20. ISOIEC 국제 표준화 기구에서의 클라우드 서비스 감사 2부


 

?상명대학교 / 서광규 교수


 

클라우드 서비스 감사는 클라우드 서비스 제공자(CSP)가 성능 및 보안 등에 대한 상세하고 자동화된 정보를 클라우드 공급자 소비자(CSC) 및 사용자와 공유할 수 있는 수단을 제공하기 위해 수행된다. 클라우드 컴퓨팅에서도 클라우드 서비스 감사의 중요성을 인지하여 ISO/IEC JTC 1/SC 38에서는 2020년 현재 ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services라는 Technical Report를 작성하고 있다.

본 고에서는 현재 ISO/IEC에서 Technical Report를 작성중인 클라우드 서비스 감사 표준화 문서의 주요 내용중 제2부 내용을 기술하기로 한다. 제2부에서는 클라우드 서비스 감사 개요, 감사사양, 적합성 평가에 대하여 설명한다.



 

4. 클라우드 서비스 감사 개요(Overview of audit of cloud services)

 

4.1 클라우드 서비스 감사의 목적(Objectives of the audit of cloud service)

 

클라우드 서비스 감사는 객관적인 증거를 확보하고 증거 평가를 용이하게 한다. 수행되는 감사에는 보안, 개인 정보 영향 및 성능이 포함된다. 클라우드 서비스 감사는 일반적으로 다음 사항을 다룬다 (클라우드 감사자가 누구에게 책임이 있는지에 따라 이 일반 목록의 모든 항목이 적용되는 것은 아니다).

- 운영, 성능 및 보안

- 지정된 감사 기준 세트가 충족되는지 검사

- 클라우드 컴퓨팅의 기본 사항 및 영향

- 다양한 유형의 클라우드 컴퓨팅 아키텍처 및 서비스 제공 모델

- 다양한 클라우드 서비스

- 클라우드 컴퓨팅 아키텍처 채택에 대한 도전과 보안 위협

- 클라우드 서비스 사용과 관련된 보안 위험 평가

- 다른 연결된 서비스 및 장치

- 클라우드 거버넌스 및 클라우드 보안

? 보안 통제 식별 및 유지

? CSC와 CSP 간의 보안 공유 책임 균형

? CSC의 책임을 이해하고 핵심 클라우드 보안 제어 세트 배포

? 클라우드 컴퓨팅 환경에서 민감한 데이터를 보호하기 위한 규정 요구 사항 충족

- 공급 업체 관리 및 서비스 유지 역할

- 거버넌스 정책 및 프로세스

- 외부 인증 예외

- 규정 준수 및 법적 절차

클라우드 서비스 감사는 클라우드 서비스 사용자(CSU) 및 CSC에게 실질적인 가치를 제공하며 모든 유형 및 규모의 조직에 적용된다.

 

4.2 메트릭 및 보안 매개 변수 정의(Define metrics and security parameters)

메트릭 정의에는 당사자 논의, 시나리오 및 사용량 메트릭에서 그들이 수행하는 역할 식별 및 정보 보안 조치 구현이 포함된다. 클라우드 서비스를 사용하는 CSC는 클라우드 SLA에 설명된 서비스 품질 및 기타 보증에 사용되는 메트릭을 이해해야 한다. CSP의 활동은 클라우드 서비스를 제공하고 서비스 수준 목표 및 서비스 질적 목표를 측정하기 위한 메트릭 사용을 필요로 한다. 클라우드 서비스의 제공 및 사용에 대한 감사 활동을 수행하는 클라우드 감사자는 수행된 측정에 대한 세부 정보를 제공하기 위해 일반적이고 명확한 메트릭 표현을 사용한다. CSP, CSC 및 CSN 외에도 규제 기관 및 정책 입안자와 같은 다른 역할은 클라우드 서비스 사용에 대한 매개 변수 및 관련 메트릭을 설정한다.

메트릭은 측정을 수행하고 측정 결과를 이해하기 위한 조건과 규칙을 정의하는 측정 표준으로 ISO/IEC 22123-1, 3.8.9에 정의되어 있다. ISO/IEC 19086-2는 클라우드 서비스 수준 계약 (SLA)에 대한 메트릭을 지정하기 위한 모델을 정의하도록 특별히 범위가 지정된다. 정의에 설명된 대로 메트릭은 측정하려는 항목에 초점을 맞추고 측정을 지원하는 데이터는 쉽게 얻을 수 있어야 하며 측정 가능한 정보를 산출할 수 있어야 한다.

