01 ​공공기관의 민간클라우드 도입 활성화를 위한 전제 조건인 클라우드서비스 보안 인증 - FedRAMP vs CSAP

        ​│윤대균 아주대학교 교수

1. 국내 클라우드서비스 보안 인증

우리나라 공공기관에서의 클라우드 전환이 민간클라우드 우선으로 방향을 잡으며 관련된 법령 및 고시 제정을 통해 이를 뒷받침하고 있다. 정보자원 통합과 클라우드컴퓨팅서비스 관련 변경된 고시1)에 의하면 행정기관 등의 장이 신규로 정보시스템을 구축하거나 운영ㆍ관리하는 정보시스템을 교체할 때는 보안성, 안정성, 확장성 및 비용 효율성 등을 종합적으로 고려하여 “클라우드컴퓨팅서비스” 이용을 우선 검토해야 하는 것으로 되어있다. 여기서 “클라우드컴퓨팅서비스”는 민간클라우드서비스 제공자(CSP: Cloud Service Provider)를 의미한다. 기존 엄격한 기준을 두었던 민간클라우드 이용 가이드라인은 없애고 행정기관 정보자원 통합 기준과 함께 고시로 통합했다는 것에 의미를 둘 수 있다. (그림 1)

그림 1 정보자원 통합과 클라우드컴퓨팅서비스 관련 2개 고시 제/개정 (‘22.3.31 행정안전부)

본 고시의 “제7조 (안정성 기준)”에서는, CSP를 활용하기 위해서는 국가정보원장이 수립한 “국가 정보보안 기본지침”을 준수하도록 되어있다. 이러한 “기본지침”에 따라 과학기술정보통신부 산하 한국인터넷진흥원(KISA)에서는 “클라우드 보안인증제(CSAP: Cloud Service Assurance Program)”를 운영하고 있다. 공공기관에 서비스를 제공하기 위해서는 반드시 CSAP 인증을 받아야 한다. 

현재 62개의 인증서가 발급되어 있는데, 최근 신규 인증은 주로 SaaS 분야에서 발생하고 있다. 한국 시장에서도 상당한 지배적 위치에 있는 글로벌 클라우드서비스 공급자인 아마존, 마이크로소프트, 구글 서비스는 단 한 개도 인증을 받지 못하고 있는 점이 눈여겨볼 부분이다.

최근까지 공공기관의 민간클라우드 활용 범위가 극히 제한되어 공공부문의 클라우드 시장 규모가 외국 기업들의 관심을 끌 만한 수준이 아니었으나, 이제 활용 기준이 완화되면서 우리나라 공공부문 클라우드 시장에 대한 외국 기업의 진출도 가시화될 전망이다. 그런데, CSAP 인증제도가 현재 외국 기업의 발목을 잡고 있다는 평가도 있다. 

CSAP에서 내거는 조건 중 특히 물리적 위치 및 분리, 그리고 검증필 암호화 제공 요건이 이슈인 것으로 알려져 있다. CSAP 가이드북 14.2.1(IaaS, SaaS, DaaS 공통)에서는 다음과 같이 제시하고 있다.2)

클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고, 공공기관용 클라우드 컴퓨팅서비스의 물리자원(서버, 네트워크, 보안장비 등), 출입통제, 운영인력 등은 일반 이용자용 클라우드컴퓨팅서비스 영역과 분리하여 운영하여야 한다.

이는 물리적 망 분리 요건을 충족시켜야 하는 것으로, 국내 CSP는 이를 위해 물리적으로 완전히 분리된 네트워크상에서 제공되는 공공기관 전용 클라우드서비스를 제공한다. 미국 클라우드 업체의 경우 물리적 망 분리 요건에 대한 해제를 끊임없이 주장하고 있는 것으로 알려져 있다. VPC(Virtual Private Cloud) 서비스와 같은 것을 통해 물리적 망 분리 없이도 사실상 (논리적) 망 분리가 가능하다는 것이며, 그 사례로 미국 CIA의 아마존 AWS 활용 사례인 C2S 프로젝트를 들곤 한다. 

이와 함께 가장 이슈가 되는 것은 CSAP 가이드북 14.3.1에 적시되어있는 요건이다.

