19. ISOIEC 국제 표준화 기구에서의 클라우드 서비스 감사 1부


 

?상명대학교 / 서광규 교수


 

클라우드 컴퓨팅은 비즈니스 IT 서비스를 혁신하고 있지만 계획해야 하는 심각한 위험도 내포하고 있는데 관련 주요 문제에는 클라우드 보안, 고객 서비스, 공급 업체 관리, 법률 및 규정 준수가 포함된다. 일반적으로 감사란 제3자 독립 단체가 조사, 물리적 검사, 관찰, 확인, 분석 절차 및 재실행을 통해 증거를 얻기 위해 관여하는 것을 말하는데, 클라우드 서비스 감사는 클라우드 서비스 제공자(CSP)가 성능 및 보안 등에 대한 상세하고 자동화된 정보를 클라우드 공급자 소비자(CSC) 및 사용자와 공유할 수 있는 수단을 제공하기 위해 수행된다. 클라우드 컴퓨팅에서도 클라우드 서비스 감사의 중요성을 인지하여 ISO/IEC JTC 1/SC 38에서는 2020년 현재 ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services라는 Technical Report를 작성하고 있다.

본 고에서는 현재 ISO/IEC에서 Technical Report를 작성중인 클라우드 서비스 감사 표준화 문서의 주요 내용을 제1부와 제2부로 나누어서 설명하기로 하는데 여기에서는 제1부 내용을 기술하기로 한다. 제1부에서는 표준문서의 구조와 범위, 클라우드 감사자의 개요, 감사, 평가, 규정 준수, 평가 및 보증의 차이점에 대하여 설명한다.

 



 

1. 표준 문서의 구조와 범위


 

이 문서에서는 1장은 문서전체 범위, 2장은 참고문헌, 3장은 용어 및 정의 그리고 4장에서는 약어를 설명하고 있다. 이 문서의 구조는 Fig. 1과 같은데 주요 내용을 살펴보면 6장에서는 클라우드 컴퓨팅, 클라우드 컴퓨팅 주요 역할 및 감사, 평가, 규정 준수, 평가 및 보증 간의 차이점에 대한 개요를 설명하고 있으며 7장에서는 6장의 기초 정보를 기반으로 클라우드 감사자의 활동을 논의하고 있다. 8장에서는 클라우드 서비스 제공 및 사용에 대한 감사 사양을 설명하고 있고 9장에서는 클라우드 서비스 접근 방식 및 모범 사례의 제공 및 사용에 대한 감사에 대해 설명하고 있다. 마지막 10장에서는 부록 A에 나열된 적합성 평가, 인증 및 관리에 대해 요약하고 있다.

이 문서의 범위는 감사를 수행하는 개인(들)의 역할과 책임 및 클라우드 서비스 소비자(CSC), 클라우드 서비스 공급자(CSP) 및 클라우드 서비스 파트너(CSN) 간의 상호 작용에 대한 설명하고 클라우드 서비스 제공 및 클라우드 서비스 사용에 대한 신뢰를 높이기 위해 클라우드 서비스 감사를 수행하기 위한 접근 방식을 제시하고 있다. 그리고 감사 체계, 인증 및 승인에 사용할 수 있는 사용 가능한 프레임워크 및 표준의 예를 포함하고 있다.

그림1

<출처: ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services>


 



 

2. 클라우드 감사자의 역할 개요(Overview of the role of cloud auditor)


 

2.1 클라우드 감사자(Cloud auditor))

클라우드 감사자는 클라우드 서비스를 사용하거나 제공하지 않는 CSN의 하위 역할로 감사자는 CSC의 특정 시스템에 대한 독립적인 평가를 수행해야 한다. 클라우드 감사자는 콘텐츠 및 애플리케이션, 운영, 성능, 개인 정보 보호 및 클라우드 구현의 보안, CSP가 구현하고 운영하는 보안 조치를 포함한 클라우드 서비스에 대한 제어 등 CSC의 시스템별 제어를 평가하는 책임을 가지고 있다. 평가를 위한 기준 사양은 다양하며 여러 요인에 따라 달라질 수 있으며 감사 사양은 CSP, 클라우드 감사자 또는 독립적으로 설정된 표준에 의해 설정된다.