메트릭 정의는 "무언가"를 측정하고 추적해야하는 대상과 방법을 설명한다. 메트릭 정의를 개발할 때 의도된 사용자, 의도된 목적 및 메트릭이 사용되는 방법에 따라 다르다. 메트릭 정의는 논리적이고 구체적이어야 하며 비교 가능하고 적용 가능해야한다. 메트릭 및 메트릭 정의 설정은 클라우드 서비스 감사 계획과 통합될 수 있다. 감사의 목적에 따라 메트릭 정의는 CSP, CSC 및 CSN을 비롯한 여러 당사자가 사용할 수 있다. ISO/IEC 19086-2에 설명된 잘 정의된 메트릭 정의는 메트릭을 비교하고 평가할 때 혼란을 완화하는 데 도움이 된다.

ISO/IEC 27002에 명시된 바와 같이 정보 보안 관리 시스템 (ISMS)을 구현하는 과정에서 통제를 선택하는 데 많은 노력을 기울이고 있다. 정보 보안 조치는 의사 결정을 지원하고 관련 정보의 수집, 분석 및 보고를 통해 성과 및 책임을 개선하는 데 필요하다. 성능 관련 데이터. 보안 제어의 구현, 효율성 및 효과를 조직의 비즈니스 미션 활동 성공에 연결하는 수단을 제공한다.

 

4.3 내부 및 외부감사(Internal and external audit)

내부 감사는 조직의 직원이나 조직에서 고용 한 사람이 수행 할 수 있다. 내부 감사를 수행하는 사람은 고객 또는 인증기관이 아닌 조직을 대신하여 행동한다. 내부 감사에는 아웃소싱 관계의 이점을 최적화하기 위해 완화해야 할 위험 식별, 특히 타사 규정 준수를 위해 클라우드 서비스가 발전함에 따라 위험을 평가하고 관리할 수 있는 위치가 포함될 수 있다.

조직이 다른 조직의 감사를 수행할 수 있는데 이를 외부 감사라고 한다. 계약에 지정된 요구 사항을 충족하는지 확인하기 위해 CSP, 요구 사항에는 조직이 전략, 운영, 재무 및 규정 준수 목표를 달성하는 데 도움이 되도록 설계된 거버넌스, 위험 관리 및 제어 프로세스의 효과를 평가하고 보고하는 내부 감사와 유사한 영역이 포함될 수 있다. 외부 감사는 2차 감사라고도 하며 감사 대상 조직에서 제출한 문서를 검토하여 현장 또는 외부에서 수행할 수 있다. 조직은 CSP가 제삼자 감사에 의해 인증된 경우에도 CSP의 외부 감사를 요청할 수 있다. 외부 감사를 받을 때 조직은 조직의 요구 사항을 충족하고 계약 요소를 결정하기 위해 CSP 기능을 더 잘 이해하려고 한다.

내부 및 외부 감사 프로세스는 Fig. 4와 같다.

 

그림1

<출처: ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services>


 

4.4 보안통제(Security controls assessment)

ISO/IEC 27017은 클라우드 서비스의 제공 및 사용에 적용할 수 있는 정보 보안 제어에 대한 지침을 제공하며 특히 클라우드 서비스와 관련된 구현 지침 및 ISO/IEC 27002에 지정된 관련 제어에 대한 추가 구현 지침과 함께 추가 제어를 포함한다. ISO/IEC 27007은 ISO 19011 : 2011에 포함된 지침 외에도 정보 보안 관리 시스템 (ISMS) 감사 프로그램 관리, 감사 수행 및 ISMS 감사자의 역량에 대한 지침을 포함한다.

클라우드 기반 정보 시스템과 관련된 몇 가지 고려 사항은 다음과 같은데, 감사자는 CSC와 CSP의 보안 제어를 평가해야 한다. CSC는 CSP의 보안 제어를 상속한다고 가정해서는 안 된다.

- 클라우드 서비스 공급자의 보안 인증 패키지에는 클라우드 고객이 구현할 것으로 예상되는 제어 목록이 포함되어야 한다. 클라우드 고객은 이 목록을 검토하고, 클라우드 서비스를 사용하는 상황을 고려하고, 클라우드 고객의 전체 또는 일부 책임인 보안 제어 목록을 준비해야 한다. 클라우드 감사자는 클라우드 고객 책임 매트릭스를 검토하여 이를 검증해야 한다. 클라우드 제공 업체의 보안 인증 패키지를 제공하고 클라우드 고객의 책임으로 식별되는 제어 감사에 중점을 둔다.

- 감사자는 "구성"에 특별한 주의를 기울이고 CSC가 클라우드 서비스에 적용한 보안을 위해 이러한 구성을 감사해야 한다. 이러한 구성은 CSC의 요구 사항을 충족하도록 보안을 구성하기 위해 CSP가 제공하는 옵션과 연결된다. 그러나 이러한 옵션을 설정하려면 CSC가 시스템을 적절하게 구성해야 하며 제어의 구성 관리 제품군에 따라 CSC에서 관리해야 한다.

