정보보호시스템보안(ISMS) 컨설팅에 참여하고, 정보보안 강의를 하면서 '정보보호 관련 법률'의 중요성을 알게 되었고, 그 내용의 구체성에 놀라곤 했다.
클라우드 보안에 대한 강의를 준비하며, 관련 법률과 지침을 점검한다.
클라우드컴퓨팅서비스 정보보호에 관한 기준
제1장 총칙
제1조(목적) 이 기준은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」(이하 "법"이라 한다) 제23조 제2항에 따라 클라우드컴퓨팅서비스의 안전성 및 신뢰성 향상에 필요한 정보보호 기준의 구체적인 내용을 정함을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. "정보보호" 라 함은 컴퓨터 등 정보처리능력을 가진 장치를 이용하여 수집·가공·저장·검색·송신 또는 수신되는 정보의 유출·위변조·훼손 등을 방지하기 위하여 기술적·물리적·관리적 수단을 강구하는 일체의 행위를 말하며 사이버안전을 포함한다.
2. "정보보호조직"이라 함은 정보통신서비스를 안전하게 제공하고 정보보호 활동을 체계적으로 이행토록 하는 업무 조직을 말한다.
3. "가상화"라 함은 물리적으로 다른 시스템을 논리적으로 통합하거나 반대로 하나의 시스템을 논리적으로 분할해 자원을 효율적으로 사용케 하는 기술을 말한다.
4. "정보보호시스템"이라 함은 정보처리시스템 내 정보를 유출·위조·변조·훼손하거나 정보처리시스템의 정상적인 서비스를 방해하는 행위로부터 정보 등을 보호하기 위한 장비 및 프로그램을 말한다.
5. "서비스수준협약"이라 함은 서비스 제공자가 서비스 가입자와 합의를 통하여 사전에 정의된 수준의 서비스를 제공하기로 맺는 협약을 말한다.
6. "취약점 점검"이라 함은 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점으로 인해 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람·변조·유출을 가능하게 하는 약점에 대하여 점검하는 것을 말한다.
제2장 정보보호조치
제3조(관리적 보호조치) ① 클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스의 안전성 및 신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 관리적 보호조치를 취하여야 한다.
1. 정보보호 정책 수립·이행 및 정보보호 조직 구성·운영에 관한 사항
2. 내·외부 인력관리 및 정보보호 교육에 관한 사항
3. 자산 식별, 변경관리 및 위험관리에 관한 사항
4. 공급망 계약, 모니터링, 변경 등 공급망 관리에 관한 사항
5. 침해사고 대응 절차, 체계, 처리 및 복구, 사후관리에 관한 사항
6. 서비스 장애 대응, 성능 및 용량 관리, 백업 등 서비스 가용성에 관한 사항
7. 법·정책적 요구사항 준수 및 보안감사 활동에 관한 사항
② 제1항 각 호의 세부적인 조치 사항은 별표 1과 같다.
제4조(물리적 보호조치) ① 클라우드컴퓨팅서비스 제공자는 중요 정보와 정보처리시설 및 설비 보안을 위하여 다음 각 호의 사항을 포함한 물리적 보호조치를 취하여야 한다.
1. 물리적 보호구역 지정, 출입 통제 등 물리적 보호구역 보안에 관한 사항
2. 정보처리 시설의 배치, 보호설비 구비, 장비 반출·입 등 시설 및 장비보호에 관한 사항
② 제1항 각 호의 세부적인 조치 사항은 별표 2와 같다.
제5조(기술적 보호조치) ① 클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스의 안전성 및 신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 기술적 보호조치를 취하여야 한다.
1. 가상화 인프라, 가상 환경 보호에 관한 사항
2. 접근통제 및 사용자 식별·인증에 관한 사항
3. 네트워크 통제, 정보보호시스템 운영, 암호화 등 네트워크 보안에 관한 사항
4. 데이터 보호 및 암호화 등 중요 정보 보호에 대한 사항
5. 시스템 분석·설계·구현, 외주개발 보안, 시스템 도입 보안 등 개발 및 도입에 관한 사항
② 제1항 각 호의 세부적인 조치 사항은 별표 3과 같다.
제6조(공공기관용 추가 보호조치) ① 클라우드컴퓨팅서비스 제공자가 「전자정부법」 제2조 제3호에 따른 공공기관에게 클라우드컴퓨팅서비스를 제공하는 경우에는 그 서비스의 안전성 및 신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 보호조치를 추가로 취하여야 한다.
1. 보안 수준 협약에 관한 사항
2. 도입 전산장비 안전성 확보에 관한 사항
3. 클라우드컴퓨팅서비스 운영 및 네트워크 환경 보안관리 수준에 관한 사항
4. 사고 및 장애 시 대응 절차 및 협조체계 구성에 대한 사항
5. 클라우드컴퓨팅서비스의 물리적 위치 및 분리에 관한 사항
6. 중요장비 이중화 및 백업체계 구축에 관한 사항
7. 검증필 암호화 기술 제공에 관한 사항
8. 보안 관제를 위한 제반환경 지원에 관한 사항
9. 그 밖에 공공기관이 클라우드컴퓨팅서비스를 활용하기 위해 필요한 보호조치 등 관계기관의 장이 정하는 사항
② 제1항 각 호의 세부적인 조치 사항은 별표 4와 같다.
