※ 이 문서는 「ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development (First edition 2019-01)」를 토대로 작성되었음.

상명대학교 / 서광규 교수


 

클라우드 컴퓨팅은 최근 몇 년간 전 세계 주요 산업이 되었으며 오늘날 많은 클라우드 서비스 제공업체가 운영하는 크고 작은 데이터센터 및 통신 네트워크로 구성된 글로벌 네트워크로 구성되어 고객에게 다양한 클라우드 서비스를 제공한다. 이러한 클라우드 서비스는 단순한 온-프레미스 소프트웨어를 대체하는 간단한 이메일 및 생산성 응용 프로그램에서 소셜 네트워크, 빅데이터 처리, 기계 학습 및 인지 서비스와 같은 다른 방식으로는 구축할 수 없는 고급 서비스에 이르기까지 다양하다.

클라우드 컴퓨팅은 클라우드 서비스 고객, 정부 및 사회에 많은 이점을 제공한다. 모든 상업 서비스와 마찬가지로 정부와 기업은 고객과 정부의 이익을 보호하기 위 한 정책을 채택하고 있다. 이 문서는 클라우드 컴퓨팅 시스템 및 서비스의 배포 및 사용과 관련된 정책 개발을 지원하는 정보를 제공한다.

ISO/IEC TR 22678:2019(E) 문서는 Technical Report로 클라우드 서비스 제공업체 (CSP) 및 클라우드 서비스를 관리 또는 규제하는 정책 개발 및 조직에서 클라우드 서비스 사용을 관리하는 정책 및 관행을 개발할 때 도구로써 국제 표준 사용에 대한 지침을 제공하고 있다. 이 문서에는 클라우드 컴퓨팅 개념과 정책 및 관행을 공식화하는데 있어 클라우드 컴퓨팅 국제 표준의 역할을 설명하는 자료가 포함된다. 이 문서는 다양한 국제 표준을 참조하는데, 가능한 경우 표준은 ISO/IEC 표준을 따른다. TBT (Technical Barriers to Trade)에 관한 WTO 협정에 설명 된 바와 같이 표준은 기술 규정 및 적합성 평가를 지원하는 데 중요한 역할을 하지만 이 문서는 무역 문제를 다루지 않는다.

 



1. 국제 표준을 사용하여 클라우드 컴퓨팅을 다루는 정책 개발 지원


클라우드 컴퓨팅 정책 개발과 관련된 국제 표준


ISO/IEC JTC 1에 의해 생성된 국제 표준은 종종 서로간에 또는 다른 표준에 포함 된 최소한의 참조 자료를 기반으로 한다. 특히 클라우드 컴퓨팅과 관련된 표준과 관련하여 이러한 표준의 상호 관계를 이해하는 것이 중요하다. 이런 방식으로 이러한 국제 표준 사용자는 포괄적인 도구 세트에서 표준을 사용하는 방법을 이해하게 된다. 예를 들어 [그림 1]은 ISO/IEC JTC 1 SC27에서 개발된 기본 보안 및 개인 정보 위험 관리 프레임워크가 ISO/IEC 27018과 같은 파생 표준의 기초가 되는 방법 또는 ISO/IEC JTC 1 SC38 표준 ISO/IEC IEC 19944 및 ISO/IEC 19941은 기본 클라우드 컴퓨팅 표준 ISO/IEC 17788 및 ISO/IEC 17789에서 파생되었으며, 클라우드 서비스 계약을 설명하는 ISO/IEC 19086 시리즈의 다양한 부분에서 참조됨을 보여준다.

 

클라우드 컴퓨팅 정책 개발을 위한 지침 1

[그림 1] 클라우드 컴퓨팅 국제 표준 (International standards for cloud computing)


출처: ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development



1) 신뢰와 투명성에 적용 가능한 ISO/IEC 19086 표준 시리즈


ISO/IEC JTC1에서 생성된 클라우드 컴퓨팅 표준은 클라우드 서비스 수준 협약 (SLA)의 관점에서 서로 관련이 있는 것으로 볼 수 있다. ISO/IEC 19086 표준 시리즈는 클라우드 서비스 계약의 구성 요소인 클라우드 서비스 수준 목표 (SLO) 및 클라우드 서비스 품질 목표 (SQO)를 설명한다. 이러한 SLO 또는 SQO는 종종 퍼블릭 클라우드 프로세서와 관련된 주제에 대해서는 ISO/IEC 27018과 같은 이전 클라우드 컴퓨팅 표준을 참조하거나 데이터 분류법과 사용 진술에 기반을 두어야 하는 데이터 관리 SLO 또는 SQO에 대해서는 ISO/IEC 19944를 참조하여 설명한다.

