과학기술정보통신부가 클라우드 보안인증 등급제를 본격적으로 시행한다. 상중등급 평가기준이 반영된 개정안은 2월 6일부터 2월 26일까지 행정예고 예정이다.
상등급: 기존 평가 기준을 보완 및 강화 - ① 외부 네트워크 차단 ② 보안감사 로그 통합관리 ③ 계정 및 접근권한 자동화 ④ 보안패치 자동화
중등급: 현행 수준 유지 - ① 시스템 격리 ② 물리적 영역 분리. 2가지 평가 항목에 대해 일부 수정
하등급: 합리적으로 완화
하는 것이 기본 골자이다.
과기정통부의 행정 내부시스템을 민간 클라우드로 전환하여 실제적인 환경을 구축하였고, 이를 대상으로 국정원이 보안 진단을 실시하여 등급의 평가 기준을 마련한 것이다. 또한, ISO 27001(정보보안), ISO 27017(클라우드 보안), FedRAMP(미 연방정부 클라우드 보안인증)을 참고한 것으로 보인다.
클라우드 보안인증 등급제 시행은 민간 클라우드 활용을 높일 수 있는 기회가 될 것이고, 중요도에 걸맞는 클라우드 서비스 기준을 제시한다는 데 있다. 날이 갈수록 클라우드 서비스의 중요도가 높아지는 상황에서 이런 인증이 생긴다는 것은 분명히 좋은 소식이라고 생각한다. 다만 이 인증이 그저 허울만 멀쩡한 인증이 아닌, 실제로 사용자가 신뢰를 가질 수 있을 정도로 보안 수준을 높이는 엄격함을 자랑해야 할 것이다.
이런 인증과 관련하여 내가 늘 말하는 것이 있는데, 일반 사용자들은 세부적인 보안 레벨을 가늠할 수가 없고, 결국 믿을 건 신뢰할 수 있는 인증 제도뿐이라는 것이다. 기존의 인증 제도에서 수준을 더욱 강화하는 것은 분명 어려운 일이기에, 처음부터 엄격한 인증 제도로 시작을 하는 것이 중요하다 생각한다. 최초로 도입한 만큼 당분간은 제도의 정착을 위해 모니터링단이 지속적으로 파견될 것인데, 부디 인증제도의 엄격함이 지켜질 수 있기를 바란다.
'IT 보안 소식 및 동향' 카테고리의 다른 글
| 가트너 선정, 2024 사이버 트렌드 (0) | 2024.02.23 |
|---|---|
| 구글 클라우드가 선정한 2024 사이버위협 빅4 국가 (1) | 2024.02.11 |
| MOAB, 모든 침해의 어머니 (0) | 2024.02.06 |
| 2024년의 3가지 프라이버시 트렌드 (0) | 2024.02.03 |
| 기업들은 CRO의 임명에 관심을 가지게 될 수도 있다 (0) | 2024.02.02 |