[정보보호]클라우드 보안인증: CSAP, ISO27001 & 27017 & 31000

클라우드 정보보호

기존 물리 보안과 관리적 보안 위협에 더불어 기술적 보안 위협이 산재 중인 추세

클라우드의 보안사고

: 계정 탈취 시도(37%), 데이터 유출 시도(63%)
: 비정상적인 로그인, 다운/업로드, 공유 등 => 접속기록에 대한 로그, 솔루션 필요

클라우드 컴퓨팅 운영 보안

: 기존 컴퓨팅 운영 보안에서 클라우드 특화 정책을 추가시킨 형태

• 클라우드 정보보호 정책 수립 (클라우드 특화)
• 가상화 및 서버보안 (클라우드 특화)
• 보안조직 구성 및 인적보안
• 자산 식별 및 통제
• 침해사고 고나리
• 서비스 연속성 관리
• 준거성 관리 (사내 보안규정, 개인정보보호법, 정보통신망법 등)
• 가상화 및 서버보안
• 접근통제 보안
• 네트워크 보안
• 데이터 보호 및 백업
• 시스템 개발 및 도입 보안

[국내] 클라우드 컴퓨팅 서비스 보안인증 제도 (CSAP)

CSAP(Cloud Security Assurance Program)은 민간 사업자에서 제공하는 클라우드 서비스를 국가 공공기관에 납품 할 수 있도록 인증하는 한국인터넷진흥원(KISA)의 클라우드보안 인증제도를 말한다. 현시점(2022년 6월 3일) 총 66 민간 공급자가 해당 인증을 취득하였다. (단, 해당 서비스가 100% 안전하다는 것을 보장하진 않는다.)

 

[인증현황] https://isms.kisa.or.kr/main/csap/issue/?certificationMode=list 

KISA 정보보호 및 개인정보보호관리체계 인증

클라우드 보안 국제인증체계

ISO 27001(ISMS): 필수이자 베이스, 요구사항 명시

ISO 27017, ISO 27018: 클라우드 관련 지침 및 가이드 (27001을 전제로 클라우드를 위한 +a와 같은 개념)

 

*GDPR와 국내 개보법 용어 매정의

• PII(Personally identifiable Information) = 개인정보
• Controller (컨트롤러) = 개인정보 처리자(위탁자)
• Processor(프로세서) = 수탁자

 

* GDPR이란

2018년 5월 25일부터 시행되고있는 EU(유럽연합)의 개인정보보호 법령으로 위반시 과징금 등 행정처분이 부과될 수 있으며, EU 내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있어 우리 기업의 주의가 필요함.

---

국제경영시스템 인증

 ISMS-P: Management System = 경영체계

: ISO 9001 (품질경영), 14001 (환경), 20000(IT서비스 경영시스템), 22301(비즈니스 연속성 경영시스템), 27001(정보보호 경영시스템) 등 각 분야의 테마를 얹은 '경영체제'의 분류이다.

 

 

 

 

경영체계(Management System) 싸이클이 반복될 수록 경영의 성숙도는 증가한다

 

 

ISO/IEC 27001: 정보보호 경영시스템

: 현재 정보보호 경영시스템에서 표준으로 인정받은 국제인증으로, 조직은 인증 조건에서 제시되는 법적 요건을 준수하고 적합 상태를 유지하고 있음을 나타낸다. 심사과정의 각 요구사항을 키워드별로 정리해보자.

 

4. 조직의 상황

: A.4.2 이해관계자의 요구 ex) 관계 당국(법규), 협력업체(계약), 고객사, 주주

: A.4.3 범위 설정 수립 ex)  

 

5. 리더십

: A.5.1 조직 전략적 방향과 정보보안 정책의 목적이 일치한다.

: A.5.2 경영진은 정보보안 정책을 수립하고 서약한다. => 문서화된 정보로 배포되어야 한다.

 

6. 계획

Risk를 어떻게 관리할 것인가? 방법론 수립 요망

:A.6.1.2 프로세스를 수립하고

:A.6.1.3 위협 평가 및 잔존 위험에 대한 수용을 결정

:A.6.2 정보보안 목표는 문서화된 자료로 유지해야 한다.

 

8. 운영

:A.8.2 계획에 따른 운영 이행결과를 문서화된 정보로 유지하여야 한다.

 

9. 성과평가

:A.9.1 모니터링 및 측정

:A.9.2 내부감사, 효과적 실행 여부 점검, 문서화된 정보로 유지해야 한다.