[그림 2]는 ISO/IEC 19086 표준 시리즈가 다른 표준을 참조하는 방법을 설명한다. 클라우드 서비스 계약의 관점에서 다양한 클라우드 컴퓨팅 표준이 서로 어떻게 연관되어 있는지 확인하는 것이 유용하다.

 

클라우드 컴퓨팅 정책 개발을 위한 지침 2

[그림 2] 서비스수준협약(Service Level Agreement)과 관련된 국제 표준(International standards related to Service Level Agreements (SLOs))


출처: ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development


 

[그림 3]은 데이터 분류 및 사용 문장 영역에서 ISO/IEC 19944와 같은 다른 ISO/IEC JTC1 표준을 인용하는 SQO의 몇 가지 예를 보여 주고 있다. 퍼블릭 클라우드 운영자의 PII(Personally Identifiable Information) 보호를 위한 ISO/IEC 27018 PII 프로세서 관련 국제 표준을 사용하면 국제적으로 인정된 합의 개념 및 용어를 기반으로 하는 클라우드 서비스 계약을 쉽게 만들 수 있으므로 클라우드 서비스 제공 업체, 클라우드 서비스 고객 및 규제 기관 간의 보다 체계적이고 효율적인 관계가 가능하다.

 

클라우드 컴퓨팅 정책 개발을 위한 지침 3

[그림 3] ISO/IEC 19086 시리즈의 다른 국제 표준을 참조하는 SQO의 예(Examples of SQOs that reference other international standards in the ISO/IEC 19086 series)


출처: ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development


 

2) 데이터 개념을 명확히 하기 위해 적용 가능한 ISO/IEC 19944


데이터 중심 표준에 대해 유사한 상호 관계 및 종속성 맵을 설정할 수 있다. 핵심은 기본 클라우드 컴퓨팅 표준 ISO/IEC 17788 및 ISO/IEC 17789를 기반으로 하는 ISO/IEC 19944이다. ISO/IEC 19944는 서비스수준협약(ISO/IEC 19086 시리즈)과 같은 JTC1의 다른 프로젝트에서 사용되었다.

이러한 상호 관계를 이해하는 것은 여기에 설명된 개념을 사용하여 정책과 관행을 적용해야 하는 공공 및 기업 정책 입안자에게 유용할 수 있다.

 

클라우드 컴퓨팅 정책 개발을 위한 지침 4

[그림 4] 클라우드 데이터와 관련된 국제 표준(International standards related to cloud data)


출처: ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development



3) ISO/IEC 27552, 개인 정보 관리 시스템


ISO/IEC 27552는 ISO/IEC 27001 (정보 보안 관리 시스템) 및 ISO/IEC 27002 (Code of practice)의 확장이다. 특히 PII 컨트롤러 및 PII 프로세서 (클라우드 컴퓨팅 컨트롤러 및 프로세서 포함)에 적합한 컨트롤이 포함되어 있다. ISO/IEC 27552는 ISMS의 범위를 정할 때 PII 처리를 고려해야하고 이해 당사자, 위험, 의무 등의 측면에서 프라이버시를 고려하도록 명시적으로 요구함으로써 ISMS를 확장한다.

ISO/IEC 27552는 최신 데이터 보호 규정의 의무를 충족시키는 데 적합하다. ISO/ IEC 27552는 컨트롤러/프로세서 관계의 보증 메커니즘뿐만 아니라 감독 기관에도 유용한 증거 생성기 역할을 한다. 또한 ISO/IEC 27001 및 ISO/IEC 27002가 정보 보안 인증의 기초 역할을 하는 것과 거의 같은 방식으로 개인 정보 보호 인증의 기초가 될 수 있다.

[그림 5]는 ISO/IEC 27552가 정보 보안 관리 시스템 (ISO / IEC 27001)에 대한 기존 국제 표준에서 파생 된 방법과 기존의 보안 및 개인 정보 제어와 관련하여 그리고 개인 정보 보호와 관련하여 개인 정보 제어가 개발 된 방법을 설명한다.

 

클라우드 컴퓨팅 정책 개발을 위한 지침 5

[그림 5] 클라우드 컴퓨팅의 보안 및 개인 정보 보호와 관련된 국제 표준(International standards related to security and privacy in cloud computing)


출처: ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development


 



2. 정책 개발시 고려 사항


1) 일반


다음은 클라우드 서비스의 배포, 제공 또는 사용에 대해 법적으로 의무화되는 정책을 개발할 때 고려해야 할 사항이다.

CSP는 일반적으로 고객, 파트너 및 규제 기관에 상당한 양의 문서를 제공한다. 그러므로 클라우드 컴퓨팅 시스템을 설명하는 방법에 대한 국제적 합의에서 벗어나는 것은 비합리적이다.

1) 이 정책은 국제 표준에 제공된 정의와 상충되는 방식으로 클라우드 컴퓨팅 용어를 사용하거나 정의하는가?

