Ⅰ. 국내․외 클라우드 서비스 보안 인증제 현황 1. 글로벌 동향 FedRAMP(Federal Risk and Authorization Management Program) ㅇ 클라우드 제품 및 서비스를 위한 보안평가, 인증 및 지속적인 모니 터링을 표준화한 정부 프로그램 ㅇ 클라우드에 특화된 보안 통제항목을 제시하여 신뢰성을 높이고, 외 부 전문 평가 대행기관을 선정하여 일관성 있는 보안평가 수행 ㅇ 美 전자정부법인 FISMA에서 발간한 가이드라인 NIST SP800-53를 기준으로 하는 17개 분야 325개의 보안 통제항목으로 구성 국가 인증 인증 기준 인증 기관 미국 FedRAMP NIST SP800-53 FedRAMP PMO 유럽연합 (EU) EUCS ISO/IEC 27001, 27002, 27017 등 ENISA 일본 ISMAP JIS Q 27001, 27002, NIST SP800-53 ISMAP 운영위원회 싱가포르 MTCS ISO/IEC 27001 ITSC (정보기술표준위원회) 호주 IRAP NIST SP800-37 R2 ACSC (호주사이버보안센터) 국제표준 CSA STAR ISO/IEC 27001 + CCM (Cloud Control Matrix) BSI(영국표준협회)와 CSA(미국클라우드 시큐리티얼라이언스) 분야 통제항목 수 1. Access Control 43 2. Awareness and Training 5 3. Audit and Accountability 19 4. Assessment and Authorization 15 5. Configuration Management 26 - 5 - EUCS(EU Cybersecurity Scheme for Cloud Services) ㅇ 유럽연합(EU) 회원국 전체에 적용되는 인증으로 인프라에서 애플 리케이션까지 이르는 전 종류의 클라우드 서비스에 적용1) ㅇ ‘기본’, ‘실질적’, ‘높음’ 세 가지의 보증 수준을 제공2) ISMAP(Information System Security Management and Assessment Program) ㅇ 日 총무성·내각관방·경제산업성이 2020년 6월 3일 발표한 클라우드 6. Contingency Planning 24 7. Identification and Authentication 27 8. Incident Response 18 9. Maintenance 11 10. Media Protection 10 11. Physical and Environment Protection 20 12. Planning 6 13. Personnel Security 9 14. Risk Assessment 10 15. System and Services Acquisition 22 16. System and Communication Protection 32 17. System and Information Integrity 28 계 325 기본(basic) 수준 실질적(substantial) 수준 높음(high) 수준 알려진 사이버 공격 위험 최소화 (저위험 프로파일) 알려진 사이버 공격 위험, 제한된 기술과 자원을 가진 행위자에 의한 사이버 공격 위험 최소화 (중간 위험 프로파일) 상당한 기술과 자원을 가진 행위자에 의한 최첨단 사이버 공격 위험 최소화 (위험 프로파일) -제한된 보증 -제 3자에 의한 자체 평가 검토 -절차 및 메커니즘의 정의와 존재에 대한 설명 -합리적 보장 -설계 및 작동 효과 -기능 시험 -합리적 보장 -설계 및 작동 효과 -규정 준수 여부를 지속적 모니터링