가”라 한다)
2. 인증평가 결과의 심의
3. 보안인증서의 발급ㆍ관리
4. 보안인증의 사후관리
5. 보안인증평가원의 양성 및 자격관리
6. 그 밖에 보안인증에 관한 업무

클라우드 서비스 보안인증제도의 종류

클라우드 서비스 보안인증제도의 인증 유형은 laaS, SaaS, DaaS이며, 인증 등급은 상ㆍ중ㆍ하로 구분됩니다.

평가의 종류에는 최초평가, 사후평가, 갱신평가가 있습니다. 최초 평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다. 사후평가는 보안인증을 취득한 이후 지속적으로 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(5년)안에 매년 시행해야 합니다. 갱신평가는 보안인증 유효기간(5년)이 만료되기 전 보안인증의 유효기간 연장을 원하는 경우에 실시하는 평가입니다.

클라우드서비스 보안인증 대상

클라우드 서비스 보안인증 대상은 클라우드 기술을 이용하여 정보시스템의 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 클라우드 서비스에 해당하며 클라우드 컴퓨팅법에서는 다음과같이 보안인증 대상을 정의하고 있습니다.

제3조(클라우드컴퓨팅서비스) 법 제2조제3호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 서비스를 말한다.

1. 서버, 저장장치, 네트워크 등을 제공하는 서비스

2. 응용프로그램 등 소프트웨어를 제공하는 서비스

3. 응용프로그램 등 소프트웨어의 개발·배포·운영·관리 등을 위한 환경을 제공하는 서비스

4. 그 밖에 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스

제20조(국가기관등의 클라우드컴퓨팅서비스 이용 촉진)
①국가기관등은 업무를 위하여 클라우드컴퓨팅서비스를 이용할 수 있도록 노력하여야 한다.
② 국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다.

인증제도 실시를 통한 기대효과는?

공공기관은 행정업무를 다루는 만큼 민감정보를 많이 보유하고 있어 클라우드를 도입할 때 가장 우려되는 것이 보안입니다. KISA는 정보보호 기준 준수 여부 확인을 위한 인증 제도를 만들어, 공공기관에서 해당 인증 심사를 통과한 클라우드 서비스만 사용하도록 하고 있습니다.

이를 통해 클라우드 서비스 이용자(공공기관)은 인증받은 클라우드 서비스를 이용함으로써 보안 우려를 해소하고, 안전한 클라우드서비스 구축 및 이용 활성화를 기대할 수 있습니다.

또한 클라우드 서비스 제공자(민간 사업자)는 객관적이고 공정한 클라우드 서비스 보안인증을 통해 이용자 신뢰도 향상 및 클라우드 서비스 제공자의 정보보호 수준 향상을 기대할 수 있습니다. 지난1월 과학기술정보통신부에서는 공공부문에의 클라우드 시장 전반을 활성화하기 위해 보안인증 체계를 개선하여 상·중·하 등급제를 도입하였습니다.

클라우드를 이용하고자 하는 공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하등급으로 분류하여 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류할 예정입니다. 클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화하여 기존 평가항목 기준으로 상등급 평가기준은 보완, 강화하고 하등급 평가기준은 합리적으로 완화합니다.

특히 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규진입할 수 있도록 기존의 민간·공공 영역간 물리적 분리 요건을 완화합니다. 과학기술정보통신부에서의 보도자료에 따르면 구체적인 세부 내용등은 디지털플랫폼정부위원회와 관계부처의 공동 실증, 검증을 통해 평가기준을 보완하여 2023년 이내로 시행할 예정임을 밝혔습니다.

출처 및 참고자료

대한민국정책브리핑, 클라우드 보안인증 등급제 고시 개정안 행정예고

「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」

KISA-클라우드 보안인증제

KISA, 클라우드 컴퓨팅 보안인증제도 안내서