클라우드 보안인증(CSAP)

오늘 이야기할 IT주제는 클라우드보안인증제도입니다.

어제 클라우드에 대해 소개해 드렸는데, 우리가 사용하는 클라우드를 제공하는 업체의 정보를 보면 보안인증을 받았다는

표시를 보신분이 있을 것 같다. 못 보셨다면... 자세히 정보를 확인 해 보시는걸 추천드립니다.

 

이게 왜 중요하냐면 요즘 하도 보안사고가 많이 발생하는데 최소한의 방어막 이라고 해야 할 듯 싶다.

물론 보안인증을 받았다는 사실만으로 그 회사의 보안 수준이 높다. 안전하다.

라고 말 할 수 있다면 좋겠지만 사실 그렇지 않다. 보안 인증은 최소한의 그 조직이 보안체계를 잡아 갈 수 있도록

만들어 둔 체계라고 할 수 있다. 전쟁터에 나가는 병사에게 칼과 방패하나 쥐어준 모습이라고 할 수 있다.

 

하지만 전쟁에서 이기려면, 칼과 방패만 있으면 부족하다. 먼저 전쟁에서 이기기 위한 전략도 배워야 하고,

병법도 배우고, 훈련하고, 시험보고, 갑옷도 입고, 말도타고 때로는 칼 말고 창도 사용하는 법도 배우고 활도 쓸 줄 알아야 하고

병사들을 통솔할 수 있는 리더십도 배워야 하고 이기기 위한 준비는 수도 없이 많을 것이다.

 

이런 의미에서 여러 보안인증이 있다고 이해하면 좋을 것 같다. 잠시 옆길로 이야기 해보면 ISMS-P인증...

이건 참 말이 많은 인증이다.

초반에 인기가 없을때는 인증심사원 자격을 무료 배포하듯이 거의 무료로 배포하더니 심사가 돈이된다.

노후보장 자격증이다 라는 소문이 돌고 2~3년간 부터 KISA에서 합격자 수를 줄이기 시작해서 작년 25년에는 정말 찍

는 사람이 붙고 공부 많이 하신분들은 떨어지는 사태가 발생했다. 그럼 이러한 경쟁력있는 인증심사원분들이 현장에서

심사를 한 기업에서 왜 그리 사고 많이 발생하고 있을까? 심사가서 놀고, 점심 얻어 먹고 오신건 아닌지 모르겠다.

물론 이건 일부 심사원들의 이야기이고, 대부분은 그 바닥에서 정말 인정 받으시는 분들임은 틀림없는 사실이다.

 

그런데...왜 ISMS-P인증을 받았는데 그것도 한두 군데도 아니고, 왜 반복해서 보안 사고가 발생할까? 이건 내 생각이지만

인증체계 자체가 문제가 있다고 본다. 체크리스트는 줄이고, 현장을 바라보는 시각에서의 현장을 알고 있는

사람이 그 시야로 바라보는 정보유츨, 개인정보 관리 점검을 해야 한다.

 

체크리스트를 달달외운 문과식 점검이 아닌 공대식 점검이 필요하다고 생각한다.

(문과를 비하하는 표현은 절대 아닙니다. 단지 요즘 문과나오신 분들에게 치여서ㅎㅎ 뭐 제 홈페이지인데 뭘 못하겠습니까?ㅎ)

 

많이 옆길로 갔다왔지만

클라우드 보안인증제도의 정의는 클라우드 제공 서비스 대해 클라우드컴퓨팅법의 기준에 따라서 한국인터넷진흥원(KISA)이

평가/인증 제도 입니다.

클라우드 컴퓨팅 인증제도의 체계

 

해당 법적근거는 클라우드컴퓨팅법률 제23조 2항과 클라우드컴퓨팅법 제5조에 따른다.

클라우드보안인증제도의 체계를 알아보자

1) 이용자: 공공기관포함

2) 신청기관: 클라우드서비스 제공자

3) 인증위원회-평가/인증기관: 한국인터넷진흥원

4) 공공부문 기술자문기관: 국가보안기술연구소

5) 정책기관: 과기부

 

클라우드보안인증도의 평가및 인증 요약

1) 최초평가 -(1년)- 사후평가(4회, 년1회) -(1년)- 갱신평가

2) 표준은 사후 4회, 간편은 사후 2회

 

개편된 사항으로는

1) KISA > KISA 및 복수평가기관

2) 무료 > 유료

3) 평가기관 > 사업자 자체수행 후 평가

4) 전 과정 신규평가 > 변경사항 중점평가

 

평가절차는

클라우드 보안인증 평가 절차

인증대상은

클라우드서비스(IaaS, PaaS, SaaS 등) 제공사업자, 국가·공공기관 등의 업무를 위하여 클라우드서비스를 제공하려는자

 

IaaS(Infra as a Service) : 서버, 스토리지 등 IT 인프라를 서비스 제공

SaaS(Software as a Service) : 응용SW를 서비스로 제공

DaaS(Desktop as a Service) : 데스크탑(PC)을 서비스로 제공 추가정보가 필요하다면 kISA홈페이지를 방문하기 바랍니다. https://www.kisa.or.kr