제3장 보칙
제7조(정보보호 기준의 준수여부 확인) 과학기술정보통신부장관은 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 따른 "기본계획"(2015년 12월 7일 확정, 정보통신전략위원회) 상의 "보안인증제" 시행을 위해 클라우드컴퓨팅서비스 제공자가 그 서비스가 이 기준을 준수하는지 확인을 요청한 경우에는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 "한국인터넷진흥원"의 장이 그 서비스를 조사 또는 시험·평가하여 인증 할 수 있다.
제8조(재검토) 과학기술정보통신부장관은 「훈령·예규 등의 발령 및 관리에 관한 규정(대통령훈령 제248호)」에 따라 이 고시에 대하여 ‘고시 발령일’을 기준으로 매 3년마다 법령이나 현실 여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 한다.
제1조(시행일) 이 고시는 고시한 날부터 시행한다.
'정보보호, 정보보호조직, 정보보호서비스, 정보보호시스템, 서비스수준협햑, 취약점 점검' 등에 대한 용어가 명확히 정의되어 있으며, '관리적, 물리적, 기술적' 정보보호초치에 대한 사항이 [벌쳠]으로 구체적을 제시된다.
더불어 공공기관을 위한 '공공기관용 추가 보호조치'와 '보안인증제'를 담고 있다.
- 클라우드 컴퓨팅 - 관리적 보호조치
- 클라우드 컴퓨팅 - 물리적 보호조치
- 클라우드 컴퓨팅 - 기술적 보호조치
- 클라우드 컴퓨팅 - 공공기관용 추가 보호조치
- 클라우드 컴퓨팅 - 취약점 점검 및 보안인증제
정도가 중심이 되겠다.
이중, '관리적, 물리적, 기술적 보호조치'의 내용을 살펴보니, 각 항목은 기존 ISMS-P의 내용 혹은 '기밀성, 가용성, 무결성 및 법적준거성' 측면의 보호조치 내용과 큰 차이가 없었다. 다만 클라우드란 특성이 반영된 용어 및 점검포인트가 명시된 것 정도가 차이가 있는 듯 싶다. 일단, 관련 목록을 갖고 있으며 필요할 때마다 참고해야겠다.
다만, '공공기관용 클라우드컴류팅서비스 추가 보호조치'에서 몇가지 눈에 띄는 항목이 있다.
- 14.2.1. 물리적 위치 및 분리 : 클라우드 시스템 및 데이터의 물지적 위치는 국내로 한정하고....
그렇다면, 'Public Cloud'를 사용하지 어렵지 않을까? AWS의 경우 국내 리전을 사용하거나 UCloud와 같은 국내 클라우드 서비스를 사용해야 힐까? 혹시 리전(물리적 위치)간 데이터 이동은 없을까?
클라우드 컴퓨팅의 도입에 어떠한 법률/제도적 고려사항이 있을지, 특히 공공기관의 경우 의도하지 않은 걸림돌(?)이 될지 아니면 당연한 보호방안이 될지, 좀 더 지켜보고 고민해 보아야겠다.
클라우드 취약점 진단, 모의해킹은 어떻게 접근해야 할까? 정보시스템 보안의 전통적인 취약점 진단과 모의해킹 방법과 함께 결국 '클라우드 플랫폼과 기술에 대한 이해'가 필요할 듯하다.
(오늘도 공부할 리스트만 한 묶음~ @.@)
클라우드보안인증제
- 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도이다.
- 인증심사기준은 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 부문으로, IaaS는 117개, SaaS는 78개 통제항목의 준수 여부를 평가한다.
기타 내용은 관련 홈페이지에서 참고할 수 있다.
특히, 구체적인 가이드 및 설명자료 가 '클라우드 보안인증제 자료실'에 있으니 필요할 경우에 참고하자
클라우드 이용자 정보유출 신고
- 클라우드 이용자의 정보유출에 따른 대규모 피해 확산 최소화 및 재발 방지를 위해 이용자 정보가 유출된 경우 클라우드서비스 제공자는 즉시 그 사실을 해당 이용자에게 통보 및 한국인터넷진흥원에 신고 필요하다.
- 클라우드서비스 제공자는 이용자 정보유출 시 이용자에게 유출된 사실을 알려주고, 그 사실을 아래 사항을 포함하여 신고한다.
- 유출된 이용자 정보의 개요
- 유출이 발생된 시점 및 경위
- 이용자가 취할 수 있는 조치
- 제공자가 조치한(할) 대응 및 피해방지 조치
- 유출사실 이용자 통보 여부 및 방법
- 유출사실 관련 확인 가능한 담당부서명, 담당자 성함/연락처/이메일 주소
역시 관련 내용은 홈페이지에서 참고할 수 있다.
마지막으로 천천히 살펴보자니 IT 관련 법률도 재미(?) 있다.
관련 법률 등도 계속 확인하고 참고해야겠다.
'DevSmile 하는 일 > 정보보안' 카테고리의 다른 글
| [정보보안] 전자의무기록과 EMR(자율)인증제도 (0) | 2020.01.02 |
|---|
