클라우드 컴플라이언스(Cloud Computing:How to Ensure Cloud Compliance)
클라우드 환경에서 준수해야 할 법령은 어떤 것이 있는가?
기존 On-premise 환경에서 IT 시스템을 운영한다면, 산업 분야 별로 준수해야 하는 법령들이 정해져있습니다. 금융분야인 경우는 금융감독원 규정, 정보통신분야라면 정보통신망법을 준수합니다. 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률이 제정되면서, 클라우드시스템을 서비스하는 사업자는 관련 법령을 준수해야 합니다.
클라우딩 컴퓨팅 발전법에는 정보보호에 관한 기준과 법령 해설서 및 안내서가 있으며, 분야별로 가이드라인이 지정되어 있습니다. 그리고, 클라우드 관련 인증은 국내는 CSAP(Cloud Security Assurance Program)가 있으며, 국외는 ISO 27017/27018, CSA STAR가 있습니다. 클라우드 보안 인증은 강제 사항이 아니지만, 클라우드 서비스를 안정적으로 운영하기 위해서 자체적으로 보안진단을 할 수 있습니다.
클라우드 환경에서 준수해야 하는 컴플라이언스
클라우드컴퓨팅 발전법은 클라우드 서비스를 운영하는 사업자는 반드시 준수해야하는 우선법입니다. 그리고, 클라우드시스템에서 개인정보를 취급한다면, 개인정보보호법을 준수해야 합니다. 또한 개인 정보가 해외 이전되거나, 해외에서 서비스된다면 국가별 개인정보보호 가이드라인을 따라야 합니다.
특히 EU 가입 국가에서 서비스된다면, GDPR 항목을 준수해야 합니다. 따라서, 보안 담당자는 클라우드 환경에서 서비스되는 자사의 어플라케이션 특징을 분류하고 관련 컴플라이언스를 준수하도록 관리해야 합니다.
분야별 클라우드 컴퓨팅 컴플라이언스 분류
민간 기업은 우선법인 클라우드컴퓨팅 발전법을 준수하며, 서비스 형태별로 개인정보보호법과 정보통신망법을 따릅니다. 그리고, 금융 분야는 클라우드컴퓨팅 서비스 이용가이드가 발표되면서, CSP(Cloud Service Provider)의 건전성과 안정성의 평가가 강화되었습니다. 그리고, CSP 업체에서는 CSAP 인증획득하고 주기적으로 갱신을 해야 하며, 출구전략과 업무연속성 계획에 대한 전략을 수립해야 합니다. 공공분야는 클라우드컴퓨팅 발전법을 준수하며 부처별 가이드라인을 따라야합니다. 그리고 민감정보가 포함된 경우는 민간 클라우드서비스를 이용할 수 없습니다.
클라우드 서비스별 보안진단 분류
IaaS 영역인 경우는 클라우드 서비스의 네트워크 구조, SG/VPC 위험평가, 인스턴스 보안수준, DB/웹 서비스 보안 진단, 개발 환경 평가 등의 보안 진단이 필요합니다. PaaS 영역인 경우는 Docker 환경 분석, 패키지 보안 설정, 네트워크 보안 설정, 소스 관리, 웹서비스 보안 진단 등의 보안 진단이 수행됩니다. 마지막으로 SaaS 영역은 클라우드 어플리케이션 수준 평가, 계정관리, 데이터유출, CASB 보안 수준 분석 등의 보안 진단이 수행됩니다.
그리고, 클라우드 서비스에 개인정보 등의 민간 정보가 포함된다면, 데이터 분류 및 위험평가, GDPR와 PDPA에 기반한 데이터 은닉화 및 설계 등의 보안 진단이 수행됩니다.