[논문]클라우드 서비스 평가 프로그램과 ISO/IEC 27001:2013의 비교 연구

최주영; 최은정; 김명주

doi:10.14400/jdpm.2014.12.1.405

클라우드 서비스 평가 프로그램과 ISO/IEC 27001:2013의 비교 연구
A Comparison Study between Cloud Service Assessment Programs and ISO/IEC 27001:2013 원문보기

디지털융복합연구 = Journal of digital convergence, v.12 no.1, 2014년, pp.405 - 414

최주영 (서울여자대학교 정보보호학과) , 최은정 (서울여자대학교 교양학부) , 김명주 (서울여자대학교 정보보호학과)

초록
AI-Helper

IT 자원의 동적 확장과 비용절감이라는 클라우드 서비스의 장점은 IT 사용자의 관심이다. 그러나 클라우드 서비스의 신뢰성은 클라우드 서비스를 적극적으로 사용하는데 걸림돌이 되고 있다. 기존 클라우드 서비스의 평가 프로그램은 ISO/IEC 27001:2005을 참고하여 정보보호 평가 항목을 도출하고 클라우드 서비스 특징을 추가하는 방법으로 연구가 이루어지고 있다. 본 논문은 최근 발표된 ISO/IEC 27001:2013의 추가와 삭제 그리고 변경된 통제영역 및 통제 항목을 살펴본다. ISO/IEC 27001:2013의 통제 항목과 클라우드 서비스 평가 프로그램인 CSA CCM v.3, FedRAMP의 통제 항목을 비교 분석하여 정보보호관리체계에서 클라우드 서비스와 관련된 평가 항목을 제시한다. 도출한 통제 항목은 클라우드 서비스 기반의 정보보호관리체계를 운영하는 기업의 보안 정책에 참고 지표가 될 것이다.

Abstract ▼ AI-Helper

It is very important to IT users that the Cloud service provides dynamic extension of IT resources and cost-saving. However, the reliability for Cloud service hinders utilizing Cloud service actively. Existing studies on assessment program for Cloud Service are executed by extracting information security assessment articles and adding features of cloud services by referencing ISO/IEC 27001:2005. This paper will review the recently released ISO/IEC 27001:2013 for the addition, reduction, and changing of articles for Controls and Control objectives. Comparative analysis for the Controls of ISO/IEC 27001:2013 with those of CSA CCMv.3, FedRAMP which is an assessment program for Cloud service will suggest Control Objects of Information Security Management System for related Cloud service. The suggestion of Controls will be an important reference index for the security policy of companies which manage the information security management system based on Cloud service.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

