코로나 팬데믹으로 기존에 없었던 새로운 시스템의 등장과 사무실에 출근하지 않고 언제 어디서든 원격 근무과 회의를 할 수 있는 스마트 오피스(Smart Office)가 필요해지면서 기존의 온프레미스 기반의 시스템들은 보다 유연한 확장성과 고가용성을 제공하는 클라우드로 인프라 시스템을 전환하거나 새로 도입하기 시작하였습니다.

글로벌 시장 조사 업체인 스테티스타(Statista)에 따르면 전 세계 퍼블릭 클라우드 시장은 2019년 2599억 달러에서 2024년 6900억 달러로 성장할 것으로 예측하고 있으며, 서비스형 소프트웨어(Software as a Service, SaaS)는 2,822억 달러로 가장 큰 시장 규모를 성장할 것이라고 내다봤습니다. 또한, 2028년 퍼블릭 클라우드의 전체 시장 규모는 1조 620억 달러까지 성장하여 2024년부터 2028년까지 연간 11.37% 성장하며, 서비스형 소프트웨어 시장은 지속적으로 가장 큰 규모의 시장을 형성할 것으로 전망하였습니다.

(Public Cloud – Worldwide, Staticta)

전 세계 클라우드 수요에 맞춰 국내 클라우드 시장도 지속적으로 성장하여 2022년 국내 클라우드 전체 매출액은 5조 4백억원으로 2021년 대비 18.6% 증가하였습니다. 다만, ‘2023년 클라우드 산업 실태조사 보고서’에 따르면 코로나 19 팬데믹 상황이 종식되면서 지금까지의 성장세 보다는 다소 둔화될 것으로 전망하고 있습니다. 국내 클라우드 제공 서비스별로 매출 비중으로는 퍼블릭 클라우드 44.2%, 프리이빗 클라우드 15.7%, 하이브리드 클라우드가 40.1%로 나났으며, 하이브리드 클라우드는 퍼블릭 클라우드가 22.3%, 프라이빗 클라우드가 17.8% 비중인것으로 조사되며, 초기 클라우드에서 제기되었던 안정성, 보안성등의 인식이 개선되며 서비스 운영 및 사용에 많은 장점을 갖고 있는 퍼블릭 클라우드의 전환이 많은 것으로 분석되고 있습니다. 이렇게 지속적으로 증가하는 클라우드 수요로 인해 2016년 1건에 불과했던 클라우드 서비스 보안 인증(CSAP) 기업은 2023년 44건까지 증가하였으며, 2024년에는 4월 현재까지 12개의 서비스가 인증을 받았습니다.

SaaS 클라우드 서비스 보안 인증(CSAP)

클라우드 서비스 보안인증 제도는 클라우드컴퓨팅 기술을 이용하여 정보 시스템의 인프라, 응용프로그램, 개발환경 제공시 받을수 있는 인증제도로 클라우드서비스 제공자가 제공하는 서비스에 대해 보안인증기준에 적합한 서비스를 제공하는지 인증하는 제도로 상,중,하등급으로 구분하고 SaaS의 보안 인증은 표준등급과 간편등급으로 구분됩니다.

* 상/중등급은 공공 부문의 민간 클라우드 서비스 이용 활성화를 위해 2023년 1월 도입되었으며 현재 시행 예정

SaaS 표준등급은 전자결재, 인사 및 회계관리, 보안서비스, PaaS 등 주요 데이터를 다루는 SaaS 서비스를 인증 대상으로 하고 있으며, 인증 유효 기간은 5년으로 총 79개의 통제 항목을 평가하고 최초평가와 4회의 사후평가 그리고 갱신 평가가 있습니다. 간편 등급은 표준등급과는 달리 31개의 통제 항목으로 최초평가, 사후 평가 2회, 갱신 평가로 구분되며 표준등급 대상 이외의 SaaS 서비스를 인증 대상으로 하고 있으며 유효기간은 표준 등급보다 2년 짧은 3년의 기간을 부여받습니다.

(클라우드 보안 인증 유형)

최초평가는 처음 인증을 신청하거나, 인증 범위에 중요한 변경이 있어 인증을 다시 신청한 경우에 실시되며, 사후평가는 최초 평가 후 1년뒤 시행되며 보안인증 취득 후 보안인증기준을 준수하고 있는지 확인하기 위한 평가로 인증 유효기간 안에 매년 시행되는 평가입니다. 갱신 평가는 보안인증 유효기간이 만료되기 전 유효기간 연장을 원하는 경우에 실시하는 평가로 갱신평가를 통과하는 경우 5년의 유효기간을 다시 부여받게 됩니다.

