이창범(miso4all@naver.com)



1. 정보보호 인증제도의 의의


클라우드는 대량의 데이터를 처리하고 많은 기업, 기관, 단체 및 개인의 데이터를 취급하기 때문에 어느 분야보다 정보보안이 중요하다. 그러나 「클라우드컴퓨팅법」에서는 ‘과학기술정보통신부장관은 클라우드컴퓨팅서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준을 정하여 고시하고, 클라우드컴퓨팅서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다’라고만 규정하고 있을 뿐 1 클라우드서비스 제공자나 이용자에게 특별히 추가적인 정보보안의무를 부여하거나 인증 또는 허가를 요구하고 있지는 않다.


문제는 기존의 여러 인증·평가제도들이 클라우드서비스에도 예외 없이 그대로 차별없이 적용되고 있어 클라우드서비스의 이용이 제한을 받거나 활발하게 이용되지 못하고 있다는 것이다. 또한 클라우드 기술 및 서비스 환경을 고려하지 않은 엄격한 재래식 보안 요건으로 인해 특정 업종에서는 클라우드서비스의 이용 자체가 어려운 경우도 있다. 전자는 주로 공공부문에서 발생하고 있고 후자는 주로 금융분야에서 발생하고 있다.


본고는 국가·공공 분야의 정보보호 관련 평가·인증제도의 내용과 그것이 클라우드서비스에 미치는 영향을 중심으로 살펴보기로 한다.






2. 국가·공공기관 정보시스템의 보안적합성 검증


국가·공공기관이 IT기기 및 장비나 네트워크 시스템을 도입하기 위해서는 국가정보원으로부터 보안적합성 검증, CC평가·인증, 암호모듈 검증 등을 거쳐야 한다. 보안적합성 검증이란 국가·공공기관이 보안기능이 포함된 IT제품이나 네트워크 장비를 도입할 때 반드시 받아야 하는 정보보안 검증 절차이다. 국가·공공기관이 정보보호시스템을 도입할 때에는 전자정부법 제56조 2공공기록물관리법 시행령 제5조 3에 따라 국가정보원(국가사이버안전센터)으로부터 보안적합성 검증을 받아야 하고, 검증결과 취약점이 발견되면 이를 제거한 후에 운용하여야 한다.


따라서 국가·공공기관이 상용 클라우드서비스(퍼블릭 클라우드서비스)를 이용하고자 하는 경우에도 “원칙적으로” 국가정보원으로부터 보안성 검증을 받아야 하고, 민간기업이 상용 클라우드서비스를 제공하기 위해 사용하고 있는 정보보호제품이나 암호제품에 대해서도 CC평가·인증과 암호모듈 검증을 받아야 한다. 이 경우 정보·수사기관인 국가정보원이 민간기업이 제공하는 IT 시스템을 직접 검증해야 하므로 민간기업의 활동에 대한 정부의 감시 및 간섭으로 오해를 받을 수 있다. 따라서 국가정보원은 아래에서 보는 바와 같이 일정한 경우 보안적합성 검증을 면제해 주고 있다.






3. 클라우드 보안인증과 보안적합성 검증 면제


클라우드 보안인증이란 클라우드서비스에 대한 이용자의 보안 우려를 해소하고, 클라우드서비스의 경쟁력을 확보하는 한편, 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드서비스를 제공하기 위해 「클라우드컴퓨팅법」 제23조에 의거해 과학기술정보통신부와 한국인터넷진흥원이 민간 클라우드사업자가 제공하는 클라우드서비스에 대해 정보보호 기준의 준수여부를 확인하고 인증해주는 제도이다. 앞에서 설명한 바와 같이 공공기관이 상용 클라우드서비스를 이용하고자 하는 경우에도 원칙적으로 국가정보원으로부터 보안성 검증을 받아야 한다. 그러나 이 경우 클라우드 산업을 위축시킬 수 있으므로 정부는 공공기관이 상용 클라우드서비스를 이용하고자 할 때에는 보안적합성 검증을 받는 대신에 클라우드 보안인증을 받은 사업자의 서비스를 이용하도록 하고 있다. 이는 공공기관이 IT시스템을 도입할 때 국가정보원으로부터 받아야 하는 ‘보안적합성 검토’의 일부를 면제해준다는 의미이기도 하다.