ISO/IEC 27001의 CCM에 명시된 기준을 기반으로 평가자가 장기적인 지속 가능성과 위험에 대비한 조직의 수행능력을 수치로 점수화하고 매년 개선 상황을 정량적으로 평가한다. CCM에 포함된 관리 원칙과 통제를 적용하여, 평가는 조직이 기존의 업무 관리체계를 향상시키고 업무 최적실무를 도입하는데 집중할 수 있도록 핵심 수행능력 개선의 기회를 제공하는데 중점을 두었다.
FedRAMP는 미국 연방정부에서 ‘Cloud First’ 정책 실현을 위해 클라우드 서비스 인증을 간소화하고 서비스를 효율적으로 조달하려는 목적으로 운영하는 클라우드 서비스 평가 프로그램이다. 또한 3 PAO(Third Party Audit Organization) 외부 전문 평가 기관을 선정하여 일관성있는 보안 평가 및 인증을 수행하고, 사후 관리에 관련된 모든 사항을 체계화하여 미 정부기관에 안전한 클라우드 서비스를 도입하기 위한 프로그램이다. FedRAMP 보안 평가 프로세스는 다음[Fig.
본 논문은 기존 클라우드 서비스 평가 프로그램 가운데 CSA OCF와 FedRAMP을 살펴보고 발표된 ISO/IEC 27001:2013의 추가와 삭제 그리고 변경된 통제영역 및 통제 항목을 분석했다. 클라우드 서비스 평가 프로그램인 CSA CCM(Cloud Controls Matrix)v.
본 논문은 최근 발표된 ISO/IEC 27001:2013 문서와 클라우드 서비스 평가 프로그램의 비교 연구를 위해 두 가지 측면으로 연구하였다. 첫째, 클라우드 서비스 환경이 정보보호관리체계에 어떠한 영향을 미쳤는지 살펴보았다.
본 논문을 통해 클라우드 서비스 평가 기관에게 변화하고 있는 정보보호관리체계의 평가 항목을 제안하고 클라우드 서비스 공급자에게 클라우드 서비스 평가 지표를 제시하였다. 최근 정부차원으로 진행되고 있는 기업의 정보보호관리체계인증 의무화 시행은 기업의 보안 정책에 중요성을 강조하고 있다.
본 논문은 최근 발표된 ISO/IEC 27001:2013 문서와 클라우드 서비스 평가 프로그램의 비교 연구를 위해 두 가지 측면으로 연구하였다. 첫째, 클라우드 서비스 환경이 정보보호관리체계에 어떠한 영향을 미쳤는지 살펴보았다. 이를 위해 클라우드 서비스 이전에 발표된 ISO/IEC 27001:2005와 클라우드 서비스 이후에 발표된 ISO/IEC 27001:2013을 비교 연구하였고 ‘접근 통제’, ‘서비스 공급망 관리’, ‘인프라 및 가상화 보안’ 통제 목적에서 클라우드 서비스 환경이 반영되었음을 알 수 있었다.
클라우드 서비스 환경 이전의 표준 규격(‘2005’)과 이후의 표준 규격(‘2013’) 차이점을 살펴봄으로써 발표된 ISO/IEC 27001:2013에 클라우드 서비스가 어떠한 영향을 주었는지 살펴보고자 한다.

