[아이티데일리] 공공기관에서 안전하게 사용할 수 있는 서비스형 소프트웨어(Software as a Service, 이하 SaaS) 제공을 위한 SaaS 보안인증제도가 내년부터 시행될 전망이다.

지난 7일 한국인터넷진흥원(원장 김석환, 이하 KISA)은 SaaS 보안인증기준 및 평가방법 설명회를 개최하고 SaaS 보안인증 기준의 방향을 발표했다.

SaaS 보안인증은 큰틀에서 서비스형 인프라(IaaS) 보안인증 기준을 유지하되 SaaS 관점을 반영한 평가방법론이 마련됐다. 인증 기준은 기존 IaaS 인증기준 117개 대비 78개로 33% 감소했으며, IaaS와 관련된 물리보안, 인프라 관련 기준은 적용되지 않는다. 여기에 오픈소스 점검, 다자간 계약관계, 이용자 데이터 흐름 점검, 소프트웨어 개발 보안 등의 항목이 강화됐다.

세부적으로 살펴보면, 정보보호정책 측면에서 영세 SaaS 사업자를 위해 표준 클라우드 보안지침 샘플을 제공하고, 자산관리 부분은 가상머신의 OS, DB, 웹 애플리케이션뿐만 아니라 서비스 구현을 위한 오픈소스도 자산범위에 포함시켰다.

공급망 관리에 있어서는 IaaS 사업자 관계를 중점으로 다양한 서비스 공급망 관계를 점검하고, 데이터 보호를 위해 SaaS 사업자가 데이터 흐름도를 작성해 데이터 생성에서 파기까지 관리하게끔 함으로써 이용자의 데이터를 보호한다. 마지막으로 SaaS 설계 단계부터 보안을 고려하고 안정한 개발 및 패키징, 배포 절차 등이 이뤄지도록 개발보안 부분에서 인증 항목을 강화했다.

SaaS 보안인증의 평가대상은 퍼블릭 SaaS로 오피스, 협업도구, VDI, 서비스형 보안(SECaaS), 독립형 SaaS 등이 포함된다. 여기에 관리대상으로 보안 관제, 모니터링 서비스 등 관리 서비스와 CDN, 웹취약점 점검서비스 등 부가서비스가 포함됐다. 구축형 SaaS와 SI, 프라이빗 클라우드는 보안인증 평가대상에서 제외됐다.

IaaS 보안인증과 차별화된 요소는 CSP 등에 의해 개발됐거나(그룹웨어, 보안서비스 등) 도입된 애플리케이션(WAS, DBMS 등)와 같은 소프트웨어와 SaaS 개발 및 운영에 사용된 오픈소스를 자산관리 부분에 포함시켰다는 점이다. 더불어 서비스 공급망에 대한 기준도 포함됐으며, 이외에도 이용자 데이터 생명주기를 수립해 안전한 관리 방안을 마련하게끔 유도한다.

공공기관의 보안 요구사항도 반영됐다. 검증필 암호 적용 대상을 명확히 함으로써 적용대상이 공공기관에서 생성·운영·관리되는 데이터가 저장·전송되는 구간에 한해 적용시키며, 물리적 위치를 국내로 한정시켰다. 여기에 SaaS의 장애 및 사고 발생에 대비해 가상자원, 데이터 등을 백업하기 위한 방안 또는 체계가 구축, 운영될 것을 의무화했다.

SaaS 보안인증은 신청접수부터 인증부여까지 최소 2개월에서 3개월 이상 소요될 것으로 보이며, 절차는 ▲신청접수 ▲예비점검 ▲계약체결 등 준비기간과 ▲서면(현장)평가 ▲취약점 점검 ▲모의침투테스트 등 테스트 과정 이후 보완조치와 이행점검으로 이어진다. 이후 인증위원회에서 인증을 부여하는 순서로 진행된다.

인증 취득 이후에는 사업자의 보안수준 유지를 위해 분기마다 점검을 진행하며, 자체적인 보안활동을 수행하도록 한다. 클라우드 시스템 증설 및 변경사항에 대한 관리를 비롯해 신규 취약점 대비 공통 취약점 목록 점검 및 긴급조치, 추가된 서비스에 대한 자체점검과 보안대책을 구현하고 그 결과를 KISA로 송부해야한다.

KISA는 지난 6월 SaaS 보안인증 시범사업자로 ▲가비아의 ‘하이워크(hiworks)’ ▲인프라닉스의 ‘M콘솔(M Console)’ ▲지니언스의 ‘클라우드 지니안 NAC(Cloud Genian NAC)’ 등을 선정해 보안인증 절차를 시범 적용하고 있다. 내년 상반기에 2차 SaaS 보안인증 설명회를 개최할 계획이며, 이후 국내 시장 현황, 공공부문 도입 현황, 사업자 의견 등을 고려해 SaaS 보안인증제를 도입·운영할 방침이다.

한편, KISA는 SaaS 인증과 관련된 상세한 정보를 KISA 정보보호관리체계 인증 홈페이지에서 제공할 계획이다.