사스 인증 평가기준: 정보보호 정책 및 조직, 인적보안, 자산관리, 서비스 공급망 관리
KISA 박정환 수석연구원, “확대 시행일자, 의견 수렴 후 추후 공지할 것”
[보안뉴스 김경애 기자] 4차 산업혁명 시대가 본격화됨에 따라 사스(SaaS : Software as a Service) 수요 증가와 클라우드 이용 활성화를 위해 정부는 클라우드 보안인증 범위를 아이아스(IaaS: Infra as a Service)에서 사스까지로 확대 시행키로 했다. 구체적인 시행일자는 의견 수렴 등을 거쳐 추후 공지할 예정이다.
▲한국인터넷진흥원 클라우드보안관리팀 박정환 수석연구원[사진=보안뉴스]
클라우드 보안인증제 확대를 위해 정부에서는 사스에 적합한 인증기준 및 평가방법론 마련, 사스 보안인증 시범 사업 수행, 사스 사업자 및 유관기관 간담회 개최 등의 추진과정을 거쳤다.
이와 관련 한국인터넷진흥원(KISA) 사이버침해대응본부 클라우드보안관리팀 박정환 수석연구원은 28일 열린 ‘클라우드 보안인증제 확대 시행(laaS→laaS·SaaS) 설명회에서 “클라우드 보안인증 확대 시행은 공공기관에서 안심하고 사용할 수 있는 사스 제공을 위한 것으로, SaaS 사업자와의 유관기관 간담회를 지난 1월부터 5월까지 개최했다”며 “보안서비스 평가 등을 위한 평가기관 협의, 공공기관이 이용 가능한 사스 유형 발굴을 위한 관계기관과의 협의, 이번 설명회와 간담회 의견 수렴 등을 거쳐 시행일자는 추후 공지할 예정”이라고 말했다.
이에 따라 사스 평가 추진방향과 인증범위, 인증 평가방법 등에 대해 관심이 모아지고 있다. 사스 평가 추진방향에 대해 KISA 라영선 책임연구원은 “어플라이언스 보안장비(설치형 SW 포함)를 제외하고, 관리형 서비스를 세카스(SecaaS)로 규정한다”며 “사업자의 부담 경감, 인증 중복성 문제 해소를 위해 CC인증, GS인증, 성능평가 등 타 인증제로 대체할 수 있다. 사스 인증에서는 인프라 연동 등에 대한 보안 영향만을 평가한다”고 설명했다.
▲한국인터넷진흥원 라영선 책임연구원[사진=보안뉴스]
보안인증을 위한 점검항목은 △정보보호 정책 및 조직 △인적보안 △자산관리 △서비스 공급망 관리 △침해사고 관리 △서비스 연속성 관리 △준거성 △물리적 보안 △가상화 보안 △접근통제 △네트워크 보안 △데이터 보호 및 암호화 △시스템 개발 및 도입 보안 △공공기관 보안요구 사항 등 관리적 보호조치 32개, 기술적 보호조치 39개, 공공기관용 추가 보호조치 7개로 총 78개 항목이다.
또한, 사스 평가 절차 및 방법은 구축 및 준비, 신청접수, 예비점검, 계약체결, 서면평가, 취약점 점검, 모의침투 테스트, 보완조치(사업자), 이행점검, 인증위원회, 인증부여 순으로 진행된다.
이 가운데 서면평가는 정보보호 정책, 지침, 매뉴얼(절차) 등의 내부 규정 존재 여부를 체크하게 되며, 해당 내부 규정이 평가·인증 기준에 충족하는지 평가하게 된다.
현장평가는 사스가 보안평가 인증기준에 맞게 적절하게 구축 및 운영되고 있는지 확인하는 과정이다. 사스 사업자 측에서 서비스를 시연하거나 혹은 평가원이 서비스 계정을 확보하고 직접 서비스를 이용한다.
취약점 점검의 경우 CCE(Common Configuration Enumeration)로 비밀번호 길이, 복잡성, 기본 계정 삭제 등 시스템 구성 및 설정 관련 규정 준수를 포함한 취약한 설정에 대한 점검을 거치게 된다.
점검은 서버(OS), 네트워크, 보안, DBMS, 웹, PC 등에 대해 스크립트 실행(OS), Config분석(네트워크 장비), 보안장비 관리 콘솔에서의 설정 수동 확인, 담당자 인터뷰 등의 방법으로 진행된다. 또한, CVE(Common Vulnerabilities and Exposures) 기반으로 OS와 애플리케이션 고유의 취약점에 대해 점검하게 된다. 또한, 스캐닝 도구를 활용해 실행 결과를 토대로 정오탐을 분석하는 것으로 알려졌다.
사스가 아이아스 내부에 위치해 네트워크 보호를 받고 있어 외부 스캐닝은 불가능하다. 사스가 구축된 내부망에 점검도구를 설치한 후, 사스 서버내 설치하거나 점검용 VM 추가 생성한 다음 도구를 설치해서 점검하게 된다. 이 때 점검도구 외부접속과 웹 UI 사용을 위해 방화벽 작업이 필요하다.
소스코드 점검은 웹프로그램, 응용프로그램 등을 점검 대상으로 하며, 점검항목은 행정기관 및 공공기관 정보 시스템 구축, 운영 지침 준용 등 47개이다. 소스코드 진단원 자격 소유자를 투입하거나 점검도구를 활용하거나 조치방법을 안내토록 한다는 계획이다.
마지막으로 모의침투 테스트는 아이아스와 사스 사업자에게 사전 동의를 받아 사스 분석(평가원이 서면 및 현장평가에 참여), 침투 시나리오 수립, 점검항목 설정, 모의침투 테스트 수행(2주), 모의침투 테스트 결과를 제공 순의 절차를 거치게 된다.
