[논문]한국의 클라우드 서비스 인증제도와 미국의 FedRAMP의 비교 연구

서광규

doi:10.14400/jdpm.2012.10.11.059

한국의 클라우드 서비스 인증제도와 미국의 FedRAMP의 비교 연구
A Comparison Study between Korean Cloud Service Certification Systems and U.S. FedRAMP 원문보기

디지털정책연구 = The Journal of digital policy & management, v.10 no.11, 2012년, pp.59 - 65

초록
AI-Helper

최근 클라우드 서비스의 혁신은 정보통신기술에 기여한 가장 큰 잠재력을 가진 기술 중에 하나이다. 그러나 클라우드 서비스의 잠재력을 발휘하기 위해서는 서비스 제공자와 소비자관점에서 서비스의 보안, 성능, 가용성 등 다양한 이슈들에 대한 명확한 이해가 필요하다. 점점 더 많은 개인과 기업의 정보들은 물론 공공부문의 정보들도 클라우드 서비스에 놓이게 되면, 주된 관심은 어떻게 안전하고 신뢰할 수 있는 클라우드 서비스를 제공할 것인가에 맞추어지게 된다. 이러한 상황에 대응하기 위하여 한국에서는 클라우드 서비스 인증제도가 시행되고 있고 미국에서는 FedRAMP가 시행되고 있다. 본 연구에서는 두 인증제도의 비교분석을 수행하고 두 인증제도간의 차이점에 대하여 기술한다. 궁극적으로는 두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안에 대하여 제안한다.

Abstract ▼ AI-Helper

The evolution of cloud computing service over the recent years is potentially one of the major advances in information and communication technology. However, if cloud computing service is to achieve its potential, there needs to be a clear understanding of the various issues such as service security, performance and availability and so on, both from the perspectives of the providers and the consumers of the cloud service. As more and more information on individuals, companies and public sectors are placed in the cloud service, concerns are beginning to grow about just how safe and reliable an environment it is. In order to overcome these situations, the Korea cloud service certification system and U.S. FedRAMP were performed in each country. This paper aims at comparing and analyzing between Korean cloud service certification systems and U.S. FedRAMP and describing the difference between them. Eventually, we propose the improvement strategy of Korea cloud service certification systems based on the comparison results between them.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 한국의 클라우드 서비스 인증제도와 미국의 FedRAMP의 비교분석을 수행하고 두 인증제도 간의 차이점에 대하여 기술한다. 그리고 두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안에 대하여 제안하는데 이를 위한 연구 절차는 [그림 1]과 같다.
본 연구에서는 한국의 클라우드 서비스 인증제도와 미국의 FedRAMP의 비교분석을 수행하였고, 인증제도 간의 차이점에 대하여 기술하였다. 두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안을 제안하였는데, 한국 클라우드 서비스 인증제도의 경우 미국 FedRAMP에 비해 보안 인증 심사 항목의 취약하므로 보안 인증심사항목 강화하여 인증제도의 신뢰도 및 안정성 향상이 필요하다.
본 연구의 목적은 클라우드 서비스 이용자의 신뢰성을 제고하고 클라우드 서비스 시장의 조기 확산을 위하여 한국 클라우드 서비스 인증제도의 개선안을 도출하여 국내 인증제도의 고도화 방안을 모색하고, 이를 통하여 클라우드 서비스 및 사업자의 품질 수준, 안정성 및 보안성 등을 평가⋅인증하여 국내 클라우드 서비스에 대한 시장 수요의 확대 및 국내 클라우드 서비스의 국제 경쟁력 향상을 도모하고자 한다.
본 절에서는 전술한 바와 같이 한국의 클라우드 서비스 인증제도와 미국의 FedRAMP의 비교분석 결과를 토대로 두 인증제도간의 차이점에 대하여 기술한다.
2010년 11월, 미국 CIO 협의회는 미국 정부 클라우드컴퓨팅에 대한 시큐리티 평가 인정에 관한 제안서인“Proposed Security Assessment and Authorization for Cloud Computing”을 발표하였다. 이 제안서는 미국 정부의 클라우드 컴퓨팅에 대한 시큐리티 관리와 복수의 평가 인정 모델을 심사하기 위해 작성된 것으로 이 작업은 CIO 협의회가 연방 정부용에 대한 안전한 클라우드 컴퓨팅 서비스를 제공하려는 목적의 첫 단계이다.
이러한 목적 하에 FedRAMP의 평가・승인의 절차의 기본적인 흐름은 클라우드 서비스를 도입하려는 각 부청이 해당 클라우드 서비스의 담당 부청이 되어 FedRAMP 에 클라우드 이용 신청을 행하며 FedRAMP가 해당 클라우드 서비스가 제반 기준을 만족하고 있는 지를 평가하여 기준이 만족하고 있다는 사실이 확인된다면 FedRAMP가 해당 클라우드 서비스의 이용을 승인하는 것이다. 또한, 담당 부청이 클라우드 서비스를 도입한 후에는 FedRAMP가 클라우드 서비스의 계속적인 모니터링을 감독한다[7].

