대표적인 융복합ICT 서비스라고 할 수 있는 클라우드 컴퓨팅 서비스에 대한 법안이 2015년 3월에 통과되면서 많은 업체나 기관에서 다시금 클라우드 서비스 도입을 고려하고 있으나 보안에 대한 염려 때문에 서비스 도입을 주저하고 있다. 이러한 문제를 해결하기 위해서는 클라우드 서비스 보안에 대한 객관적이고 공정한 평가와 인증을 수행할 수 있는 클라우드 보안 인증체계의 도입이 요구된다. 현재 클라우드 보안 인증체계에 관한 연구가 활발히 진행되고 있지만 인증스킴에 대한 연구는 미흡하다. 따라서 본 연구는 국외 클라우드 보안 인증체계와 클라우드 서비스 제공자에 대한 평가 제도를 분석하여 국내 클라우드 보안 인증 도입시 고려되어야 할 요소들을 분석하였다. 이를 기반으로 국내 실정에 맞는 3가지 인증스킴을 제시하였고, 포커스 그룹 인터뷰를 통하여 인증스킴별 장단점을 도출하여 상황에 적절한 인증스킴을 제시하였다.
대표적인 융복합 ICT 서비스라고 할 수 있는 클라우드 컴퓨팅 서비스에 대한 법안이 2015년 3월에 통과되면서 많은 업체나 기관에서 다시금 클라우드 서비스 도입을 고려하고 있으나 보안에 대한 염려 때문에 서비스 도입을 주저하고 있다. 이러한 문제를 해결하기 위해서는 클라우드 서비스 보안에 대한 객관적이고 공정한 평가와 인증을 수행할 수 있는 클라우드 보안 인증체계의 도입이 요구된다. 현재 클라우드 보안 인증체계에 관한 연구가 활발히 진행되고 있지만 인증스킴에 대한 연구는 미흡하다. 따라서 본 연구는 국외 클라우드 보안 인증체계와 클라우드 서비스 제공자에 대한 평가 제도를 분석하여 국내 클라우드 보안 인증 도입시 고려되어야 할 요소들을 분석하였다. 이를 기반으로 국내 실정에 맞는 3가지 인증스킴을 제시하였고, 포커스 그룹 인터뷰를 통하여 인증스킴별 장단점을 도출하여 상황에 적절한 인증스킴을 제시하였다.
As the cloud computing law was passed in March, 2015, many private companies and public organizations give consideration to introduce cloud computing services. However, most of them are still concerned about the security issues in cloud computing services. To solve the problem, a certification syste...
As the cloud computing law was passed in March, 2015, many private companies and public organizations give consideration to introduce cloud computing services. However, most of them are still concerned about the security issues in cloud computing services. To solve the problem, a certification system of cloud security is necessary as an enabler for adoption of the trusted cloud services. There have been a number of studies about certification systems for cloud security, but only few studies exist about certification scheme of cloud security. Therefore, in this study, foreign certification systems for cloud security are analyzed to draw requirements for developing a domestic certification scheme for cloud security. Based on the result of analysis, this study proposes the three certification schemes of cloud security, which have been reviewed by the focus group interview method to draw advantages and disadvantages of each scheme.
As the cloud computing law was passed in March, 2015, many private companies and public organizations give consideration to introduce cloud computing services. However, most of them are still concerned about the security issues in cloud computing services. To solve the problem, a certification system of cloud security is necessary as an enabler for adoption of the trusted cloud services. There have been a number of studies about certification systems for cloud security, but only few studies exist about certification scheme of cloud security. Therefore, in this study, foreign certification systems for cloud security are analyzed to draw requirements for developing a domestic certification scheme for cloud security. Based on the result of analysis, this study proposes the three certification schemes of cloud security, which have been reviewed by the focus group interview method to draw advantages and disadvantages of each scheme.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
제안 방법
하지만 실직적인 선택은 기업 또는 기관의 클라우 드 전문가들의 역할이라고 하였으며 그들이 속한 기업이 나 기관의 특성에 맞는 보안 인증스킴을 선택해야 한다 는 의견이 제시되었다. 5. 결론 및 향후 연구 과제 본 연구는 국외 클라우드 보안 인증제도와 클라우드 서비스 제공자 인증 평가를 분석하여 국내 클라우드 보 안 인증체계 도입 시 고려되어야 할 사항을 식별하였다. 이를 통해 국내 환경에 적합한 클라우드 보안 인증체계 를 위한 3가지 인증스킴을 개발하였고, 각 스킴은 포커스 그룹 인터뷰 방식을 통하여 장단점을 도출하였다.
