KISA, 클라우드 보안평가·인증심사제 개발 나서

민간 사업자 시스템 취약점 분석

허우영 기자  yenny@dt.co.kr
[2016.5.16 15면]

정부가 공공기관이 민간 클라우드를 안전하게 이용할 수 있도록 하기 위해 보안 평가·인증 방법 연구개발에 나선다.

15일 한국인터넷진흥원(KISA·원장 백기승)은 지난달 '클라우드컴퓨팅서비스 정보보호 기준' 고시의 시행에 따라 올해 말까지 클라우드 보안 평가·인증 방법과 민간사업자를 대상으로 한 보안 평가·인증심사 제도를 마련한다고 밝혔다. 고시에 따르면 클라우드 사업자는 서비스의 안전성과 신뢰성 확보를 위해 관리적 보호조치 7개(세부 48개)를 비롯해 물리적 보호조치 2개(세부 13개), 기술적 보호조치 5개(세부 49개) 등 14개 110개 세부사항을 조치해야 한다. 공공기관용 클라우드의 경우 보안서비스 수준협약과 물리적 위치 및 분리 등 4개 (세부 8개) 사항의 보호조치를 추가로 취해야 한다.

인터넷진흥원 이 같은 클라우드 서비스 보호조치에 대해 보안 평가와 인증방법과 보안 평가·인증심사를 위해 민간사업자에 대한 정보보호 현황을 분석하고 진단한다. 또 민간사업자별 정보시스템의 취약점에 대한 분석과 평가를 실시하고, 서버·네트워크·소프트웨어·데이터베이스 등 10개 부문에 대한 관리적·물리적·기술적 취약점을 점검한다.

아울러 민간사업자별로 외부 인터넷을 통한 클라우드 서비스 포털과 이용자 가상머신(VM)을 통한 하이퍼바이저(가상머신플랫폼) 또는 다른 VM에 대한 모의 해킹을 실시해 안전성을 확보해야 한다. 인터넷진흥원 관계자는 "공공에서 민간 클라우드를 사용하려면 안전한 보장하는 제도적 장치가 필요하고 이에 클라우드 보안 평가·인증 방법을 찾기 위한 연구"라고 말했다.

기사 상세 내용 보기_클릭