[김경애 기자(boan3@boannews.com)]
KISA 박정환 수석연구원, “확대 시행일자, 의견 수렴 후 추후 공지할 것”
[보안뉴스 김경애 기자] 4차 산업혁명 시대가 본격화됨에 따라 사스(SaaS : Software as a Service) 수요 증가와 클라우드 이용 활성화를 위해 정부는 클라우드 보안인증 범위를 아이아스(IaaS: Infra as a Service)에서 사스까지로 확대 시행키로 했다. 구체적인 시행일자는 의견 수렴 등을 거쳐 추후 공지할 예정이다.
▲한국인터넷진흥원 클라우드보안관리팀 박정환 수석연구원[사진=보안뉴스]
클라우드 보안인증제 확대를 위해 정부에서는 사스에 적합한 인증기준 및 평가방법론 마련, 사스 보안인증 시범 사업 수행, 사스 사업자 및 유관기관 간담회 개최 등의 추진과정을 거쳤다.
이와 관련 한국인터넷진흥원(KISA) 사이버침해대응본부 클라우드보안관리팀 박정환 수석연구원은 28일 열린 ‘클라우드 보안인증제 확대 시행(laaS→laaS·SaaS) 설명회에서 “클라우드 보안인증 확대 시행은 공공기관에서 안심하고 사용할 수 있는 사스 제공을 위한 것으로, SaaS 사업자와의 유관기관 간담회를 지난 1월부터 5월까지 개최했다”며 “보안서비스 평가 등을 위한 평가기관 협의, 공공기관이 이용 가능한 사스 유형 발굴을 위한 관계기관과의 협의, 이번 설명회와 간담회 의견 수렴 등을 거쳐 시행일자는 추후 공지할 예정”이라고 말했다.
이에 따라 사스 평가 추진방향과 인증범위, 인증 평가방법 등에 대해 관심이 모아지고 있다. 사스 평가 추진방향에 대해 KISA 라영선 책임연구원은 “어플라이언스 보안장비(설치형 SW 포함)를 제외하고, 관리형 서비스를 세카스(SecaaS)로 규정한다”며 “사업자의 부담 경감, 인증 중복성 문제 해소를 위해 CC인증, GS인증, 성능평가 등 타 인증제로 대체할 수 있다. 사스 인증에서는 인프라 연동 등에 대한 보안 영향만을 평가한다”고 설명했다.
▲한국인터넷진흥원 라영선 책임연구원[사진=보안뉴스]
보안인증을 위한 점검항목은 △정보보호 정책 및 조직 △인적보안 △자산관리 △서비스 공급망 관리 △침해사고 관리 △서비스 연속성 관리 △준거성 △물리적 보안 △가상화 보안 △접근통제 △네트워크 보안 △데이터 보호 및 암호화 △시스템 개발 및 도입 보안 △공공기관 보안요구 사항 등 관리적 보호조치 32개, 기술적 보호조치 39개, 공공기관용 추가 보호조치 7개로 총 78개 항목이다.
또한, 사스 평가 절차 및 방법은 구축 및 준비, 신청접수, 예비점검, 계약체결, 서면평가, 취약점 점검, 모의침투 테스트, 보완조치(사업자), 이행점검, 인증위원회, 인증부여 순으로 진행된다.
이 가운데 서면평가는 정보보호 정책, 지침, 매뉴얼(절차) 등의 내부 규정 존재 여부를 체크하게 되며, 해당 내부 규정이 평가·인증 기준에 충족하는지 평가하게 된다.
현장평가는 사스가 보안평가 인증기준에 맞게 적절하게 구축 및 운영되고 있는지 확인하는 과정이다. 사스 사업자 측에서 서비스를 시연하거나 혹은 평가원이 서비스 계정을 확보하고 직접 서비스를 이용한다.
취약점 점검의 경우 CCE(Common Configuration Enumeration)로 비밀번호 길이, 복잡성, 기본 계정 삭제 등 시스템 구성 및 설정 관련 규정 준수를 포함한 취약한 설정에 대한 점검을 거치게 된다.
점검은 서버(OS), 네트워크, 보안, DBMS, 웹, PC 등에 대해 스크립트 실행(OS), Config분석(네트워크 장비), 보안장비 관리 콘솔에서의 설정 수동 확인, 담당자 인터뷰 등의 방법으로 진행된다. 또한, CVE(Common Vulnerabilities and Exposures) 기반으로 OS와 애플리케이션 고유의 취약점에 대해 점검하게 된다. 또한, 스캐닝 도구를 활용해 실행 결과를 토대로 정오탐을 분석하는 것으로 알려졌다.
사스가 아이아스 내부에 위치해 네트워크 보호를 받고 있어 외부 스캐닝은 불가능하다. 사스가 구축된 내부망에 점검도구를 설치한 후, 사스 서버내 설치하거나 점검용 VM 추가 생성한 다음 도구를 설치해서 점검하게 된다. 이 때 점검도구 외부접속과 웹 UI 사용을 위해 방화벽 작업이 필요하다.
소스코드 점검은 웹프로그램, 응용프로그램 등을 점검 대상으로 하며, 점검항목은 행정기관 및 공공기관 정보 시스템 구축, 운영 지침 준용 등 47개이다. 소스코드 진단원 자격 소유자를 투입하거나 점검도구를 활용하거나 조치방법을 안내토록 한다는 계획이다.
마지막으로 모의침투 테스트는 아이아스와 사스 사업자에게 사전 동의를 받아 사스 분석(평가원이 서면 및 현장평가에 참여), 침투 시나리오 수립, 점검항목 설정, 모의침투 테스트 수행(2주), 모의침투 테스트 결과를 제공 순의 절차를 거치게 된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