하지만 본 연구는 국내 클라우드 전문가를 대상으로 인증스킴에 대한 장 단점 그리고 실현 가능성을 검토하 였으나, 연구결과를 일반화가 어렵다는 한계가 있다. 따 라서 향후 연구에서는 본 연구에서 제시한 클라우드 인 증스킴에 따른 시범사업을 통해 개별 스킴의 실제 적용 상의 문제점을 미리 파악할 필요가 있다 클라우드 보안 인 증체계 도입을 위해 3가지 인증스킴(중앙 집중형, 분권 형, 하이브리드형)을 제시하였고 제시된 인증스킴의 실 효성 평가를 위해 포커스 그룹 인터뷰 방식을 채택하였 다. 그 이유로는 현재 국내 클라우드 보안 인증체계가 존 재하지 않는 상황이기 때문에 정확한 비교 사례를 찾는 것이 어렵고, 클라우드 보안 인증의 통제 항목을 제시하 는 연구는 많지만 이처럼 인증스킴을 제시하는 연구는 미비하기 때문이다.
이러한 특징으로 인해 클라우드는 기존의 IT환경에 비해 더 높 은 수준의 보안 프로세스가 요구되고 있고 이를 위한 초 석으로 국내 환경에 적합한 클라우드 보안 인증체계의 도입은 시급한 문제이다. 본 연구는 미국의 FedRAMP(Federal Risk and Authorization Management Program), 영국의 G-Cloud 그리고 CSA(Cloud Security Alliance)의 OCF(Open Certification Framework)등 국외 클라우드 보안 인증체 계를 분석하였고, AICPA/CICA Trust Services Examination, ENISA의 클라우드 컴퓨팅 보안 보증 프레 임워크 등의 클라우드 서비스 제공자를 대상으로 하는 평가 제도를 분석하였다. 이를 기반으로 국내 클라우드 보안 인증체계 도입시 필요한 요구사항을 도출하였고, 조직구조에 일반적 이용되는 3가지 속성(분권형, 중앙집 중형, 하이브리드형)을 기반으로 클라우드 보안 인증스 킴을 제안하였다[4].
본 연구는 미국의 FedRAMP(Federal Risk and Authorization Management Program), 영국의 G-Cloud 그리고 CSA(Cloud Security Alliance)의 OCF(Open Certification Framework)등 국외 클라우드 보안 인증체 계를 분석하였고, AICPA/CICA Trust Services Examination, ENISA의 클라우드 컴퓨팅 보안 보증 프레 임워크 등의 클라우드 서비스 제공자를 대상으로 하는 평가 제도를 분석하였다. 이를 기반으로 국내 클라우드 보안 인증체계 도입시 필요한 요구사항을 도출하였고, 조직구조에 일반적 이용되는 3가지 속성(분권형, 중앙집 중형, 하이브리드형)을 기반으로 클라우드 보안 인증스 킴을 제안하였다[4]. 제안된 3가지 인증스킴은 포
결론 및 향후 연구 과제 본 연구는 국외 클라우드 보안 인증제도와 클라우드 서비스 제공자 인증 평가를 분석하여 국내 클라우드 보 안 인증체계 도입 시 고려되어야 할 사항을 식별하였다. 이를 통해 국내 환경에 적합한 클라우드 보안 인증체계 를 위한 3가지 인증스킴을 개발하였고, 각 스킴은 포커스 그룹 인터뷰 방식을 통하여 장단점을 도출하였다. 클라 우드 발전법의 통과로 공공기관 및 민간기업의 클라우드 서비스 도입이 구체화, 가속화 되고 있는 이 시점에 본 연구는 다음과 같은 의의를 갖는다.
