클라우드 보안인증 등급제 본격 시행된다

2024-02-06 13:52
  • 카카오톡
  • 네이버 블로그
  • url
과기정통부, 상중등급 보안인증 평가기준 담긴 고시 개정안 행정예고 실시

[보안뉴스 엄호식 기자] 과학기술정보통신부(장관 이종호, 이하 과기정통부)는 클라우드 보안인증 등급제의 상중등급 평가 기준이 반영된 ‘클라우드 컴퓨팅 서비스 보안인증에 관한 고시’ 일부 개정안을 2월 26일까지 행정예고한다고 밝혔다.


▲과학기술정보통신부 로고[이미지=과학기술정보통신부]
클라우드 보안인증 등급제는 2023년 1월 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하기 위해 도입됐다. 당시 과기정통부는 등급별로 보안인증 평가기준을 차등화해, 상등급은 기존 평가기준을 보완·강화, 중등급은 현행 수준 유지, 하등급은 합리적으로 완화하기로 했다. 이에 따라 하등급 보안인증 평가 기준이 담긴 고시를 개정하면서 하등급을 우선 시행했고, 상중등급은 관계부처와 함께 실증·검증을 거쳐 보안인증 평가기준을 마련하기로 했다.

이에 따라 보안인증 실증사업을 추진하면서 민간 클라우드 이용 환경에 대한 보안성을 검증했다. 과기정통부의 행정 내부시스템을 민간 클라우드로 전환한 실증환경을 구축하고, 이를 대상으로 실시한 국정원의 보안진단 결과를 반영해 등급의 평가 기준을 마련했다. 뿐만 아니라, 별도의 고시개정 연구반을 운영해 국제표준 인증(ISO 27001(정보보안), 27017(클라우드 보안))과 FedRAMP(미국 연방정부 클라우드 보안인증) 등의 인증 평가항목을 분석하고, 추가 보완이 필요한 평가 기준을 도출했다.

이를 통해 상등급은 국가 중대이익(안보, 외교 등), 행정 내부업무 등을 운영하는 상등급 시스템의 업무 중요도와 시스템 규모를 고려해 4개의 평가항목을 신설했다. 구체적으로 △외부 네트워크 차단 △보안감사 로그 통합관리 △계정 및 접근권한 자동화 △보안패치 자동화 항목을 추가한다. 중등급은 추가하는 항목은 없지만, 점검 내용을 명확히 하기 위해 △시스템 격리 △물리적 영역 분리 평가항목을 일부 수정했다. 한편, 상중등급이 시행되더라도 기존에 인증받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들이 제도 개편으로 인해 겪는 혼란과 불편을 최소화하기 위해 유효기간 내에서는 중등급으로 인정할 예정이다.

클라우드 보안인증 상중등급 시행과 함께, 클라우드 환경 변화에 따른 사업자의 부담 해소를 위한 제도 개선도 추진한다.

먼저 클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영해 인증평가 시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다.

또한 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우, 중복되는 평가항목은 생략(40~50% 수준)하고, 수수료 할인 폭을 확대(50%)했으며, 인증 수수료 유료화에 따른 중소·중견 기업의 부담 경감을 위해 수수료 지원도 강화(최대 70%)할 예정이다.

과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역(행정내부업무 등)이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”면서, “본격적인 민간 클라우드 활용에 앞서, 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증해 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다”고 밝혔다.

또한 “향후, 제도가 현장에서 안정적으로 정착될 수 있도록 지속해서 모니터링하고, 제도 운영 과정에서 추가 개선이 필요한 부분은 보완해 나갈 방침이다”라고 강조했다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 모토로라시스템

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 비전정보통신

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 아이서티

    • 경인씨엔에스

    • 메인아이티

    • 성현시스템

    • 효성인포메이션시스템

    • 다후아테크놀로지코리아

    • 디비시스

    • 아이리스아이디

    • 한국씨텍

    • 지오멕스소프트

    • 이오씨

    • 투윈스컴

    • 이에스티씨

    • (주)우경정보기술

    • 살토시스템

    • 유니뷰코리아

    • 세연테크

    • 이앤엠솔루션

    • 위트콘

    • 트루엔

    • 엔텍디바이스코리아

    • 포엠아이텍

    • 유에치디프로

    • 주식회사 에스카

    • 넥스트림

    • 포티넷

    • 휴네시온

    • 안랩

    • 나온웍스

    • 클래로티

    • 앤앤에스피

    • 이글루코퍼레이션

    • 노조미네트웍스

    • 카스퍼스키랩코리아

    • 한드림넷

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • 풍림무약주식회사

    • 새눈

    • 앤디코

    • 태정이엔지

    • 네티마시스템

    • 에이앤티코리아

    • 모스타

    • 미래시그널

    • 유투에스알

    • (주)일산정밀

    • HGS KOREA

    • 에스에스티랩

    • 에이앤티글로벌

    • 주식회사 알씨

    • 창성에이스산업

    • 엔에스티정보통신

    • 보문테크닉스

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 현대틸스
      팬틸트 / 카메라

    • 티에스아이솔루션

    • 두레옵트로닉스

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 지와이네트웍스

    • 구네보코리아주식회사

    • 동양유니텍

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기