클라우드컴퓨팅서비스를 통해 생성된 중요자료를 암호화하는 수단을 제공하는 경우에는 검증필 국가표준암호화 기술을 제공하여야 한다.

기술적으로 검증된 표준 암호화 기술이 있고 이를 적용하고 있는 미국 기업 입장에서 한국 공공부문 시장만을 위해 별도의 암호화 기술을 도입 적용하는 것은 달갑지 않을 것이다. 이미 CSAP 인증을 받은 국내 기업의 경우, 물리적 망 분리나, 우리나라 특화된 암호화 적용 같은 인증 요건은 외국 기업의 진입 장벽으로 계속 유지되기를 희망할 것이다. 그러나 아마존이나 마이크로소프트, 구글과 같은 클라우드를 활용해 SaaS 서비스를 제공하고 있는 국내 기업은 이들 외국 기업이 공공부문 시장에 들어감으로써 자연스럽게 공공기관 시장 확대를 기대할 수도 있다. 이와 같은 상반된 입장이 공존하는 가운에, 본격적으로 CSAP 인증 요건을 조정하는 것을 논의하고 있다.

클라우드 퍼스트 전략을 통해 공공기관의 클라우드 전환을 일찍이 시작한 미국 정부는 예전 각 정부 기관마다 별도 유지해 왔던 보안 요건 및 인증제도를 FedRAMP(Federal Risk and Authorization Management Program)로 통합, 모든 정부 기관에서 일관성 있게 적용할 수 있도록 하였다. 즉, 모든 정부 및 관련 기관은 FedRAMP 인증을 받은 클라우드서비스 및 제품을 활용한 클라우드 전환이 가능하다는 뜻이다. 우리나라의 CSAP도 같은 취지에서 만들어진 제도이므로 개정이 본격적으로 논의되는 시점에 FedRAMP에 대해서도 살펴보는 것은 충분한 의미가 있다.

2. FedRAMP 개요

미국 연방 데이터를 보유하는 모든 클라우드서비스는 FedRAMP 승인이 필요하다. FedRAMP를 통해 정부 클라우드서비스를 위한 일관성 있는 보안수준을 달성할 수 있으며 더 나아가 보안 모니터링의 일관성을 보장할 수 있다. 따라서 FedRAMP는 정부 기관뿐만 아니라 모든 클라우드 제공업체를 위한 하나의 표준 셋을 제공함으로써 정부의 클라우드 전환 시 민간클라우드의 적극적인 활용을 촉진할 수 있다. 또한, FedRAMP 승인을 받은 클라우드서비스 공급자는 FedRAMP 마켓플레이스에 등록된다. 이 마켓플레이스는 정부 기관이 새로운 클라우드 기반 서비스나 솔루션을 필요로 할 때 가장 먼저 찾는 곳이다. 이미 승인된 제품을 사용함으로써 새로운 공급업체에서 승인 프로세스 절차를 밟는 것보다 훨씬 빠르고 쉽게 클라우드 전환이 가능하므로, 정부 클라우드서비스 시장을 공략하고자 하는 기업 입장에서 FedRAMP 승인은 매우 중요하다.

우리나라 CSAP는 14가지의 통제 분야를 정의하고 분야에 따라 많게는 10개 이상의 통제항목을 명시하고 있다. 또한, 클라우드서비스 유형을 IaaS, SaaS 표준, SaaS 간편, DaaS로 구분하여 적용되는 통제항목을 유형별로 달리하는 방식으로 구성되어 있다. 실제로는 클라우드서비스 유형과 관계없이 상당 부분 통제항목이 중복되며, 일부 유형별로 조금씩 추가되거나 제외되는 형태이다. 종합해 보면 IaaS에 대한 보안 통제항목이 가장 많아 117개, SaaS 간편의 경우 가장 적은 30개이다. 앞서 언급한 이슈인 망 분리 및 국가표준 암호화 부분은 서비스 유형과 관계없이 공통으로 적용되는 통제항목이다.

CSAP가 클라우드서비스 유형별 분류에 따라 보안 통제항목을 구분하고 있다면, FedRAMP는 훨씬 더 체계적으로 정의된 연방 정보 및 정보시스템의 보안 분류 표준(FIPS 199)을 기반으로 구분하고 있다.