SaaS 클라우드 서비스의 보안 인증은 기본적으로 클라우드 서비스 보안인증을 받은 IaaS, PaaS 서비스 환경에 구축되어야하며, 다수의 기관을 대상으로 퍼블릭(Public)한 형태로 소프트웨어를 제공해야합니다. CC인증, 보안기능확인서가 필요한 정보보호제품을 포함하고 있는 서비스형 보안서비스(Security as a Service, SECaaS)의 경우, 2024년 12월 31일까지 사전인증 없이 보안 인증이 가능하고 인증 획득시 공공기관 도입이 가능합니다.

클라우드 서비스 보안 인증(CSAP) - 접근통제

기본적으로 클라우드 서비스 보안 인증을 받기 위해서는 비인가자의 접근을 통제할 수 있도록 접근 통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 접근통제 정책을 수립하여야합니다. 또한, 접근 기록 대상을 정의하고 서비스 통제, 관리, 사고 발생 책임 추적성 등을 보장할 수 있도록 모든 행위를 기록하여 유지하여야 합니다.IaaS, SaaS, DaaS 보안인증의 접근 통제 기술적 조치로 접근 통제 정책, 접근 권한 관리, 사용자 식별 및 인증 3가지 항목으로 구분하고 9가지의 세부 조치사항을 인증 기준으로 제시하고 있습니다.

신시웨이의 DB접근제어 솔루션 Petra와 DB권한결재 솔루션 Petra Sign은 DB에 저장된 주요 정보를 허가 받지 않는 사용자의 접근하고 그 행위를 모두 기록함으로써 사고 발생시 철저한 책임추적성을 제공하고 있습니다. 또한 기록된 정보는 로그 관리에 최적화된 소프트웨어 레파지토리에 저장되어 위,변조 및 삭제가 불가능하고 기업이 보유하고 있는 각 종 인사시스템, 로그 관리시스템 등과의 연동이 가능하여 관리 및 운영의 편리성을 제공합니다.

접근통제 기술적 보호조치 인증 항목

★ ISMS 인증시 점검대체 가능 항목

클라우드 서비스 보안 인증(CSAP) – 데이터보호 및 암호화

현대 사회에서 데이터 보안은 중요한 요소가 되었습니다. 데이터 소유자는 데이터의 유형, 법적 요구사항, 민감도 및 중요도에 따라 데이터를 분류하고 관리해야하며, 데이터의 무결성을 항상 유지하여야 합니다. 특히, 데이터데 대한 접근제어, 위·변도 방지 등에 대한 보호 기능을 제공해야합니다. 또한 데이터 분류에 따른 암호 강도, 키 관리 등의 정책을 마련하고 암호키 생성부터 파기까지 암호키에 대한 모든 사항들에 대한 절차를 수립하고 암호키는 안전한 장소에 별도 보관해야합니다. 신시웨이의 페트라 사이퍼는 인증 받은 안전한 암호화 알고리즘을 사용하여 데이터를 암호화하고 암,복호화에 필요한 암호화 키를 PBKDF2(PASSWORD-BASED KEY DERIVATION FUNCTION2) 알고리즘을 통해 생성된 마스터키로 안전하게 보관함으로써 데이터가 유출되더라도 개인정보 즉, 평문(Plan Text) 데이터를 알 수 없도록 하여 높은 기밀성을 유지하여 실질적인 기업의 피해를 최소화할 수 있습니다.

데이터보호 및 암호화 보호조치 인증 항목

★ ISMS 인증시 점검대체 가능 항목

신시웨이의 DB접근제어솔루션 Petra와 DB암호화 솔루션 Petra Cipher는 CSAP인증 뿐만 아니라 개인정보보호법을 포함한 각종 보안 관련 법률 및 컴플라이언스를 준수하고 있으며, 공공·금융 등 다양한 분야로 레퍼런스를 확장하고 있습니다. 또한 클라우드 시장이 확대되는 만큼 클라우드 분야에서의 확장을 지속적으로 이어갈 것이며, 클라우드에 적합한 제품 개발을 진행하고 있습니다. 클라우드 서비스를 안심하고 사용하기 위해 반드시 필요한 CSAP 인증을 획득하기 위해서는 신시웨이의 DB보안 솔루션을 통해 기본 요건을 충족할 수 있습니다.