2) 이 정책은 가능한 경우 항상 정의에 대한 국제 표준을 참조하는가?

3) 이 정책은 정책 변경 전에 합리적인 산업 상담을 허용함으로써 의도하지 않은 엔지니어링 결과를 피하거나 완화하는가?

4) 이 정책에 구현에 대한 시간 제약 및 시간 제한이 포함되어 있는가? 이는 요구 사항을 구현하기 위한 엔지니어링 과제와 일치하는가?

 

2) 멀티테넌시 이슈


클라우드 서비스는 여러 고객/테넌트간에 리소스를 공유하여 규모와 비용의 경제를 달성한다.

멀티 테넌트의 경우 다음을 고려해야 한다.

1) 이 정책에 따라 CSP는 공무원이 데이터나 시스템에 물리적으로 액세스할 수 있어야하는가?

1-1) 그렇다면 대상과 동일한 물리적 시스템 또는 데이터 저장소에 호스팅된 다른 클라우드 서비스 테넌트의 권리 (예: 기밀성, 무결성, 가용성)를 어떻게 보호하는가?

2) 이 정책은 데이터 삭제에 적용되는가?

2-1) 그렇다면, 동일한 저장 매체에 데이터가 있는 다른 테넌트의 요구를 고려하는가?

3) 수명이 다하기 전에 실행 가능한 스토리지 미디어를 파괴할 때의 재정비용을 고려하는가?

4) 이 정책은 CSP에서 데이터를 검색할 수 있는 CSC의 권리를 포함하는가?

4-1) 그렇다면, 이 정책은 그러한 데이터에 포함될 수 있는 다른 사람들에 대한 PII의 취급을 고려하는가?

 

3) 클라우드 채택에 대한 불필요한 장벽 회피


온-프레미스 컴퓨팅 시스템 또는 로컬로 호스팅되는 시스템의 규제를 위해 원래 개발된 정책은 때때로 효율적인 클라우드 컴퓨팅 아키텍처 배포에 장애물로 작용할 수 있는데, 다음 사항을 고려해야 한다.

1) 이 정책에는 시민권이나 위치와 같은 CSP 직원에 대한 암시적 가정 또는 명시적 요구 사항이 포함되는가?

2) 이 정책은 다른 관할 구역에 기반을 둔 CSP 직원이 운영하거나 관리하는 것을 어렵게 하거나 불가능하게 하는 특정 현지 직원 자격 또는 정리를 요구하는가?

3) 이 정책은 관할 구역간에 클라우드 서비스 공급자 데이터를 이동하는 CSP의 기능을 제한하는가?

4) 이 정책은 클라우드 서비스 고객 데이터 또는 파생 데이터의 저장 위치를 ??특정 관할 구역으로 제한하는가?

4-1) 그렇다면, 이 제약이 그러한 모든 데이터 또는 식별된 데이터 범주의 부분 집합에 적용되는가?

4-2) 후자의 경우, 이 자료 범주는 ISO / IEC 19944에 정의된 자료 분류 체계에 근거하는가?

5) 정책에 데이터 위치에 대한 제약이 포함된 경우, 로컬 클라우드 데이터 센터에 영향을 미치는 중대한 비상사태동안 클라우드 서비스를 운영하는 등 특별한 상황에서 운영 예외가 허용되는가?

6) 이 정책은 IT 거버넌스에 대한 국제 표준과 일치하는가?

7) 이 정책은 클라우드 서비스 및 연결된 애플리케이션의 지속적인 개발을 허용하는가?

8) 이 정책은 지속적인 프로토타입 제작, 개발, 테스트 및 배포를 허용하는가?

9) 이 정책은 CSP 및 CSC가 시스템을 최신 상태로 유지하도록 장려하거나 억제하는가?

10) 소프트웨어 변경시 정책에 재 인증 또는 재 승인이 필요한가?

10-1) 그렇다면 재인증 또는 재승인이 필요하기 전에 얼마나 많은 변경이 허용되는가?

 

4) 신뢰성 및 투명성


CSC는 CSP를 신뢰해야 하며, 경험에 따르면 제공되는 서비스 및 운영에 대해 진실하고 투명하게 신뢰를 확보하고 유지하는 것이 가장 좋은데, 다음 사항을 고려해야한다.

1) 이 정책은 온라인 컴퓨팅 서비스 (클라우드 기반 또는 기타)를 설명할 때 표준 기반 용어를 사용하도록 권장하거나 위임하는가?

2) 이 정책은 ISO/IEC 17788에 정의된 클라우드 컴퓨팅의 국제 표준 정의를 따르는가?

3) 이 정책은 ISO/IEC 17788에 정의된 클라우드 컴퓨팅의 국제 표준 정의를 충족하지 않는 서비스에 대한 설명을 위해 "클라우드"또는 "클라우드 컴퓨팅"과 같은 용어의 사용을 권장하는가?