따라서 공공기관에 클라우드서비스를 제공할 계획이 없는 사업자라면 굳이 클라우드 보안인증을 받을 필요가 없지만, 자사 클라우드서비스에 대한 이용자의 신뢰 확보를 위해서는 보안인증을 받는 것이 바람직하다. 클라우드 보안인증은 정보보호관리체계인증(ISMS)보다 취약점 점검, 모의침투 등 평가방법에서 밀도가 깊고, 가상화 보안 등 클라우드에 특화된 평가항목이 포함되어 있다. 클라우드 보안인증에 소요되는 기간은 신청기업의 준비 정도에 따라 다르지만 짧게는 3개월에서 길게는 9개월이 소요된다. 현재 클라우드 보안인증을 취득한 사업자는 KT, 네이버비즈니스플랫폼(NBP), 가비아 등 3개다. 연내 2 - 3곳 정도가 추가로 인증을 받을 것으로 예상된다.






4. 정보보호시스템 인증과 보안적합성 검증 면제


정보보호시스템 인증이란 국가정보화기본법 제38조4 및 같은 법 시행령 제35조에 따라, 민간기업이 개발한 상용 정보보호시스템에 구현된 보안성과 신뢰성을 보증하여 사용자들이 안심하고 제품을 사용할 수 있도록 국가정보원(국가사이버안전센터)이 공적으로 안전성을 인증해주는 제도이다. 국제적으로 통용되는 공통평가기준(CommonCriteria)에 따라 평가·인증이 이루어지기 때문에 공통평가인증(CC인증)이라고도 한다. 국가·공공기관이 보안기능이 포함된 IT제품이나 네트워크 장비를 입할 때에는 국가정보원으로부터 보안적합성 검증을 받아야 하므로 CC인증을 받은 제품도 “원칙적으로” 보안적합성 검증을 받아야 한다.


그러나 예외적으로 “국내용” CC인증을 받은 제품에 대해서는 보안적합성 검증이 면제된다. 국내용 CC인증을 받은 제품은 국가용 보안요구사항을 모두 충족하고 있기 때문이다. 특히 국가정보원이 필요성을 인정하는 24개 정보보호제품(2017년 3월 현재)은 반드시 “국내용” CC인증을 받은 제품만 도입할 수 있다. 국내 또는 해외에서 국제용 CC인증을 받은 제품은 보안적합성 검증이 면제되지 아니한다. 국가용 보안요구사항을 모두 충족하지 못한 경우가 있기 때문이다. 다만, 예외적으로 클라우드서비스에서 서버 가상화를 위해 필요한 하이퍼바이저(Hypervisor) 제품은 국내용과 국제용 CC인증 제품에 대해 둘 다 보안적합성 검증을 면제하고 있다.






5. K-CMVP와 보안적합성 검증 면제


암호모듈 검증(CMVP)이란 국가·공공기관의 정보통신망에서 저장·소통되는 자료 중에서 비밀로 분류되지 않은 중요 정보의 보호를 위해 사용되는 암호모듈의 안전성, 신뢰성 및 상호운용성을 검증하는 제도로, 검증대상이 되는 암호모듈은 소프트웨어, 하드웨어, 펌웨어 또는 이들을 조합한 형태 등 다양한 방식으로 구현될 수 있다. 전자정부법 시행령 제69조 5와 「암호모듈 시험 및 검증지침」에 따라 국가·공공기관에 도입되는 정보보호시스템 가운데 암호화가 주된 기능인 정보보호제품에는 의무적으로 검증필 암호모듈을 탑재해야 한다. 따라서 클라우드서비스에서 사용되는 정보보호제품에도 암호기능이 포함되어 있는 경우에는 검증필 암호모듈을 탑재해야 한다.


국내용 CC인증을 받은 제품과 마찬가지로, 암호모듈 검증을 필한 정보보호제품은 원칙적으로 보안성 검증이 면제된다. 그러나 가상사설망, 보안USB, 호스트 기반 자료유출방지 제품 등에 대해서는 국내에서 인증받은 검증필 암호모듈의 탑재가 필수적이므로 해외 검증필 암호모듈은 탑재가 불가능하다. 따라서 이들 정보보호제품이 공공기관에 제공되는 클라우드서비스에 포함될 경우 해외 검증필 암호모듈은 탑재할 수 없다.






6. 클라우드와 정보보호관리체계(ISMS) 인증


정보통신망법 제47조제2항에 따르면 i) 집적정보통신시설 사업자, ii) 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 사업자, iii) 연간 매출액 또는 세입이 1,500억원 이상인 상급종합병원, iv) 연간 매출액 또는 세입이 1,500억원 이상이고 재학생 수가 1만명 이상인 대학교, v) 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자, vi) 일일평균 이용자 수가 100만명 이상인 자는 의무적으로 정보보호관리체계(ISMS) 인증을 받아야 한다. 클라우드서비스제공자도 전기통신사업법 또는 정보통신망법 상 ‘전기통신사업자’ 또는 ‘전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자’에 해당하므로 정보통신망법 제47조제2항에 따라 정보보호관리체계인증을 받아야 하는지 여부가 문제된다. 법률에 특별한 예외규정이 없으므로 클라우드서비스제공자도 ISMS 인증을 받아야 할 것이다.






