클라우드 보안인증 등급제

1. 개요

- 과학기술정보통신부(이하 과기부) 「클라우드컴퓨팅서비스 보안인증에 관한 고시」일부 개정안 시행 예고
> 클라우드 보안인증 등급제의 상중등급 평가기준이 반영
> 일부 개정안을 2월 6일부터 2월 26일까지 행정예고

 

2. 주요내용

- 23년 1월 클라우드 보안인증 등급제 도입
> 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스 혁신
> 클라우드 산업 경쟁력 강화 목적

 

- 당시 등급별 보안인증 평가기준 차등화 및 하등급 우선 시행, 상중등급 보안인증 평가기준 마련 예고
> 상등급: 기존 평가기준 보완‧강화
> 중등급: 현행 수준 유지
> 하등급: 합리적 완화

 

- 과기부는 보안인증 실증사업 추진 및 민간 클라우드 이용 환경 보안성 검증 수행
> 과기부 행정내부시스템을 민간클라우드로 전환한 실증환경 구축
> 이를 대상으로 실시한 국정원의 보안진단 결과를 반영해 상중등급 평가기준 마련
> 국제표준 인증(ISO 27001(정보보안), 27017(클라우드 보안))과 FedRAMP(미국 연방정부 클라우드 보안인증) 등의 인증 평가항목을 분석하고, 추가 보완이 필요한 평가기준 도출

 

- 상등급의 경우 업무 중요도와 시스템 규모를 고려해 평가항목 4개 신설
> 외부 네트워크 차단 / 보안감사 로그 통합관리 / 계정 및 접근권한 자동화 / 보안패치 자동화 항목

 

- 중듭급의 경우 추가 항목은 없으나, 점검 내용 명확하를 위해 평가항목 일부 수정
> 시스템 격리 / 물리적 영역 분리

 

- 또한, 클라우드 환경 변화에 따를 사업자 부담 해소를 위한 제도개선 추진
> 인증평가시 의무적 취약점 점검의 경우 평가기관 점검 방식뿐만 아니라 외부 전문기관 점검 방식 등 허용
> 중복되는 평가항목 생랴그 수수로 할인 확대, 수수료 지원 강화 등

 

- 클라우드 활용이 어려운 영역을 상중하 등급으로 나누어 적합한 서비스 기준 제시
> 철저한 안전성 검증, 보안 우려 불식, 클라우드 제공 사업자 보안 수준 향상 목표
> 지속적 모니터링을 통해 개선이 필요한 부분은 보완 예정

 

3. 참고

[1] https://www.dailysecu.com/news/articleView.html?idxno=153384
[2] https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=238&pageIndex=&bbsSeqNo=94&nttSeqNo=3184054&searchOpt=ALL&searchTxt=