클라우드 보안인증제도

• 클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도
• 보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2조제3항에 따라 보안인증을 받은 클라우드컴퓨팅서비스에 대해 표시
• 보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행규칙」 제4조에 따라 표시도안의 크기를 용도에 맞게 같은 배율로 조정할 수 있으며, 알아보기 쉽게 표시하고 표시도안의 색상 및 글씨체는 임의로 변경할 수 없음

목적 및 필요성

• 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드서비스 공급
• 객관적이고 공정한 클라우드서비스 보안인증를 실시하여 이용자의 보안 우려를 해소하고, 클라우드서비스의 경쟁력 확보

추진근거

• 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드서비스 보안인증제도 시행
• 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행

보안인증체계

• 클라우드서비스 보안인증체계는 역할과 책임에 따라 정책기관, 인증/평가기관, 인증위원회, 기술자문기관, 인증신청인, 이용자로 구분
• 정책기관은 과학기술정보통신부, 인증기관은 한국인터넷진흥원, 평가기관은 한국인터넷진흥원 및 과학기술정보통신부에서 지정한 기관, 공공부문 기술자문기관은 국가보안기술연구소에서 그 역할을 수행

보안인증 단계별 소요일수

기존 인증제

• IaaS, DaaS (총10일) : 본점검 5일 → 이행점검 5일
• SaaS 표준등급 (총9일) : 본점검 5일 → 이행점검 4일
• SaaS 간편등급 (총7일) : 본점검 4일 → 이행점검 3일

등급제

• 하등급 (총9일) : 본점검 5일 → 이행점검 4일
• 하등급 SaaS (총7일) : 본점검 4일 → 이행점검 3일

보안인증 유형 등

• 정보보호 자율규제 문화 정착 및 기업의 자발적 정보보호 역량 강화를 유도
• 정보보호 준비도 평가 등급을 기업에 부여하여 이용자에게는 기업 선택의 기준을 제공하고, 정보보호 활성화 및 투자 확대 유도
• 영세·중소기업 및 비IT 기업 등의 자율적인 정보보호 준비도 평가에 의한 정보보호에 대한 인식 강화 및 저변 확대, 보안 사각 지대 해소
• 정보보호 수준 향상, 정보보호 분야 투자 확대, 맞춤형 정보보호 정책 등을 통한 기업의 정보보호 준비도 모델 및 체계 제시

법적근거

• 「정보보호산업의 진흥에 관한 법률」 제12조
• 정보보호 준비도 평가 등급을 기업에 부여하여 이용자에게는 기업 선택의 기준을 제공하고, 정보보호 활성화 및 투자 확대 유도
• 영세·중소기업 및 비IT 기업 등의 자율적인 정보보호 준비도 평가에 의한 정보보호에 대한 인식 강화 및 저변 확대, 보안 사각 지대 해소
• 정보보호 수준 향상, 정보보호 분야 투자 확대, 맞춤형 정보보호 정책 등을 통한 기업의 정보보호 준비도 모델 및 체계 제시

보안인증 유형 및 등급

종류	설명
보안인증 유형	클라우드서비스 보안인증 유형은 IaaS, SaaS, DaaS가 있으며, 유효기간은 모두 5년 ※ 기존 인증제도(IaaS, SaaS(표준등급, 간편등급), DaaS 등)는 상·중 등급 시행 전까지 인증 신청 가능
보안인증 등급	클라우드서비스 보안인증 등급은 상·중·하로 구분 ※ 하 등급은 고시에 반영되어 있으며, 상·중 등급은 추후 반영 예정
최초평가	최초평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가 ※ 최초평가를 통해 인증을 취득하면, 5년의 유효기간을 부여
사후평가	사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 보안인증 유효기간(5년) 안에 매년 시행
갱신평가	갱신평가는 보안인증 유효기간(5년)이 만료되기 전에 클라우드서비스에 대한 보안인증의 연장을 원하는 경우에 실시하는 평가 ※ 갱신평가를 통과하는 경우, 5년의 유효기간을 다시 부여

보안인증 범위

• 클라우드서비스 보안인증 범위는 클라우드서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직, 지원서비스 등을 모두 포함하여 설정
• 클라우드서비스란 클라우드컴퓨팅법 시행령 제3조의 서비스를 의미

보안인증기준

기존 보안인증제도의 유형에 따른 보안인증기준

• IaaS 보안인증은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 116개 통제항목으로 구성
• SaaS 표준등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개 분야 79개 통제항목으로 구성
• SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 31개 통제항목으로 구성
• DaaS 인증은 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성

등급제 시행에 따른 보안인증기준

• 하등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 64개 통제항목으로 구성
• 하등급 SaaS 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제항목으로 구성

통제 분야	통제 항목	통제항목 수
		IaaS	SaaS		DaaS	하등급	하등급 SaaS
			표준	간편
1. 정보보호 정책 및 조직	1.1. 정보보호 정책	3	3	1	3	1	-
	1.2. 정보보호 조직	2	2	1	2	1	1
2. 인적보안	2.1. 내부인력 보안	5	4	1	4	1	1
	2.2. 외부인력 보안	3	-	-	3	-	-
	2.3. 정보보호 교육	3	1	1	1	1	1
3. 자산관리	3.1. 자산 식별 및 분류	3	1	-	3	2	-
	3.2. 자산 변경관리	3	1	-	3	-	-
	3.3. 위험관리	4	1	-	4	1	-
4. 서비스 공급망 관리	4.1. 공급망 관리정책	2	2	-	2	1	-
	4.2. 공급망 변경관리	2	1	-	2	1	-
5. 침해사고관리	5.1. 침해사고 대응 절차 및 체계	3	3	1	3	3	1
	5.2. 침해사고 대응	2	2	1	2	2	1
	5.3. 사후관리	2	2	-	2	1	-
6. 서비스 연속성 관리	6.1. 장애대응	4	4	1	4	4	1
	6.2. 서비스 가용성	3	2	1	3	1	1
7. 준거성	7.1. 법 및 정책 준수	2	1	1	2	1	1
	7.2. 보안 감사	2	2	-	2	1	-
8. 물리적 보안	8.1. 물리적 보호구역	5	-	-	5	2	-
	8.2. 정보처리 시설 및 장비보호	6	-	-	6	-	-
9. 가상화 보안	9.1. 가상화 인프라	6	2	1	5	5	1
	9.2. 가상 환경	4	4	-	2	1	-
10. 접근통제	10.1. 접근통제 정책	2	2	1	2	2	1
	10.2. 접근권한 관리	3	3	-	3	3	-
	10.3. 사용자 식별 및 인증	4	4	3	4	4	3
11. 네트워크 보안	11.1. 네트워크 보안	6	5	2	6	5	2
12. 데이터 보호 및 암호화	12.1. 데이터 보호	6	6	2	6	2	1
	12.2. 매체 보안	2	-	-	2	-	-
	12.3. 암호화	2	2	2	2	1	1
13. 시스템 개발 및 도입 보안	13.1. 시스템 분석 및 설계	5	5	1	5	3	1
	13.2. 구현 및 시험	4	4	1	4	3	1
	13.3. 외주 개발 보안	1	1	-	1	-	-
	13.4. 시스템 도입 보안	2	-	-	2	-	-
14. 국가기관등의 보안요구사항	14.1. 관리적 보호조치	4	4	4	4	4	4
	14.2. 물리적 보호조치	2	2	2	2	2	2
	14.3. 기술적 보호조치	4	3	3	4	5	5
총계		116	79	31	110	64	30