제안 방법

인증 심사 영역은 에서 보는 바와 같이 3대 분야(품질, 정보보호, 기반) 7개 항목(가용성, 확장성, 성능/속도, 데이터 관리 보안, 서비스 지속성, 서비스 지원)으로 구성되어 있으며 총 세부 심사 항목은 IaaS 105개(필수 항목: 39개 항목), SaaS 85개 항목(필수항목: 33개 항목)으로 이루어 졌으며, 평가는 서면 및 실사 평가를 실시한다.
연방 정보시스템과 조직 적용 시큐리티 통제 문서에 포함된 시큐리티 통제 항목들이다. 저급(Low Level) 및 중정도(Moderate Level)의 영향을 미치는 클라우드 서비스에 있어서 baseline(최저 기준)이라고 할 만한 시큐리티 요건의 리스트를 제시하였다. 이 리스트는 NIST SP800-53Rev3 (SP800-53 Recommended Security Controls for Federal Information Systems and Organizations)을 근간으로 작성되었으며 다음의 분류에서 총계 187개 항목으로 구성되어 있다.

대상 데이터

인증 대상은 클라우드 기술(가상화, 분산처리 등)을 활용하여, HW/SW 등 IT 자원을 인터넷에 접속하여 빌려 쓰고, 쓰는 만큼 이용료를 내는 서비스로써 클라우드서비스 인증 신청 시점에 6개월 이상 서비스가 제공되고 있는 서비스를 그 대상으로 하며 현재에는 IaaS와 SaaS 만을 인증 대상으로 한다. 그러나 기존의 단순한 웹 하드나 동영상 스트리밍 서비스는 인증 대상에서 제외하고 있다.

성능/효과

두 번째는 한국의 클라우드 서비스 인증제도는 전술한 바와 같이 민간인증제도로 실효적인 측면에서 미국의 연방정부인증과 같은 실효성이 부족하다. 이는 향후 한국에서 공공부문에서 클라우드 서비스를 적용하려고 할 때에도 문제가 발생할 여지가 있다.
두 번째 인증 대상을 살펴보면 한국 클라우드 서비스 인증제도는 IaaS와 SaaS 클라우드 서비스와 각 서비스 제공자를 인증대상으로 하나, FedRAMP는 클라우드 컴퓨팅 보안인증 프로그램으로 그 초점이 보안인증이다. 세 번째 두 인증제도가 모두 포함하고 있는 보안 인증 항목을 비교 분석하여 보면, 한국 클라우드 서비스 인증 제도는 보안항목과 관련된 것이 총 10개 카테고리의 총 20개 항목으로 이루어져 있고, 미국 FedRAMP는 NIST SP800-53Rev3(SP800-53 Recommended Security Controls for Federal Information Systems and Organizations)을 근간으로 작성되었으며 총 187개 보안 항목으로 이루어져 있다.
세 번째로는 전술한 바와 같이 클라우드 서비스에서는 무엇보다도 보안이 가장 중요한데, 한국 클라우드 서비스 인증제도는 미국 FedRAMP에 비해 보안 인증 심사 항목의 상대적으로 취약하다. 따라서 한국의 인증제도는 미국 FedRAMP를 벤치마킹하여 보안 인증심사항목을 강화하는 것이 필요하다.