3-1) 그렇다면, 정책은 CSP가 데이터 사용 선언서에 ISO/IEC 19944에 정의된 표준 방법에 따라 구성된 진술을 요구하거나 장려하는가?

4) 이 정책은 클라우드 컴퓨팅 서비스 계약 또는 SLA (Service Level Agreement)에서 표준 용어를 사용하는가?

4-1) 그렇다면 정책이 ISO/IEC 19086 시리즈에 정의된 표준 용어 및 프레임워크를 따르고 있는가?

 

5) 상호운용성 및 이식성


상호운용성과 이식성은 CSC와 규제 기관, 특히 서비스 제공 업체 간의 경쟁에 관심이 있는 사람들에게 중요한 문제이다. 그러나 이것은 매우 복잡한 주제이므로 신중하게 처리하며 다음 사항을 고려해야 한다.

1) 이 정책은 상호운용성 또는 이식성 문제를 다루고 있는가?

2) 이 정책은 다음과 같은 차이점을 명확히 하는가?

- 상호운용성

- 데이터 이식성

- 응용 이식성

3) 이 정책은 상호운용성 또는 이식성의 특정 측면을 요구하는가?

3-1) 그렇다면, 이러한 측면들이 ISO/IEC 19941에서 식별된 패싯(facets)과 일치하거나 정의되어 있는가?

4) 이 정책은 직접적인 상호운용성을 요구하거나 (ISO/IEC 19941 참조), 다음의 사용을 허용하는가?

- 프로토콜 변환기

- 중간 형식

- 타사 데이터 변환 도구 (예 : 오픈 소스)

- 기타 솔루션

5) 이 정책은 직접적인 데이터 이식성을 요구하거나 다음의 사용을 허용하는가?

- 중간 형식

- 타사 어댑터 (예 : 오픈 소스)

- 다른 해결책

6) 이 정책에 직접적인 응용 프로그램 이식성이 필요하거나 다음을 사용할 수 있는가?

- 에뮬레이터

- 응용 프로그램 코드 변환

- 다른 해결책

 

6) 보안 및 개인 정보


클라우드 컴퓨팅 기술의 성공적인 채택을 위해서는 정보 보안에 대한 자신감과 클라우드 서비스 내 개인 정보 보호가 필수적으로 다음 사항을 고려해야 한다.

1) 이 정책은 클라우드 서비스 제공 업체 및 클라우드 서비스 고객에게 특정 보안 요구 사항을 적용하는가?

2) 이 정책은 클라우드 서비스 제공 업체와 클라우드 서비스 고객이 데이터를 안전하게 보호하는 데 있어 공동 책임이라는 개념을 인정하는가?

3) 이 정책은 새로운 위협이 발생할 때 보안 기술과 기술의 발전을 가능하게하고 장려하는가?

4) 이 정책은 유휴 및 이동 중 강력한 데이터 암호화 사용을 가능하게하거나 촉진하는가?

5)이 정책은 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 및 ISO/IEC 27552에 설명된 것과 같은 보안 및 개인 정보 보호에 업계에서 신뢰할 수 있는 위험 관리 접근 방식을 사용할 수 있는가?

 



3. 결언


이 문서는 정책 개발에 영향을 미치는 클라우드 컴퓨팅의 기술적 측면을 설명하고 있다. 이를 위해 정책의 개발을 단순화하고 가속화하는 데 사용할 수 있는 몇 가지 국제 표준을 식별했으며, 정책을 개발할 때 다양한 고려 사항을 식별하고 있다.

이 문서는 클라우드 컴퓨팅 정책 개발에 국제 표준을 사용하면 전 세계에서 이러한 정책 개발 프로세스를 보다 쉽고 일관되게 수행할 수 있으며 클라우드 서비스 제공업체가 이러한 정책을 쉽게 구현할 수 있다. 따라서 표준 기반 접근 방식은 투명성과 경쟁력을 증가시키고 클라우드 서비스 고객, 정부 및 사회의 이익을 위해 클라우드 서비스 채택을 촉진하게 한다.

 



참고자료



  2. ISO/IEC TR 22678 Information technology - Cloud computing - Guidance for policy development (First edition 2019-01)
  3. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
  4. ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.
  5. ISO/IEC 19086-1, Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts.
  6. ISO/IEC 38505-1, Information technology - Governance of IT - Part 1: The application of ISO/IEC 38500 to the governance of data.
  7. ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements
  8. ISO/IEC 20889, Information technology - Security techniques - Privacy enhancing data deidentification techniques
  9. ISO/IEC 29138-1, Information technology - User interface accessibility - Part 1: User accessibility needs
  10. ISO/IEC 38500, Information technology - Governance of IT for the organization
  11. ISO/IEC. Using and referencing ISO and IEC standards to support public policy