과기정통부, 클라우드 보안인증 등급제 본격 시행 <ICT>
페이지 정보
작성자 Sunny 작성일25-07-02 13:43 조회3회 댓글0건관련링크
본문
안녕하세요 보안 상태 등급제 하늘스케치입니다. 24년 2.6일자로 과기정통부에서 클라우드 보안인증 등급제를 본격 시행한다고 입법 예고했습니다. 과기정통부, 클라우드 보안인증 등급제 본격 시행먼저 클라우드의 보안 등급제에 대해서 알아보면 다음과 같습니다. 클라우드 보안 등급제가 처음 도입된 것은 2022년 8월이었습니다. 하지만 당시 상중하 등급에 대한 명확한 정의가 없었고, 하등급에 대한 정의만 있어서 하등급만을 위한 유명무실한 제도라는 비판이 많았습니다. 당시 22년 5월에 바이든이 한국을 방문하였고 보안 상태 등급제 직접적으로 클라우드 시장 개방에 대한 압력이 있었던 것으로 전해집니다. 그리하여, 3개월 만에 급조된 보안 등급제가 출현하게 된 것이고 하등급에 대해서는 AWS를 비롯한 외국계 클라우드사에 공공 Cloud 시장을 오픈하는 것 처럼 보였습니다. 이로 말미암아 국내 클라우드 기업들의 긴장은 고조되었고, 글로벌 클라우드 top 3인 AWS, MS, 구글은 국내 공공 시장 진입을 위한 하등급 신청을 포함하여 대규모의 인력 채용도 보안 상태 등급제 있었구요. 하지만, 실제로 이들 외산 클라우드사들은 하등급 조차 받아내지 못했습니다. 보안 당국인 국정원에서 서버 장비를 국내 CC 인증을 받을 것을 요구하고 네트워크 암호화 방식을 국내 기준을 적용하였기 때문입니다. 어떻게 보면 보호 무역 장벽이라고 볼 수도 있어서 조만간 무역 분쟁 이슈로 대두될 가능성도 있어보입니다. 이로써 외국계 클라우드업체들은 이미 하등급 신청 절차를 취소한 상태로 보입니다. 또한 공공 기관 보안 상태 등급제 진출을 위해 야심차게 채용했던 인력들을 대부분 1년 만에 퇴사를 시킨 것으로 보이네요. 이런 와중에 보안 등급의 상, 중 단계에 대한 정의가 나온 것이라, 사실 클라우드 시장에서의 여파가 큰 것으로 보이지는 않습니다. 다만, 아직도 팽배한 클라우드 보안에 대한 잠재적 불안 요소를 사전에 불식시키고, 과거에는 엄두조차 내지 못했던 국가 기밀 관련 정부 기관의 클라우드 전환이 보다 탄력을 받을 보안 상태 등급제 수 있을 것이라는 관측이 나옵니다. 그렇다면, 상중하 등급의 차이는 과연 무엇이길래 이렇게 거의 2년에 걸쳐 제도를 다듬은 것일까요?요약하면 매우 간단합니다.하등급은 논리적 망분리여도 상관 없다. 중등급은 기존 국내 공공 클라우드망이다.상등급은 보안감사 로그, 외부 네트워크 차단, 계정 관리 자동화, 월별 보안업데이트를 해야 한다.논리적 망분리는 실제로 서버실에 있는 서버를 공동으로 활용하더라도 가상화 기술을 사용하여 다른 네트워크에 있는 것이면 망분리가 보안 상태 등급제 된 것으로 보는 것입니다.반면에 물리적 망분리는 실제로 서버가 독립적으로 존재하여 네트워크가 분리된 것을 말합니다. 사실 클라우드의 핵심은 가상화이며, 논리적 망분리를 통해 진정한 클라우드가 가능합니다. 물리적 망분리는 시대를 역행하는 것이나 마찬가지입니다. 이번 입법 예고에서 기존 공공 보안 등급(CSAP)을 획득한 기업에 대해서는 올해까지 중등급을 기본적으로 부여한다고 합니다. 그럼 중등급과 상등급은 어떻게 다를까요?상등급 강화 규정을 좀더 자세히 보면 아래와 보안 상태 등급제 같습니다. 1) 보안 감사 로그 관리 클라우드 서비스 및 시스템에서 발생되는 보안감사 증적(로그)을 통합하여 관리하고, 자동화된 실시간 분석 및 판단을 통해 이상행위를 탐지 대응하여야 한다. 또한 자동화된 이상행위 탐지 및 대응 절차를 주기적으로 점검하여 개선하여야 한다.2) 외부 네트워크 차단국가기관 등의 중요정보를 취급하는 공공 업무망 영역의 클라우드컴퓨팅서비스를 제공하려는 경우 외부 인터넷과 연결 접점이 없도록 내부망에 해당하는 보안 상태 등급제 보안관리 조치 및 이에 준하는 클라우드 서비스를 제공하여야 한다.3) 계정 및 접근 권한클라우드서비스 제공과 관련된 계정 및 접근권한의 생성, 변경 등 관리 기능을 자동화하여야 한다.4) 보안 패치 관리클라우드서비스 제공과 관련된 정보자산의 보안패치를 최신으로 유지하기 위하여 업데이트 필요성 여부를 주기적(1개월)으로 확인하도록 자동화하여야 한다.;부디 클라우드 보안 등급제가 유효 적절하게 사용되어, 공공기관 클라우드 전환의 촉매제가 되었으면 하는 바람입니다.