클라우드 서비스 보안인증(CSAP, Cloud Security Assurance Program)
클라우드 서비스 보안인증(CSAP, Cloud Security Assurance Program)은 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스의 보안성을 평가하고 인증하는 제도.
이 제도는 클라우드 서비스 이용자의 정보보호를 강화하고 클라우드 서비스의 안정성과 신뢰성을 검증하기 위해 도입되었다.
CSAP의 주요 특징
인증 유형: CSAP는 다음과 같은 유형으로 분류된다:
- IaaS (Infrastructure as a Service)
- SaaS (Software as a Service)
- DaaS (Desktop as a Service)
인증 등급: 2022년 12월 29일, 과학기술정보통신부는 CSAP 인증 기준을 개선하여 3단계 등급 체계(상, 중, 하)를 도입함.
유효 기간: 인증의 유효 기간은 일반적으로 5년이며, SaaS 간편등급의 경우 3년이다.
평가 기준: CSAP는 14개 통제 분야, 64개 통제 항목, 100개 상세 항목(하 등급 기준)으로 구성되어 있다.
평가 기준
CSAP(Cloud Security Assurance Program)의 평가 기준은 클라우드 서비스의 보안성을 평가하기 위한 항목이다.
2022년 12월 29일에 개선된 CSAP 인증 기준에 따르면, 하등급 기준으로 14개 통제 분야, 64개 통제 항목, 100개 상세 항목으로 구성되어 있다.
| 통제 분야 | 주요 통제 항목 | 통제 항목 수 |
|---|---|---|
| 1. 정보보호 정책 및 조직 | 정보보호 정책, 정보보호 조직 | 2 |
| 2. 인적보안 | 내부인력 보안, 외부인력 보안, 정보보호 교육 | 3 |
| 3. 자산관리 | 자산 식별 및 분류, 자산 변경관리, 위험관리 | 3 |
| 4. 서비스 공급망 관리 | 공급망 관리정책, 공급망 변경관리 | 2 |
| 5. 침해사고관리 | 침해사고 대응 절차 및 체계, 침해사고 대응, 사후관리 | 3 |
| 6. 서비스 연속성 관리 | 장애대응, 서비스 가용성 | 2 |
| 7. 준거성 | 법 및 정책 준수, 보안 감사 | 2 |
| 8. 물리적 보안 | 물리적 보호구역, 정보처리 시설 및 장비보호 | 2 |
| 9. 가상화 보안 | 가상화 인프라, 가상 환경 | 2 |
| 10. 접근통제 | 접근통제 정책, 접근권한 관리, 사용자 식별 및 인증 | 3 |
| 11. 네트워크 보안 | 네트워크 보안 | 1 |
| 12. 데이터 보호 및 암호화 | 데이터 보호, 매체 보안, 암호화 | 3 |
| 13. 시스템 개발 및 도입 보안 | 시스템 분석 및 설계, 구현 및 시험, 외주 개발 보안, 시스템 도입 보안 | 4 |
| 14. 국가기관등의 보안요구사항 | 관리적 보호조치, 물리적 보호조치, 기술적 보호조치 | 3 |
각 통제 항목은 여러 개의 상세 항목으로 구성되어 있으며, 총 100개의 상세 항목이 있다.
이 상세 항목들은 각 통제 항목을 더 구체적으로 평가하기 위한 기준을 제시한다.
예를 들어 접근통제 분야의 ‘사용자 식별 및 인증’ 통제 항목에는 ‘안전한 인증 수단 제공’, ‘인증 실패 처리’ 등의 상세 항목이 포함될 수 있다.
통제 분야
| 분야 | 주요 목적 | 주요 통제 항목 |
|---|---|---|
| 서비스 공급망 관리 | 외부 공급망의 위협 방지 | 공급망 정책 수립, SBOM 생성 |
| 침해사고 관리 | 사고 탐지·대응·복구 | 사고 대응 계획, 로그 모니터링 |
| 서비스 연속성 관리 | 장애 발생 시에도 서비스 가용성 유지 | 재난 복구 계획(DR), 백업 테스트 |
| 준거성 | 법률과 규정 준수 | 법률 준수 확인, 내부/외부 감사 |
| 물리적 보안 | 물리적 환경에서 무단 접근 방지 | 출입 통제, CCTV 설치 |
| 가상화 보안 | 가상 환경의 자원 분리와 무결성 유지 | VM 분리, 하이퍼바이저 모니터링 |
| 접근 통제 | 불법적인 접근 방지 | MFA 적용, 최소 권한 원칙 |
| 네트워크 보안 | 네트워크 전송 중 위협 방지 | 방화벽 설정, IDS/IPS 배치 |
| 데이터 보호 및 암호화 | 데이터 기밀성과 무결성 유지 | AES 암호화, 키 관리 |
| 시스템 개발 및 도입 보안 | 개발 단계부터 안전한 시스템 구축 | 취약점 분석, 변경 승인 절차 |
CSAP 인증 절차
CSAP 인증 절차는 다음과 같이 진행된다:
- 준비 단계: 기획 및 설계
- 평가 단계:
- 서면/현장 평가: 클라우드 서비스가 보안 평가 및 인증 기준에 맞게 적절하게 구축, 운영되고 있는지 확인한다.
- . 취약점 점검: 서비스의 보안 취약점을 식별하고 평가한다.
- . 모의침투테스트: 실제 해킹 시도를 통해 시스템의 보안 강도를 테스트한다.
- . 부적합 사항 및 취약점 보완 요청: 평가 기관이 발견된 문제점에 대해 신청 기관에 보완을 요청한다.
- . 보완 조치 및 결과 제출: 신청 기관은 지적된 사항에 대해 보완 조치를 수행하고 그 결과를 제출한다.
- . 보완 조치 확인: 평가 기관은 제출된 보완 조치 결과를 확인하고 이행 여부를 점검한다.
- . 평가 보고서 작성: 전체 평가 과정과 결과를 종합하여 평가 보고서를 작성한다.
- 인증 단계: 인증위원회 개최 및 인증서 발급
평가 단계의 소요 기간은 인증 유형에 따라 다르며, 예를 들어 SaaS 간편등급의 경우 본점검 4일, 이행점검 3일로 총 7일이 소요된다.
전체 인증 과정은 최소 2개월에서 최대 6개월 이상 걸릴 수 있다.
CSAP의 중요성
- 공공 부문 진출: CSAP 인증은 민간 기업이 공공 부문에 클라우드 서비스를 제공하기 위한 필수 요건이다.
- 보안 강화: 클라우드 서비스의 보안 수준을 향상시키고 이용자의 정보를 보호한다.
- 신뢰성 확보: 인증을 통해 클라우드 서비스의 안정성과 신뢰성을 검증받을 수 있다.
최근 동향
- 등급 체계 도입: 2022년 말, 시스템의 중요도에 따라 상, 중, 하 등급으로 나누는 체계가 도입되었다.
- 논리적 분리 허용: 하 등급 시스템의 경우, 물리적 분리 대신 논리적 분리를 허용하여 글로벌 클라우드 기업의 공공 시장 진입 가능성이 열렸다.
- 인증 기준 완화: 하 등급 시스템에 대한 평가 기준이 완화되어, SaaS 사업자들의 공공 시장 진입이 용이해졌다.