:A.9.3 경영진

 

10. 개선

:A.10.2 시정 조치에 대한 증거는 문서화된 정보로 유지하여 지속적인 개선 시켜야 한다.

 

 

ISO/IEC27017: 클라우드 서비스 정보보안 통제항목

: ISO27001와 동일하게 4~10조 PDCA 준수사항으로 구성되었으며, 클라우드 통제항목이 추가되었다.  

 

*구성: Requirment(요구사항) = clauses(조항):4~10조 + Controls(통제):AnnexA 부속서 114개

 

5. 정보보안정책

A.5.1.2 정보보안 정책의 검토: 변경사항에 대한 적합성 및 효과성을 검토해야 한다.

 

6. 정보보안조직

A.6.1.2 직무분리: 책임영역, 비인가 영역의 남용을 줄이기 위해 분리시켜야 한다.

A.6.1.3 관련기관과의 연계: 유관기관(KISA)과의 접촉을 유지한다.

A.6.1.4 전문가 그룹과의 연계: 국제협회와의 적절한 접촉을 유지한다.

A.6.2.1 모바일 장치에 대한 정책: 안전한 보안조치를 통한 원격근무가 이루어져야 한다.

A.CLD 6.3.1 클라우드 컴퓨팅 환경 내에서: 공급자와 사용자 간의 역할과 책임(R&R)에 대해 분명히 하고 문서화(계약서) 해야 한다.

 

7. 인적자원 보안

A.7.1.1 적격심사: 후보자의 배경에 대한 검사를 수행한다.

A.7.2.2 정보보안 인지, 교육, 훈현: 조직의 정책과 절차에 따라 통제되어야 한다.

A.7.2.3 징계 절차: 실제 보안사고 발생시 공식적인 징계절차 진행

 

8. 자산운영 (=통제 대상 정의)

A.8.1.1 자산의 목록: 목록 및 실물로 식별, 작성 그리고 관리되어야 한다.

A.CLD 8.1.5 클라우드 서비스와 같이 공급자의 자산이 포함될 경우 자원을 반납해야 한다.

A.8.2.1 정보의 분류: 가치와 기밀성에 따라 분류시킨다.

A.8.3.3 매체 관리: Media 주로 작고 이동 가능한 매체 ex) USB

 

9. 접근제어

A.9.1.2 네트워크 서비스 사용에 대한 정책: 접근제어 권한

A.9.2.2 사용자 접근 제공: 사용자 종류에 대한 접근권한 할당 및 취소

A.9.2.5  사용자 접근권한의 검토: 관리자는 일정 간격으로 사용자의 접근 권한 검토

          + 고시에 따라 안전관리 조치 3년, 기술관리 조치 5년 이상 사용자 기록을 보관

A.9.4.2 보안 로그온 절차: 안전한 로그온 절차에 의해 통제되어야 한다.

A.9.4.3 비밀번호 관리 시스템: 양질의 암호를 보장해야 한다.

 

A.CLD.9.5 공유가상환경에서의 클라우드 서비스, 고객 데이터에 대한 액세스 제어

: 클라우드 서비스 고객의 가상 환경은 접근 권한 없는 사람으로부터 보호되어야 한다.

 

11 물리적 환경적 보안

A.11.1.1 물리적 보안 경계선: 접견 구역, 제한구역, 통제구역으로 영역을 정의하고 구분한다.

A.11.2 장비: 데스크톱, 서버, 차량과 같은 거대한 주요 자산관리

 

12 운영 보안 (접근통제의 양대산맥)

A.12.1.2 변경관리: 조직의 정보처리 및 시스템에 대한 변경은 통제되어야 한다.

A.12.1.3

A.12.1.4 운영환경에 대한 분리: 운영 환경의 변경 위험을 줄이기 위해 분리 / 직무분리와 함께 참고

CLD.12.1.5: 클라우드 컴퓨팅의 운영 절차를 정의하고 문서화 모니터링해야 한다.

A.12.3.1 정보 백업: 백업 복사본은 정기적으로 테스트해야 한다.

A.12.4 이벤트 로깅: 보안 이벤트 및 로그 기록을 작성, 보관 및 정기적 검토 / 보안관제 업무 관련

A.12.4.3 관리자와 운영자 로그: 개인정보 취급자의 행위에 대한 주요 로그 기록 보호 및 관리

A.12.6.1 기술적 취약점의 관리: 위험성에 대한 평가 및 조치 요망 / 컨설팅에서 진단 행위에 대한 제도적 근거가 된다.