2.1 FedRAMP의 기초 – FIPS 199 보안 분류 표준

FIPS(Federal Information Processing Standard) 199는 연방 정부의 정보 및 정보시스템에 무단으로 접근하여 발생할 수 있는 위험도에 따라 보안 분류체계를 수립하고 있다.3) 좀 더 부연 설명하면, 무단 접근을 통해 인가되지 않은 사용자가 정보시스템을 사용함으로써 생길 수 있는 시스템 중단이나 파괴 또는 임의 변경, 그리고 무단 사용을 통해 탈취된 정보가 공개되었을 때 기관의 자산 및 운영에 끼치는 잠재적 영향 수준(Impact level)에 따른 보안 분류가 FIPS 199의 핵심이다. 따라서, CSP(Cloud Service Provider)가 정부 데이터를 처리, 저장, 전송하기 위해 충족하여야 할 최소 보안 요구사항이 FIPS 199에 담겨있다고 볼 수 있다.

FIPS 199 보안 범주에 따라 클라우드서비스 오퍼링(CSO)은 세 가지의 영향 수준(낮음, 보통, 높음) 중 하나로 분류되고, 이는 세 가지의 보안 목표(기밀성, 무결성, 가용성)에 걸쳐 분류된다. 우리나라 CSAP가 클라우드서비스 유형에 따른 방식을 사용하는 것과는 사뭇 다른 접근 방식임을 알 수 있다. 우선 세 가지의 보안 목표 각각을 좀 더 설명하면 다음과 같다.

• 기밀성(Confidentiality): 개인정보 및 특정 개인이나 기관 소유의(Proprietary) 정보를 보호하기 위한 수단이 포함되는가?

• 무결성(Integrity): 저장된 정보가 무단으로 수정 또는 파괴되는 것으로부터 충분히 보호되는가?

• 가용성(Availability): 모든 정보에 대해 시기적절하고 안정적인 접근이 보장되는가?

FIPS 199는 잠재적 영향 수준을 정성적으로 기술하면서 낮은 수준(Low)에서는 “제한적인(Limited)”, 보통 수준(Moderate)에서는 “중대한(Serious)”, 높은 수준(High)에서는 “심각한 또는 치명적인(Severe or Catastrophic)”으로 표현하고 있다. 보안 목표별 잠재적 영향 수준은 그림 2와 같다.

그림 2 보안 목표에 따른 영향 수준 (출처: NIST)

2.2 FedRAMP 영향 수준별 분류

FIPS 199에서 정의한 낮음(Low), 보통(Moderate), 높음(High) 이 세 가지 영향 수준에 더하여 통제항목을 대폭 완화한 FedRAMP 맞춤형의 Li-SaaS, 이렇게 4개의 범주로 CSO를 구분하고 있다.

• 낮은 영향 수준(Low Impact Level)
  기밀성, 무결성 및 가용성의 손실로 인해 기관의 운영, 자산 또는 개인에 대한 부정적인 영향이 제한적인 CSO에 적합하다. FedRAMP에는 추가로 영향이 수준이 적은 데이터가 있는 시스템에 대해 맞춤형 Li-SaaS 기준을 두고 있다. 낮은 영향 수준에는 129개의 통제항목이 있다. (2020년 4월 기준)

• FedRAMP 맟춤형 Li-SaaS(Low Impact–SaaS)
  FedRAMP 맞춤형 Li-SaaS는 적은 비용, 낮은 위험 수준에서의 배포/활용이 가능한 서비스를 지원하기 위해 FIPS 199에 추가해 FedRAMP 맞춤형(Tailored)으로 개발되었다. 낮은 영향 수준의 SaaS 공급자들이 좀 더 쉽게 정부 기관에 서비스를 제공할 수 있게 하는 것이 목적이다. 사용자 이름, 비밀번호, 이메일과 같은 아주 기본적인 개인정보 외 추가적인 개인 식별정보를 다루지 않는 애플리케이션이 주로 여기에 해당한다. 낮은 영향 수준의 모든 통제항목을 기본적으로 갖고 있으나, Li-SaaS의 경우엔 이들 모두를 충족시킬 필요가 없다. 기관별 조건에 따라 꼭 필요한 것만 별도로 검증하거나 문서로 명시할 수도 있다. 다양한 맞춤 유형을 Li-SaaS에서 제시하고 있다. CSAP의 경우 “SaaS 간편”이 이를 참고하여 만든 것으로 짐작된다.