제안 방법

보안 평가 : 미국 연방정부 기관에 클라우드 서비스를 제공하기 원하는 클라우드 서비스 제공자가 공동인가위원회(JAB, Join Authorization Board)에 FedRAMP 승인을 요구하는 단계이다. FedRAMP의 요구사항 및 통제 항목을 기준으로 3 PAO를 통해 보안 평가를 수행하고 보안 평가 보고서 및 관련 자료를 제출한다. 클라우드 서비스 제공자가 승인을 받게 되면 FedRAMP 보안 데이터베이스(Security Repository Database)에 클라우드 서비스 제공자 정보와 평가 결과를 업로드 한다.
인증(제3자 평가) : CSA와 CCM을 통합한 ISO/IEC 27001이 인증을 한다. ISO/IEC 27001의 CCM에 명시된 기준을 기반으로 평가자가 장기적인 지속 가능성과 위험에 대비한 조직의 수행능력을 수치로 점수화하고 매년 개선 상황을 정량적으로 평가한다. CCM에 포함된 관리 원칙과 통제를 적용하여, 평가는 조직이 기존의 업무 관리체계를 향상시키고 업무 최적실무를 도입하는데 집중할 수 있도록 핵심 수행능력 개선의 기회를 제공하는데 중점을 두었다.
3 문서를 기준으로 ISO/IEC 2701:2005와 ISO/IEC 27001:2013을 비교 연구하여 클라우드 환경이 정보보호관리체계에 어느 정보 반영되었는지 확인하였다. 그리고 ISO/IEC 27001:2013를 기준으로 클라우드 서비스 평가 프로그램 두 개를 비교 분석하여 정보보호관리체계 가운데에서 클라우드 서비스와 관련된 평가 항목의 발전방향에 대하여 제안한다.
IT환경의 변화는 정보시스템 조직의 변화와 나아가 정보보호관리체계의 통제 항목의 재구성을 요구하였다. 그리고 이를 반영하여 기존 통제 영역의 통제 항목을 분석하고 통제 영역에 재배치하였다.
이를 위해 클라우드 서비스 이전에 발표된 ISO/IEC 27001:2005와 클라우드 서비스 이후에 발표된 ISO/IEC 27001:2013을 비교 연구하였고 ‘접근 통제’, ‘서비스 공급망 관리’, ‘인프라 및 가상화 보안’ 통제 목적에서 클라우드 서비스 환경이 반영되었음을 알 수 있었다. 둘째, 발표된 ISO/IEC 27001:2013 문서가 클라우드 서비스에 특화된 평가 프로그램의 통제 영역을 어느 정도 반영되었는지 확인하였다. ISO/IEC 27001:2013 문서의 통제 목적과 CSA CCM v.
FedRAMP 보호 통제 항목은 연방정보보안관리법(FISMA, Federal Information Security Management Act)에 따라 NIST가 개발한 연방 정보시스템 보안통제 장치 권고 문서 NIST 800-53 version 3에 기초한다. 또한 NIST 800-53 revision 3의 중-하(Moderate-Low Level)급 통제 항목 가운데 클라우드와 관계없는 부분은 배제하고 추가적으로 클라우드에서 필요한 부분들을 추가하여 제시하였다. 17개의 통제 영역(Control Domain), 168개의 통제 항목(Items)으로 구성된다[Table 2].
클라우드 서비스 환경 이전의 표준 규격(‘2005’)과 이후의 표준 규격(‘2013’) 차이점을 살펴봄으로써 발표된 ISO/IEC 27001:2013에 클라우드 서비스가 어떠한 영향을 주었는지 살펴보고자 한다. 이를 위하여 2.1절에서 살펴본 클라우드 서비스 평가 프로그램 중 하나인 CSA CCM v.3 통제 영역[Table 1]을 기준으로 클라우드 서비스 환경 전후의 통제 영역을 비교하였다. 1단계, ISO/IEC 27001:2005의 통제 목적[Table 3]을 비교 연구[Table 5]하고 2단계, CSA CCM v.
본 논문은 기존 클라우드 서비스 평가 프로그램 가운데 CSA OCF와 FedRAMP을 살펴보고 발표된 ISO/IEC 27001:2013의 추가와 삭제 그리고 변경된 통제영역 및 통제 항목을 분석했다. 클라우드 서비스 평가 프로그램인 CSA CCM(Cloud Controls Matrix)v.3 문서를 기준으로 ISO/IEC 2701:2005와 ISO/IEC 27001:2013을 비교 연구하여 클라우드 환경이 정보보호관리체계에 어느 정보 반영되었는지 확인하였다. 그리고 ISO/IEC 27001:2013를 기준으로 클라우드 서비스 평가 프로그램 두 개를 비교 분석하여 정보보호관리체계 가운데에서 클라우드 서비스와 관련된 평가 항목의 발전방향에 대하여 제안한다.

이론/모형

FedRAMP 보안 평가 프로세스 2단계에서 사용한 평가 기준은 NIST(National Institute of Standards and Technology) 800-53 revision 3[11]의 중-하(Moderate-Low Level)급의 영향을 미치는 시스템상의 클라우드 서비스 통제 항목을 제시하였다.
FedRAMP 보호 통제 항목은 연방정보보안관리법(FISMA, Federal Information Security Management Act)에 따라 NIST가 개발한 연방 정보시스템 보안통제 장치 권고 문서 NIST 800-53 version 3에 기초한다. 또한 NIST 800-53 revision 3의 중-하(Moderate-Low Level)급 통제 항목 가운데 클라우드와 관계없는 부분은 배제하고 추가적으로 클라우드에서 필요한 부분들을 추가하여 제시하였다.