- 감사인은 사용자 인증에 사용되는 기술과 디지털 ID의 보증 수준에 특별한 주의를 기울여야 한다. 클라우드 시스템의 모든 사용자는 공유 매체를 통해 인증하는 “원격”사용자이다. 따라서 클라우드 애플리케이션의 중요도에 상응하는 보증과 함께 디지털 ID 자격 증명을 활용하는 다단계 인증 메커니즘을 활용하는 것이 중요하다.

- 개인정보(Pll) 또는 기타 민감한 데이터가 클라우드 컴퓨팅 시스템에 저장될 때 CSC는 데이터가 암호화되어 전송 중이고 암호화 키가 데이터 노출 위험에 상응하는 방식으로 관리되고 있음을 입증해야 한다. 예를 들어 매우 민감한 데이터의 경우 스토리지 서비스를 제공하는 CSP에서 암호화 키를 관리해서는 안 된다.

- 감사자는 클라우드 컴퓨팅 시스템에 대한 CSC의 비상 계획을 검토해야 한다. 사고 대응 계획은 클라우드 시스템 구현에서 발생할 수 있는 사고가 식별될 때 CSC가 무엇을 해야 하는지 아는 것이 특히 중요하다.



 

5. 감사 사양(Audit specifications)

 

클라우드 서비스 감사를 지원하는 다양한 표준문서들이 있는데, 감사를 위해서는 이러한 표준문서를 사용하는 것이 필요하다. Table 1은 감사와 연관된 국제문서 표준을 사례를 보여주고 있다. 감사, 관리 시스템 감사, 감사 및 인증에 대한 지침을 다루는 여러 게시된 문서를 고려해야하지만 이러한 문서는 클라우드 서비스 감사에 국한되지는 않는다. 이 문서의 의도는 정보는 클라우드 서비스 감사에 초점을 맞추고 클라우드 서비스 감사를 수행하는 CSC, CSP 및 CSN의 활동과 책임에 대한 해당 정보를 강화하는 것이다.

그리고 감사에서는 필수 법률, 규정 및 정부 요구 사항(부문/산업)을 고려해야 한다. 개인 정보 보호(예: GDPR) 또는 산업별 규정(예 : 금융 서비스 및 은행 규정)과 같은 일반 규정 준수 여부를 확인하기 위해 감사가 필요할 수도 있다.

또한 정책측면에서는 국경을 넘는 데이터 흐름, 데이터 보호, 개인 정보 보호, 위험 관리, 사고 대응, 신원 및 액세스 관리 등을 포함해야 한다.

그림2

<출처: ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services>


 



 

6. 적합성 평가(Conformity Assessment)

 

적합성 평가는 ISO/IEC 17000에서 "제품, 프로세스, 시스템, 사람 또는 신체와 관련된 특정 요구 사항이 충족되었다는 증명"으로 정의된다. 적합성 평가 절차는 생산 또는 운영되는 제품, 서비스 또는 시스템이 필수 특성과 이러한 특성이 제품마다, 서비스와 서비스 또는 시스템마다 일관되어야 한다. 적합성 평가에는 샘플링 및 테스트, 검사, 공급자의 적합성 선언, 인증 및 관리 시스템 평가 및 등록이 포함되고 여기에는 인증도 포함된다. ISO/IEC Directives, Part 2, 18, 33은 적합성 평가 측면에 기여하는 측정 및 테스트 방법에 대한 참조 및 정보에 대한 지침을 제공하는데, 클라우드 서비스 감사에서도 이러한 표준문서의 정의를 사용하면 된다. ISO/IEC 20000 시리즈는 관리 방법, 서비스 관리 프레임 워크 및 방법론, 적합성 평가 수행 및 서비스 품질 보증과 관련된 요구 사항 지정을 포함한 서비스 관리 방법에 대한 광범위한 논의와 실제 가이드를 제공한다.

 



 

7. 결언

 

클라우드 서비스의 사용이 증가하면서 클라우드 서비스의 성능, 보안 등의 감사 중요성이 증가하고 있다. 이러한 추세에 맞추어 ISO/IEC JTC 1/SC 38에서는 2020년 현재 ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services라는 Technical Report를 작성하고 있다.

본 고에서는 현재 표준문서로 작성 중인 기술문서인 클라우드 서비스 감사를 설명하였는데 이 문서는 향후 클라우드 서비스 감사에 다양하게 참조될 것으로 판단된다.

 



* 이 문서는 ISO/IEC JTC1 /SC38/WG 3에서 Technical Report로 진행중인 「ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services」를 토대로 작성되었음.



 

참 고 문 헌

  2. 서광규, 클라우드 감사(audit) 및 컴플라이언스(compliance)의 개념 및 알아야 할 사항, 2020.
  3. ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services, July 2020.
  4. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
  5. ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.