• 보통 영향 수준(Moderate Impact Level)
  FedRAMP 승인을 받은 대부분 CSO가 보통 영향 수준에 해당한다. 기밀성, 무결성 및 가용성의 손실이 기관의 운영, 자산 또는 개인에 중대한(Serious) 악영향을 초래할 수 있음을 의미한다. 이를테면 기관 자산에 대한 중대한 운영 피해, 재정적 손실 또는 인명 손실이나 생명을 위협하는 부상 정도를 제외한 개인의 피해가 포함될 수 있다. 316개의 통제항목이 있다. (2020년 4월 기준)

• 높은 영향 수준(High Impact Level)
  기밀성, 무결성 또는 가용성의 손실이 조직 운영, 조직 자산, 또는 개인한테 매우 심각하거나 치명적인 영향을 줄 수 있음을 의미한다. 법 집행 및 응급 서비스 시스템, 금융 시스템, 의료 시스템이 이러한 범주에 속할 수 있다. 정부 기관의 가장 민감한 데이터를 클라우드에서 처리할 경우 FedRAMP는 높은 영향 수준에 해당하는 베이스라인을 적용한다. 419개의 통제항목이 있다. (2020년 4월 기준)

3. CSAP와 FedRAMP 비교를 통한 시사점

우리나라의 CSAP를 FedRAMP와 비교하면 통제 타입(분야) 및 통제 기준 분류체계에 많은 차이가 있음을 알 수 있다. (그림 3)

통제(Control) 타입의 경우 접근통제(Access Control), 인적보안(Personnel Security)과 같이 직접 비교될 수 있는 부분도 있고, 시스템 개발 및 도입 보안(System and Service Acquisition), 침해사고 관리(Contingency Planning)처럼 타이틀은 다르지만 실제로는 유사한 항목을 찾아볼 수도 있다. 물론 통제항목(Controls)별로 세분하여 직접 비교를 한다면 똑같거나 유사한 항목이 더 많이 나올 것이다.

그림 3 FedRAMP와 CSAP 비교

그러나 더욱 주목할 것은 통제 타입을 분류하는 기본 사상이 다르다는 것이다. CSAP의 통제 분야는 마치 전통적인 인프라 운영조직의 업무 분야를 열거해 놓은 것처럼 보인다. 반면, FedRAMP의 경우는 FIPS 199 표준에 근거한 보안 목표인 기밀성, 무결성, 가용성과 직간접적으로 연관된 주제들로 열거되어 있다. 또 다른 관점으로는 FedRAMP가 “통제 대상”을 중심으로 분류되어 있다면, CSAP의 경우는 “보안 업무” 중심으로 분류되어 있다는 것이다.

이는 통제 기준 분류 방식과도 긴밀한 관계가 있다. CSAP의 경우 클라우드서비스 유형별로 기준을 분리하였는데, IaaS, SaaS, PaaS로 기준을 잡을 경우, 클라우드서비스 제공자가 커버해야 할 기능에 따라 관련된 보안 범위가 다르고, 이에 따라 통제항목도 달라진다. 즉, 제공되는 인프라 운영 관련 기능 중심으로 통제항목의 차별화가 이루어진다. CSAP의 경우 SaaS가 통제항목이 IaaS보다 적은 이유도 이런 인프라 운영관점에서 커버해야 할 기능이 SaaS에서는 줄어들기 때문이다. 여기서 들 수 있는 의문은 그럼 SaaS는 IaaS보다 보안 수준이 항상 낮은 것인가 하는 점이다. 당연히 그렇지 않다. SaaS도 다루는 데이터의 기밀 등급에 따라 매우 높은 수준의 보안 요구사항이 뒷받침되어야 할 필요가 있다. IaaS와 DaaS는 거의 같은 통제항목을 가지고 있는데, DaaS가 정확하게 무엇을 의미하는지 보안 평가 기준 해설서에서 좀 더 상세한 설명이 필요하며, IaaS나 SaaS와는 어떻게 구분되는지 설명이 보완되어야 한다. 