성능/효과

CSA CCM 연구는 클라우드 컴퓨팅 환경의 신뢰성을 목표로 클라우드 보안 위협에 관한 연구를 주도적으로 이끌었고 이점은 기존 정보보호관리체계 통제 항목보다 클라우드 특성화된 ‘인프라 및 가상 보안-IVS’ 통제 항목의 관계에서 확인 할 수 있었다.
둘째, 발표된 ISO/IEC 27001:2013 문서가 클라우드 서비스에 특화된 평가 프로그램의 통제 영역을 어느 정도 반영되었는지 확인하였다. ISO/IEC 27001:2013 문서의 통제 목적과 CSA CCM v.3 및 FedRAMP의 통제 영역을 각각 비교 연구하여 클라우드 서비스 평가 프로그램간의 통제 영역 분류의 차이가 있음을 알 수 있었다.
둘째, FedRMP의 ‘정보보호계획(PL)’와 CSA CCM v.3의 ‘모바일 보안’ 및 ‘상호운용 및 이식성’ 통제 항목은 적용되는 통제 항목이 없는 것으로 확인되었다.
둘째, 클라우드 ‘접근 통제’ 보안 요소[12]는 ‘통제 변경, 식별자 및 접근 관리’에 대하여 적극적으로 통제 항목(‘2013 A.9’)이 추가되었다.
마지막으로 클라우드 ‘인프라 및 가상화 보안’와 ‘데이터 센터 보안’ 보안 요소 측면에서 특별한 변화를 보이지 않으므로 인프라 계층의 통제 항목은 기존 ISO/IEC 27001:2005 통제 항목을 유지하였으나 플랫폼 및 어플리케이션 계층의 정보보호 통제 항목에 집중하였음을 알 수 있다.
셋째, 클라우드 ‘서비스 장애’ 보안 요소[13]는 ‘통제 변경, 공급망 관리’에 대하여 기존 외부 정책 통제 항목(‘2013 A.15.1’)을 재구성하고 SLA에 대한 중요성을 강조하였다.
이를 위해 클라우드 서비스 이전에 발표된 ISO/IEC 27001:2005와 클라우드 서비스 이후에 발표된 ISO/IEC 27001:2013을 비교 연구하였고 ‘접근 통제’, ‘서비스 공급망 관리’, ‘인프라 및 가상화 보안’ 통제 목적에서 클라우드 서비스 환경이 반영되었음을 알 수 있었다.
첫째, 전반적으로 ISO/IEC 27001:2013의 통제 항목이 고르게 분포되어 특정 통제 영역에 편중되었던 ISO/IEC 27001:2005의 통제 항목과는 달리 통제 영역 및 통제 항목 재구성이 잘 되었음을 알 수 있다.
첫째, 클라우드 서비스 평가 프로그램간의 통제 영역 분류의 차이가 있음을 알 수 있다. FedRAMP는 ISO/IEC 27001:2013 관계에서 6개의 평가 항목(접근통제-AC, 형상관리-CM, 미디어 정보보호-MP, 시스템 및 서비스 조달-SA, 시스템 및 통신 정보보호-SC, 시스템 및 정보 무결성-SI)에 중점적으로 연관되어 있고, CSA CCM v.