7. 해결되어야 할 과제


정보보호 특히 공공·행정정보의 보호를 위해서 상용 클라우드서비스에 대해서도 일반 정보보호제품에 대해서와 동일한 수준의 정보보안을 요구하는 것은 당연하다. 다만, 처리되는 정보의 민감도나 처리방식을 고려하지 않고 획일적으로 상용 클라우드서비스의 이용 그 자체를 제한하거나 특별한 보호가 필요한 공공·행정정보의 대상을 지나치게 확대하여 상용 클라우드서비스의 이용을 광범위하게 제한하는 것은 공공·행정서비스의 품질 개선 및 향상은 물론 클라우드 산업의 경쟁력 강화 차원에서도 바람직스럽지 않다. 또한 민감한 정보를 다루고 있지 않은 공공기관(초·중·고등학교 등)에 대해서까지 국내용 암호모듈 검증필 제품을 탑재하도록 요구할 필요가 있는지에 대해서는 검토해 볼 필요가 있다.







  2. 제23조(신뢰성 향상) ① 클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스의 품질·성능 및 정보보호 수준을 향상시키기 위하여 노력하여야 한다. ② 과학기술정보통신부장관은 클라우드컴퓨팅서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준(관리적·물리적·기술적 보호조치를 포함한다)을 정하여 고시하고, 클라우드컴퓨팅서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다. ③ 과학기술정보통신부장관이 제2항에 따라 클라우드컴퓨팅서비스의 품질·성능에 관한 기준을 고시하려는 경우에는 미리 방송통신위원회의 의견을 들어야 한다. ?<
  3. 제56조(정보통신망 등의 보안대책 수립ㆍ시행) ① 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의 안전성 및 신뢰성 확보를 위한 보안대책을 마련하여야 한다. ② 행정기관의 장은 제1항의 보안대책에 따라 소관 정보통신망 및 행정정보 등의 보안대책을 수립·시행하여야 한다. ③ 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때 위조·변조·훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조치를 하여야 하고, 국가정보원장은 그 이행 여부를 확인할 수 있다. ?
  4. 제5조(전자기록물의 보안관리) 공공기관 및 기록물관리기관의 장은 「전자정부법」 제56조제3항에 따라 국가정보원장이 안전성을 확인한 보안조치를 취하여 전자기록물의 생산·이관·보존 및 폐기 등 기록물관리 과정에서 전자기록물을 안전하게 관리하여야 하며, 국가정보원장은 그 이행여부를 확인할 수 있다. ??
  5. 제38조(정보보호시스템에 관한 기준 고시 등) ① 과학기술정보통신부장관은 관계 기관의 장과 협의하여 정보보호시스템의 성능과 신뢰도에 관한 기준을 정하여 고시하고, 정보보호시스템을 제조하거나 수입하는 자에게 그 기준을 지킬 것을 권고할 수 있다. ② 과학기술정보통신부장관은 유통 중인 정보보호시스템이 제1항에 따른 기준에 미치지 못할 경우에 정보보호시스템의 보완 및 그 밖에 필요한 사항을 권고할 수 있다. ③ 제1항에 따른 기준을 정하기 위한 절차와 제2항에 따른 권고에 관한 사항 및 그 밖에 필요한 사항은 대통령령으로 정한다. ?<
  6. 제69조(전자문서의 보관·유통 관련 보안조치) ① 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때에는 법 제56조제3항에 따라 국가정보원장이 안전성을 확인한 다음 각 호의 보안조치를 하여야 한다. 1. 국가정보원장이 개발하거나 안전성을 검증한 암호장치와 정보보호시스템의 도입·운용 2. 전자문서가 보관·유통되는 정보통신망에 대한 보안대책의 시행 ② 행정기관의 장이 제1항의 보안조치를 이행하는 경우에는 미리 국가정보원장에게 보안성 검토를 요청하여야 한다. ③ 제1항 및 제2항에서 규정한 사항 외에 정보통신망을 이용한 전자문서의 보관·유통 관련 보안조치에 관하여 필요한 사항은 국가정보원장이 따로 지침으로 정할 수 있다. ?