CSAP가 FedRAMP에 비해 매우 취약한 부분은 보안등급에 따라 통제항목이 체계화되어 있지 못하다는 것이다. 그림 3에서 보여주는 통제항목 수는 보안등급과는 무관한 클라우드서비스 유형에 따라 분류하였기 때문이다. 공공기관에서 민간클라우드 도입 시 가장 우려하는 점은 보안이다. 내부의 민감한 데이터가 외부 서비스에 노출되는 것에 대한 두려움은 너무 당연하다. 하지만, 더 중요한 문제는 이러한 데이터에 대한 보안등급 분류가 제대로 되어있지 못하다는 사실이다. 물론 각 기관은 자체적으로 데이터의 기밀 등급 체계를 가지고 있을 것으로 생각한다. 그러나 이렇게 통일되지 않은 기관별 일관성이 없는 보안기준은 클라우드 전환, 특히 민간클라우드로의 전환에 있어 가장 큰 걸림돌이 될 수 있다. CSP 혹은 관리 서비스를 제공하는 MSP는 이런 각기 다른 보안기준을 충족시키기 위해 기관별로 별도의 노력을 들여야 한다. 생산성과 수익성이 떨어짐은 물론이고, 이미 준비된 기술을 최대한 활용하는 클라우드컴퓨팅의 장점을 무색하게 하는 일이다.

FedRAMP는 FIPS 199라는 보안 영향 수준(Impact Level)별 표준 가이드에 기반하여 민간클라우드 서비스 활용 시 적절한 보안 통제항목을 체계화할 수 있었다. 보안등급이 낮은 SaaS에 특화된 Li-SaaS(Low Impact SaaS)를 별도로 정의하여 더 많은 SaaS 기업이 공공기관 시장에 진출할 수 있도록 발판을 마련해 주었다. 우리나라 CSAP에서도 “SaaS 간편”이라는 기준을 두어 통제항목 수를 완화하였으나, FedRAMP에서 개발한 Li-SaaS와는 근본적인 차이가 있다. Li-SaaS에서는 특히 FedRAMP 맞춤형(Tailored)을 강조하고 있는데, SaaS를 도입하는 기관의 상황, 또는 활용 조건에 따라 유연하게 통제항목을 조정할 수 있도록 하고 있다.

CSAP가 FedRAMP 수준으로 보안등급에 기반한 체계적인 인증제도로 거듭나기 위해서는 아직 갈 길이 멀다. 미국의 FIPS 199와 같이 모든 정부 기관에서 공통으로 쓸 수 있는 보안 분류 표준 제정이 우선 필요하기 때문이다. 중장기적인 과제로 이는 추진하되, CSAP에서의 단기적 개선방안도 동시에 검토할 필요가 있다. 예를 들면, “SaaS 간편” 기준의 경우 좀 더 유연하게 SaaS 통제항목 적용 여부를 기관별, 상황별 또는 특정 조건에 따라 결정할 수 있다. 이 경우 SLA(Service Level Agreement) 방식의 계약이 수반되어야 할 수도 있다.

당면한 이슈인 외국 기업의 CSAP 인증 요건 변경 요구에 대한 대응도 CSAP 개선 차원에서 검토가 필요하다. 공공부문 추가 보안 요구사항으로 언제까지 무작정 틀어막을 수 있는 상황도 아니다. 만일 우리 정부가 FIPS 199와 같은 보안 분류 표준이 있었다면, 이 분류에 기반한 영향 수준(Impact Level)에 따른 차등화한 보안 요구사항을 제시할 수 있었을 것이며, 이 중 일부는 외국 기업이 구현하기 매우 까다로운 통제항목으로 진입 장벽을 만들어 둘 수 있을 것이다. 물론 이러한 인위적인 진입 장벽이 바람직하다는 것은 아니다. 다만, 외국 기업의 요구사항을 일부 들어주면서도 이미 CSAP 인증을 획득한 국내 기업이 좀 더 역량을 키울 수 있는 시간을 벌어 줄 수 있지 않을까 하는 의견도 있다. 국내 CSP 입장에서 이런 상황은 글로벌 대응에서도 제한을 가질 수 있으며, 이는 우리나라 클라우드 산업에도 부정적인 영향을 미칠 수 있으므로 현명한 대처가 필요한 시점이다.