질의응답

핵심어	질문	논문에서 추출한 답변
	클라우드 컴퓨팅이란?	클라우드 컴퓨팅은 가상화와 분산처리 기술을 기반으로 인터넷을 통해 대규모 IT자원을 임대하고 사용한 만큼의 요금을 지불하는 컴퓨팅 환경을 말한다[1]. 이를 기반으로 주문형 아웃 소싱 IT 서비스를 제공하는 클라우드 서비스의 관심이 높아지고 있다.
	기존 감사 프로그램에는 어떤 것들이 있는가?	클라우드 서비스 평가 프로그램은 기존 감사 프로그램 ISO/IEC(International Organization for Standardizati on and International Electrotechnical Commission) 27001[4], AICPA(American Institute of CPAs) SOC(Service Organization Control)[5], PCI(Payment Card Industry)-DSS(Data Security Standard)[6], ISACA(Information Systems Audit and Control Association) Cloud IT Audit[9]에 클라우드 컴퓨팅 분야의 평가 항목을 추가한 평가 프로그램과 클라우드 컴퓨팅을 특화한 서비스 평가 프로그램으로 FedRAMP(Federal Risk and Authorization Management Program)[7], CSA OCF(Cloud Security Alliance Open Certification Framework Vision Statement)[8], KCSA(Korea Cloud Service Alliance) 클라우드 서비스 인증[10] 등이 있다.
	FedRAMP 보안 평가 프로세스는 어떠한 단계로 구성되는가?	1단계. 3 PAO 인가 : 클라우드 서비스 제공자에 대한 보안 평가를 위하여 미국 정부에서 공식 인증한 민간업체로 구성된 제3의 평가기관을 인증하는 단계이다. 3 PAO는 독립성, 고유의 방법론, 그리고 독립성을 가지고 있는지 자격요건을 평가하고 전문가검토위원회(ERB, Expert Review Board)에 의해 승인된다. 2단계. 보안 평가 : 미국 연방정부 기관에 클라우드 서비스를 제공하기 원하는 클라우드 서비스 제공자가 공동인가위원회(JAB, Join Authorization Board)에 FedRAMP 승인을 요구하는 단계이다. FedRAMP의 요구사항 및 통제 항목을 기준으로 3 PAO를 통해 보안 평가를 수행하고 보안 평가 보고서 및 관련 자료를 제출한다. 클라우드 서비스 제공자가 승인을 받게 되면 FedRAMP 보안 데이터베이스(Security Repository Database)에 클라우드 서비스 제공자 정보와 평가 결과를 업로드 한다. 3단계. 운영 권한 등급 : 미국 연방정부 기관에서 도입할 클라우드 서비스를 선정하는 단계이다. FedRAMP 보안 데이터베이스에서 클라우드 서비스 제공자 정보를 확인 및 검토하여 추가적인 요구사항의 경우 SLA를 통하여 클라우드 서비스 제공자를 선정한다. 4단계. 지속적인 평가 및 인증 : 승인 된 클라우드 서비스 제공자는 최소 연 1회 3 PAO를 통해 재평가를 받아야 하는 지속적인 모니터링을 수행하는 단계이다. 클라우드 서비스에 변경사항이나 사고가 발생했을 경우 FedRAMP와 정부기관에 보고해야 한다.

참고문헌 (13)

Telecommunications Technology Association, http://word.tta.or.kr/terms/terms.jsp
IDC, WorldWide and Regional Public IT Cloud Services 2013-2017 Forecast
W. Y. Kang, Market Views and Policy Trends for Foreign Cloud, Internet & Security Issue, pp. 10, Jun. 2012.
ISO/IEC FDIS 27001 Information technology - Security techniques - Information security management systems - Requirements, ISO/IEC, 2013, http://www.iso.org
Cloud Security Alliance, CSA Position Paper on AICPA Service Organization Control Reports, Feb. 2013.
PCI-DSS, Information Supplement: PCI DSS Cloud Computing Guidelines Version 2.0, Feb. 2013.
FedRAMP: The Federal Risk and Authorization Ma nagement Program, FedRAMP CONOPS Version 1. 2, Jul. 2012.
Cloud Security Alliance, Open Certification Framew ork Vision Statement, Rev. 1, Aug. 2013.
ISACA, Cloud Computing Management Audit/Assu rance Program, 2010.
KCSA, Assessment Criteria of Cloud Service, Feb. 2012.
NIST Computer Security Division, "Recommended Security Control for Federal Information Systems an d Organizations", NIST SP 800-53 Revision 3, Feb, 2010.
Kchul Kim, Ok Heo, Seungjoo Kim, A Security Eva luation Criteria for Korean Cloud Computing Service, Journal of The Korea Institute of Information Sec urity & Cryptology, Vol. 23, No. 2, pp. 251-265, 2013.

원문보기 상세보기
Kyoung-a Shin, Sang-jin Lee, Information Security Management System on Cloud Computing Service, Journal of The Korea Institute of Information Securit y & Cryptology, Vol. 22, No. 1, pp. 156-167. 2013.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증