ISO/IEC 17789의 8.4.1.2절에 설명된 클라우드 서비스 감사는 지정된 감사 기준 세트에 대해 CSC의 시스템별 제어를 평가하여 충족되었는지 확인한다. 기준사양은 다양하며 여러 요인에 따라 달라질 수 있는데, 감사 사양은 CSP, 클라우드 감사자가 설정하거나 독립적인 타사 표준 또는 법률에서 요구하는 대로 결정할 수 있다.

CSC 또는 CSC가 계약한 외부 제삼자는 외부 감사를 수행할 수 있으며 CSP에 대한 제2자 감사, 그리고 CSC는 CSP의 제삼자로부터 혜택을 받을 수 있다.

클라우드 컴퓨팅의 사용은 CSP의 광범위한 지원과 사용자 및 고객의 광범위한 채택을 기반으로 증가 및 확장되고 있는 동시에 시스템은 더 많은 상호 연결성에 적응하고 있다. 위험 평가, 거버넌스 및 관리의 복잡성과 과제가 증가하는데, 클라우드 감사자와 감사의 역할은 그 어느 때보다 중요하고 관련성이 높아졌고 감사는 CSC를 도울 수 있다.

사용자는 자신의 비즈니스 임무를 지원하기 위해 클라우드 컴퓨팅 환경을 구축할 때 설계 및 전략을 이해하고 우선순위를 지정한다. 동시에 클라우드 서비스 감사는 CSP가 성능 및 보안에 대한 상세하고 자동화된 정보를 CSC 및 사용자와 공유할 수 있는 수단을 제공한다.

클라우드 감사자는 보안, 개인 정보 보호, 데이터 무결성, 계약 명확성 및 보호, 비즈니스 연속성, 프로세스 및 시스템 안정성, 새로운 비즈니스 프로세스의 효과/효율성, 구성을 통합하는 위험, 취약성, 영향 및 실행 계획을 식별하기 위한 매트릭스를 정의한다.

 

2.2 클라우드 감사자의 책임(Responsibilities of a cloud auditor)

클라우드 감사자의 책임은 다음과 같다.

- 합의된 사양, 정책 및 계약에 대한 감사 수행

? 사양은 CSP, 클라우드 감사자가 정의한 표준, 독립적으로 정의된 표준 또는 법률에서 요구하는 표준일 수 있다.

? CSP의 인프라 및 서비스 감사를 위해 CSP에서 정책을 설정한다.

? 계약은 협상 된 CSA 또는 클라우드 SLA를 기반으로 한다.

ISO/IEC 17789, A4는 클라우드 감사자의 활동에 다음과 같은 감사 범주(ISO/IEC 17789, A.4.1)가 포함되도록 지정하고 있다.

- 보안 감사: 클라우드 보안, 시스템 보안 및 정보 보안 관리 및 감사가 포함

- 개인 정보 감사

- 성능 감사: 클라우드 SLA에 명시된 대로 클라우드 서비스에 대해 지정된 성능 목표를 충족하는 CSP의 능력을 평가

감사를 효과적이고 신뢰할 수 있는 도구로 만드는 데 도움이 되는 여러 원칙이 있습. 원칙은 무결성, 공정한 표현, 적절한 전문적 관리, 기밀성, 독립성, 증거 기반 접근 방식 및 위험 기반 접근 방식과 같은 책임을 수행하는 데 있어 클라우드 감사자에게 중요한 지침을 제공한다. 또한 투명성, 보증 및 책임 사이의 관계를 이해하는 것이 관련 기여자이다.

 

2.3 클라우드 감사자와 CSP, CSC 및 CSN 간의 관계 및 상호 작용

클라우드 감사자는 CSC 및 CSP와 상호 작용을 하게 되는데, 책임을 수행함에 있어 클라우드 감사자는 클라우드 서비스 개발자 및 클라우드 서비스 브로커와 같은 다른 CSN과 불가피하게 상호 작용을 한다. 감사 결과의 목적에 따라 클라우드 감사자는 CSC, CSP 또는 감사 클라이언트와 협력하고 필요한 표준 및 법률에 맞게 감사 사양을 조정해야 한다.