성능/효과
2 클라우드 보안 인증스킴 요소 국외 클라우드 보안 인증체제와 클라우드 서비스 제 공자를 위한 평가 체계를 분석한 결과, 국내 환경에 적 합한 클라우드 인증스킴 개발을 위해서 고려되어야 할 구성요소는 다음과 같다. y 서비스 적용 대상에 대한 정의 (공공기관, 민간기 관 혹은 모두 포함) y 평가 대상에 대한 정의 (클라우드 서비스 제공자, 서비스 자체, 서비스 사용자) y 평가 수행 주체 (인증기관, 별도의 평가기관) y 감독 기관(인정기관)의 정의 (제공자 관점의 정부 부처{예: 미래창조과학부}, 사용자 관점의 정부부 처{예: 안전행정부}) y 인증 기관의 정의 (공공기관, 민간 인증기관) y 인가 기관의 정의 (하나의 기관이 모두 수행, 부처 별로 수행, 고객이 자체적으로 수행) y 보증수준 인증 정의 (Pass/Fail, 성숙도 기반의 등 급제, 업무 위험도 기반의 등급제) 4. 연구 분석 및 결과 4.1 분석 방법 본 연구에서는 국내 환경에 적합한에 효율적이고, 추가 심사를 통해 고객 에 특화된 보안 요구사항의 반영이 가능하다는 장점이 제시되었다. 반면에, 인증기관 및 인가기관의 업무 부담 과 책임성이 가중되며, 부처별 특성에 맞는 인가 조건이 설정이 어렵고, 인가기관과 인증기관 간의 신뢰도 유지 가 어렵다는 의견이 단점으로 제시되었다.
첫째, 향후 실제 인증제도가 도입 될 시 본 연구에서 제안한 인증스킴을 참조하여 효율적인 인증체계 구축에 도움이 될 것으로 사려 된다. 둘째, 본 연구의 결과인 3가 지 인증스킴은 상황별 적절한 인증스킴을 선택할 수 있 는 기준이 될 수 있다. 하지만 본 연구는 국내 클라우드 전문가를 대상으로 인증스킴에 대한 장 단점 그리고 실현 가능성을 검토하 였으나, 연구결과를 일반화가 어렵다는 한계가 있다.
후속연구
클라 우드 발전법의 통과로 공공기관 및 민간기업의 클라우드 서비스 도입이 구체화, 가속화 되고 있는 이 시점에 본 연구는 다음과 같은 의의를 갖는다. 첫째, 향후 실제 인증제도가 도입 될 시 본 연구에서 제안한 인증스킴을 참조하여 효율적인 인증체계 구축에 도움이 될 것으로 사려 된다. 둘째, 본 연구의 결과인 3가 지 인증스킴은 상황별 적절한 인증스킴을 선택할 수 있 는 기준이 될 수 있다.
둘째, 본 연구의 결과인 3가 지 인증스킴은 상황별 적절한 인증스킴을 선택할 수 있 는 기준이 될 수 있다. 하지만 본 연구는 국내 클라우드 전문가를 대상으로 인증스킴에 대한 장 단점 그리고 실현 가능성을 검토하 였으나, 연구결과를 일반화가 어렵다는 한계가 있다. 따 라서 향후 연구에서는 본 연구에서 제시한 클라우드 인 증스킴에 따른 시범사업을 통해 개별 스킴의 실제 적용 상의 문제점을 미리 파악할 필요가 있다 클라우드 보안 인 증체계 도입을 위해 3가지 인증스킴(중앙 집중형, 분권 형, 하이브리드형)을 제시하였고 제시된 인증스킴의 실 효성 평가를 위해 포커스 그룹 인터뷰 방식을 채택하였 다.
질의응답
핵심어
질문
논문에서 추출한 답변
클라우드컴퓨팅 서비스의 단점은 무엇인가?