후속연구

본 연구에서는 한국의 클라우드 서비스 인증제도와 미국의 FedRAMP의 비교분석을 수행하였고, 인증제도 간의 차이점에 대하여 기술하였다. 두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안을 제안하였는데, 한국 클라우드 서비스 인증제도의 경우 미국 FedRAMP에 비해 보안 인증 심사 항목의 취약하므로 보안 인증심사항목 강화하여 인증제도의 신뢰도 및 안정성 향상이 필요하다. 또한 현재에는 인증제도 획득시 클라우드 서비스 제공자들이 얻을 수 있는 혜택이 상대적으로 미흡하므로 현재의 인증 제도를 정부차원의 인증으로 고도화시키고, 인증획득 시 얻을수 있는 다양한 정부차원의 혜택을 보완하여 인증 제도를 더욱 더 활성화하여 클라우드 산업을 활성화하는 것이 필요하다.
두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안을 제안하였는데, 한국 클라우드 서비스 인증제도의 경우 미국 FedRAMP에 비해 보안 인증 심사 항목의 취약하므로 보안 인증심사항목 강화하여 인증제도의 신뢰도 및 안정성 향상이 필요하다. 또한 현재에는 인증제도 획득시 클라우드 서비스 제공자들이 얻을 수 있는 혜택이 상대적으로 미흡하므로 현재의 인증 제도를 정부차원의 인증으로 고도화시키고, 인증획득 시 얻을수 있는 다양한 정부차원의 혜택을 보완하여 인증 제도를 더욱 더 활성화하여 클라우드 산업을 활성화하는 것이 필요하다.
마지막으로 미국 FedRAMP의 심사항목 및 심사과정, 모니터링 등은 모두 표준화 및 문서화되어 있는데 한국도 이를 좀 더 구체적으로 보완할 필요성이 있다. 그리고 미국 FedRAMP의 실행 가능한 계속적인 모니터링, 보고 횟수와 FISMA 규정을 준수하는 클라우드 컴퓨팅 제공 업자를 위한 책임 등에 대한 명확한 절차 등의 내용을 보완 및 실행할 필요성이 있다.
먼저, 한국의 인증제도의 현재 평가방법에는 항목간의 중요도 차이가 있음에도 불구하고 이에 대한 가중치 설정이 되어있지 않은 상황이다. 즉, 모든 평가항목의 가중치는 동일한데, 향후에는 국내 실정에 맞는 항목간 가중치 부여가 필수적이라 하겠다. 특히 클라우드 서비스 인증과 클라우드 서비스 제공자 인증 모두의 영역에서 보안영역이 가장 중요한 항목이므로 이에 대한 가중치를 높이는 것이 필요하다.
그리고 미국 FedRAMP의 실행 가능한 계속적인 모니터링, 보고 횟수와 FISMA 규정을 준수하는 클라우드 컴퓨팅 제공 업자를 위한 책임 등에 대한 명확한 절차 등의 내용을 보완 및 실행할 필요성이 있다. 추가적으로 잠재적 평가 및 인가 어프로치를 위한 위험 관리 프레임워크에 따르는 인가의 모든 입장, 인가 프로세서, 연방 기관과 클라우드서비스 제공자를 위한 역할과 책임 등의 내용을 보완 및 실행하는 것도 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	클라우드 서비스의 장점은?	경기 침체로 기업에서는 비용을 줄일 수 있는 대안인 클라우드 서비스는 최소한의 초기 비용으로 서비스를 얻을 수 있고 서비스 구축이 기존의 방식에 비해 빠르며 유지관리비가 저렴하다는 장점이 있다. 그럼에도 불구하고 클라우드 서비스는 보안성 및 가용성과 같은 문제점을 포함하고 있는데 이를 살펴보면 다음과 같다.
	클라우드 서비스의 잠재력을 발휘하기 위해서는 무엇이 필요한가?	최근 클라우드 서비스의 혁신은 정보통신기술에 기여한 가장 큰 잠재력을 가진 기술 중에 하나이다. 그러나 클라우드 서비스의 잠재력을 발휘하기 위해서는 서비스 제공자와 소비자관점에서 서비스의 보안, 성능, 가용성 등 다양한 이슈들에 대한 명확한 이해가 필요하다. 점점 더 많은 개인과 기업의 정보들은 물론 공공부문의 정보들도 클라우드 서비스에 놓이게 되면, 주된 관심은 어떻게 안전하고 신뢰할 수 있는 클라우드 서비스를 제공할 것인가에 맞추어지게 된다.
	클라우드 서비스 인증제도의 인증 대상은 무엇인가?	인증 대상은 클라우드 기술(가상화, 분산처리 등)을 활용하여, HW/SW 등 IT 자원을 인터넷에 접속하여 빌려 쓰고, 쓰는 만큼 이용료를 내는 서비스로써 클라우드서비스 인증 신청 시점에 6개월 이상 서비스가 제공되고 있는 서비스를 그 대상으로 하며 현재에는 IaaS와 SaaS 만을 인증 대상으로 한다. 그러나 기존의 단순한 웹 하드나 동영상 스트리밍 서비스는 인증 대상에서 제외하고 있다.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증