ISO/IEC 23187은 클라우드 감사자가 감사 목표 계획의 일부로 클라우드 서비스의 사용 또는 제공과 관련하여 수행된 활동을 식별해야 하는 클라우드 컴퓨팅 환경에서 몇 가지 예시적인 시나리오를 제시하고 있으며 ISO/IEC 17788, ISO/IEC 17789 및 ISO/IEC 22123-1은 클라우드 서비스를 제공하는 책임을 CSP에 명시적으로 할당하고 있다. 클라우드 감사자는 독립적으로 또는 감사팀의 구성원으로 작업이 가능한데, 감사팀은 조직의 감사 프로세스, 활동, 기능 또는 위치 및 적절한 경우 의사 결정 권한을 책임지는 내부 감사를 위해 조직 내부에 구성될 수도 있다.

 



 

3. 감사, 평가, 규정 준수, 평가 및 보증의 차이점(Differences between audit, assessment, compliance, evaluation and assurance)

먼저 클라우드 서비스 개요에서는 감사, 평가, 규정 준수, 평가 및 보증의 차이점을 설명하고 있다. ISO 9000에서 편집된 버전인 ISO 19011에 정의된 감사는 체계적이고 독립적이며 문서화 된 프로세스를 사용하여 객관적인 증거를 얻는다. 증거는 감사를 위해 설정된 기준을 충족하는지 여부를 결정하기 위해 공정하게 평가된다. 평가를 생성하는 프로세스에는 감사가 포함될 수 있지만 그 목적은 진술의 공정성 또는 성과의 질에 대한 의견, 즉 결정을 표현한다. 평가는 반드시 일정 기간 동안이 아니라 특정 시점에 수행할 수 있다. 감사 결과 및 결론은 합리적인 "보증"을 유지하는 증거를 제공하는데, 보증의 핵심은 "클레임이 달성되었거나 달성될 것이라는 정당한 신뢰이다. 규정 준수 활동은 정의된 기준 표준을 기반으로 하며 본질적으로 보장하기 위한 것이 아니다. 시스템, 네트워크 또는 자산이 보증 수준을 충족하는지 확인한다. 정책을 준수하고 보증을 받을 수 있는 능력을 포함하는 준수 및 보증을 포함하는 혼합 접근 방식은 위험에 대한 이해 수준에 대한 진정한 평가를 제공한다. 클라이언트와 독립적인 감사 조직에서 수행하는 인증 감사 당사자는 필요한 보증 봉인을 하고 증명 및 승인을 위한 단계를 설정한다. 승인은 지정된 활동에 권한을 부여하는 프로세스이며 일반적으로 인증된 프로세스와 결합될 수 있다. Fig. 3은 이러한 프로세스의 관계를 보여 준다.

증명은 타사 제품에 대한 인증 역할을 한다. 입증은 리뷰 이후의 결정을 기반으로 특정 요구 사항의 충족이 입증되었다는 진술의 발행으로 충족된다. CSP가 CSC 또는 그 대리인이 시설 또는 서비스에 대한 현장 감사를 수행하는 것을 허용하지 않는 경우, CSP는 독립된 제3자로부터 증명 또는 감사 보고서를 제공할 수 있다.

그림2

출처: ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Servicess


 

* 이 문서는 ISO/IEC JTC1 /SC38/WG 3에서 Technical Report로 진행중인 「ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services」를 토대로 작성되었음.



 

참 고 문 헌

  2. 서광규, 클라우드 감사(audit) 및 컴플라이언스(compliance)의 개념 및 알아야 할 사항, 2020.
  3. ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services, July 2020.
  4. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
  5. ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.






저작권정책

K-ICT 클라우드혁신센터의 저작물인 『ISO/IEC 국제 표준화 기구에서의 클라우드 서비스 감사 - 1부』는 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.