)을 2015년 3월 27일 법률 제13234호로 제정하여 2015년 9월 28일 시행을 앞두고 있으며 클라우 드컴퓨팅 발전 기반의 조성, 클라우드컴퓨팅 서비스의 이용 촉진, 클라우드컴퓨팅 서비스의 신뢰성 향상 및 이 용자 보호 등 총 37개의 조문으로 제정되어있다[2]. 이처 럼 국가 차원에서 법을 제정하여 클라우드를 활성화 시 키고 시장규모를 키우는데 힘쓰고 있지만 가상화 취약점, 정보위탁에 따른 정보유출 위협, 다양한 단말로부터의 접속으로 인한 정보유출 위협 등 클라우드 보안에 대한 신뢰도가 부족하기 때문에 아직도 많은 기업이나 기관들 은 클라우드 서비스의 이용을 꺼려하고 있다[3]. 이러한 특징으로 인해 클라우드는 기존의 IT환경에 비해 더 높 은 수준의 보안 프로세스가 요구되고 있고 이를 위한 초 석으로 국내 환경에 적합한 클라우드 보안 인증체계의 도입은 시급한 문제이다.
Jericho Forum 자가진단은 무엇인가?
ENISA의 클라우드 컴퓨 팅 보안 보증 프레임워크는 클라우드 위험관리를 기반으 로 역할 정의, 운영 보안, 공급망 보장, 자산관리 등의 세 부적인 지침을 제공한다[13]. Jericho Forum 자가진단은 서비스 벤더가 제공할 클라우드 서비스에 대한 자가진단 에 중점을 둔 보안 프레임워크이다[9]. 2.
ENISA의 클라우드 컴퓨팅 보안 보증 프레임워크는 무엇을 제공하는가?
제공되는 클라우드 서비스의 시스템에 대한 통제가 보안성, 프라이버시, 기밀성, 무결성, 가용성 을 만족하는지를 평가한다[14]. ENISA의 클라우드 컴퓨 팅 보안 보증 프레임워크는 클라우드 위험관리를 기반으 로 역할 정의, 운영 보안, 공급망 보장, 자산관리 등의 세 부적인 지침을 제공한다[13]. Jericho Forum 자가진단은 서비스 벤더가 제공할 클라우드 서비스에 대한 자가진단 에 중점을 둔 보안 프레임워크이다[9].
참고문헌 (16)
DOI: http://blog.lgcns.com/770, April 28.
M. S. Jung, Study on the main content of cloud computing Development Act, Korea Entertainment Industry Association, Vol. 5, pp. 163-167, 2015.
K. C. Kim, O. Heo, S. J. Kim, A Security Evaluation Criteria for Korean Cloud Computing Service, Journal of The Korea Institute of Information Security & Cryptology, Vol. 23, No. 2, pp 251-265, 2013.
C. V. Brown, S. L. Magill, Alignment of the IS functions with the enterprise: toward a model of antecedents, Journal of MIS Quarterly, Vol. 18, No. 4, pp 371-403, 1994.
NIST SP 800-37: Guide for Applying the Risk Management Framework to Federal Information System, 2010.
S. J. Jang, The Analysis of FedRAMP, Weekly Technology Trend, 2013.
Y. H. Park, Korean cloud certification system through foreign case of analysis and suggestions, Master's dissertation in Sejong Cyber University, 2015.
J. Y. Choi, E. J. Choi, M. J. Kim, A Comparison Study between Cloud Service Assessment Programs and ISO/IEC 27001:2013, Journal of Digital Convergence, Vol. 12, No. 1, pp 405-414, 2013.
Korean Standards Association, R&D Road map based on Standard, 2014.
CSA: Open Certification Framework rev1, 2013.
ISO/IEC 17000 : 2004: Conformity assessment - vocabulary and general principles, 2004.
R. A. Krueger, M. A. Casey, Focus Groups: A practical guide for applied research 4th edition, sega publication(CA), London, 2008.
ENISA: Cloud computing information assurance framework, 2010.
ISACA: IT control objectives for could computing, 2011.
KISA: Public data system restructuring in the UK government, 2014
G. S. Lee, Strengthening Security on the Internal Cloud Service Certification, Journal of The Korea Institute of Information Security & Cryptology, Vol. 23, No. 6, pp,1231-1238, 2013
※ AI-Helper는 부적절한 답변을 할 수 있습니다.