 

13 통신보안

A.13.1.3 망분리: 네트워크 상의 분리 /  상위에서 직무분리, 환경 분리와 한 맥락임

CLD.13.1.4 가상 네트워크에 대한 관리: 실제 네트워크 간의 구성 일관성을 클라우드 서비스의 보안 정책에 따라 확인

 

14 시스템 도입, 개발

A.14.1.2 공용 네트워크에 대한 보안 애플리케이션: 네트워크를 통한 사기, 계약 분쟁으로부터 사용자를 보호해야 한다.

A.14.2.7 외주 개발: 아웃소싱 활동을 감독하고 관리해야 한다. (KISA의 S.O.A  신청서, 운영 명세서 존재)

 

15 공급자 관계

A.15.2.1 공급업체 서비스 모니터링: 주기적인 평가 및 검토

 

16 정보 보안 사고 관리

A.16.1.5 정보보안 사고에 대한 대응: 보안 사고는 문서화된 절차에 따라 대응해야 한다.

A.16.1.6 사고로부터의 교훈: 사고를 분석하여 향후 사건의 가능성이나 영향을 줄이기 위해 사용되어야 한다.

A.16.1.7 증거수집: 증거로 사용될 수 있는 정보를 식별, 수집, 보존하는 절차를 정의하고 적용해야 한다.

 

17 비즈니스 연속성

: BC(Business continuity) 관점에서의 ISMS-P 재해복구

17.1.1 연속성 계획

17.1.2 연속성 구현

17.1.3 검토 및 평가

 

18 컴플라이언스

18.1.1 관련 법규 및 계약 요구사항 파악: 법규적 계약상의 요구

18.1.2 지식 재산권: 조직 내부의 불법 소프트웨어 제품 사용에 대한 적절한 절차 수립

18.1.4 개인 식별 정보 및 개인정보보호: 개인정보보호가 계약 조항에서 요구되는 데로 보장되어야 한다.

          => 개인정보 관련 이슈들이 모두 해당되는 조항임

---

추가. ISO31000 위험관리 (Risk Management)

:조직의 리스크를 관리하는 원칙, 증명된 관행 그것들의 가이드라인을 제시하는 국제 표준을 말한다.

 

리스크 평가 방법: *DoA를 기준으로 제시한다. 이 중 '법규 준수'를 우선순위로 판단한다.

*허용가능한 위험수준 (Degree of Acceptance)

 

<리스크 영향,확률에 따른 평가>

---

참고자료

용어 정리

문서 vs 기록 

문서(Document)

:기준에 맞추어 수행할 것임을 명시하는 문서, 최신 본으로 업데이트(유지) 및 비치되어야 함 ex) 정보보안 정책

기록(Record)

: 수행된 결과물, 권한에 따른 통제하에 보존되어야 한다. ex) 보고서, 로그, 대장,

 

모니터링 vs 측정

모니터링(Monitoring)

: 일정 기간 동안 일어나는 활동을 관찰

측정(Measurement)

: 특정 시점의 값을 본다. 

 

Audit = 심사(인증), 감사(처벌)

 

시정 vs 시정조치

시정(Correction): 잘못된 것을 고침

시정조치(Corrective Action): 원인 분석, 인식 교육, 재발방지 대책 마련

 

사용자 vs이용자

사용자: 조직에서 서비스를 제공하는 사람

이용자: 서비스를 이용하는 사람

 

식별 vs 인증 vs 인가

식별(Identification): 누구인가

인증(Authentication): 정당한 사용자인가, ID+PW 확인

인가(Authorization): 인증된 사용자의 특정 접근에 대한 권한 관리

 

 

추가)

결제(決濟: 계산함

결재(決裁): 허가하고 승인함

 

보안관제에서

Event: 사건

Incident: 사고 (의도성)

Accident: 사고 (우연성)

 

보안 사고가 발생 시 귀책사유

=> 개인정보 보호법상의 처리자의 주체는 담당자이지만, 필요 이행 사항을 준수했을 경우 면책될 수 있다.

Due Care: 수립에 관련된 책임 = C레벨

Due Diligence: 이행에 대한 책임 = 담당자

Due Professioned: 일관된 전문성 = 전문가

 

https://gdpr.kisa.or.kr/gdpr/static/whatIsGdpr.do

GDPR 홈페이지

http://bsiblog.co.kr/archives/6998

ISO/IEC 27017 및 ISO/IEC 27018 – ‘클라우드 서비스 정보보안 통제 가이드라인’ 표준에 대해 알려 드

https://pecb.com/ko/education-and-certification-for-individuals/iso-31000

ISO 31000 리스크관리(Risk Management) 교육 및 인증 - KO | PECB