20. ISOIEC 국제 표준화 기구에서의 클라우드 서비스 감사 2부


 

?상명대학교 / 서광규 교수


 

클라우드 서비스 감사는 클라우드 서비스 제공자(CSP)가 성능 및 보안 등에 대한 상세하고 자동화된 정보를 클라우드 공급자 소비자(CSC) 및 사용자와 공유할 수 있는 수단을 제공하기 위해 수행된다. 클라우드 컴퓨팅에서도 클라우드 서비스 감사의 중요성을 인지하여 ISO/IEC JTC 1/SC 38에서는 2020년 현재 ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services라는 Technical Report를 작성하고 있다.

본 고에서는 현재 ISO/IEC에서 Technical Report를 작성중인 클라우드 서비스 감사 표준화 문서의 주요 내용중 제2부 내용을 기술하기로 한다. 제2부에서는 클라우드 서비스 감사 개요, 감사사양, 적합성 평가에 대하여 설명한다.



 

4. 클라우드 서비스 감사 개요(Overview of audit of cloud services)

 

4.1 클라우드 서비스 감사의 목적(Objectives of the audit of cloud service)

 

클라우드 서비스 감사는 객관적인 증거를 확보하고 증거 평가를 용이하게 한다. 수행되는 감사에는 보안, 개인 정보 영향 및 성능이 포함된다. 클라우드 서비스 감사는 일반적으로 다음 사항을 다룬다 (클라우드 감사자가 누구에게 책임이 있는지에 따라 이 일반 목록의 모든 항목이 적용되는 것은 아니다).

- 운영, 성능 및 보안

- 지정된 감사 기준 세트가 충족되는지 검사

- 클라우드 컴퓨팅의 기본 사항 및 영향

- 다양한 유형의 클라우드 컴퓨팅 아키텍처 및 서비스 제공 모델

- 다양한 클라우드 서비스

- 클라우드 컴퓨팅 아키텍처 채택에 대한 도전과 보안 위협

- 클라우드 서비스 사용과 관련된 보안 위험 평가

- 다른 연결된 서비스 및 장치

- 클라우드 거버넌스 및 클라우드 보안

? 보안 통제 식별 및 유지

? CSC와 CSP 간의 보안 공유 책임 균형

? CSC의 책임을 이해하고 핵심 클라우드 보안 제어 세트 배포

? 클라우드 컴퓨팅 환경에서 민감한 데이터를 보호하기 위한 규정 요구 사항 충족

- 공급 업체 관리 및 서비스 유지 역할

- 거버넌스 정책 및 프로세스

- 외부 인증 예외

- 규정 준수 및 법적 절차

클라우드 서비스 감사는 클라우드 서비스 사용자(CSU) 및 CSC에게 실질적인 가치를 제공하며 모든 유형 및 규모의 조직에 적용된다.

 

4.2 메트릭 및 보안 매개 변수 정의(Define metrics and security parameters)

메트릭 정의에는 당사자 논의, 시나리오 및 사용량 메트릭에서 그들이 수행하는 역할 식별 및 정보 보안 조치 구현이 포함된다. 클라우드 서비스를 사용하는 CSC는 클라우드 SLA에 설명된 서비스 품질 및 기타 보증에 사용되는 메트릭을 이해해야 한다. CSP의 활동은 클라우드 서비스를 제공하고 서비스 수준 목표 및 서비스 질적 목표를 측정하기 위한 메트릭 사용을 필요로 한다. 클라우드 서비스의 제공 및 사용에 대한 감사 활동을 수행하는 클라우드 감사자는 수행된 측정에 대한 세부 정보를 제공하기 위해 일반적이고 명확한 메트릭 표현을 사용한다. CSP, CSC 및 CSN 외에도 규제 기관 및 정책 입안자와 같은 다른 역할은 클라우드 서비스 사용에 대한 매개 변수 및 관련 메트릭을 설정한다.

메트릭은 측정을 수행하고 측정 결과를 이해하기 위한 조건과 규칙을 정의하는 측정 표준으로 ISO/IEC 22123-1, 3.8.9에 정의되어 있다. ISO/IEC 19086-2는 클라우드 서비스 수준 계약 (SLA)에 대한 메트릭을 지정하기 위한 모델을 정의하도록 특별히 범위가 지정된다. 정의에 설명된 대로 메트릭은 측정하려는 항목에 초점을 맞추고 측정을 지원하는 데이터는 쉽게 얻을 수 있어야 하며 측정 가능한 정보를 산출할 수 있어야 한다.

메트릭 정의는 "무언가"를 측정하고 추적해야하는 대상과 방법을 설명한다. 메트릭 정의를 개발할 때 의도된 사용자, 의도된 목적 및 메트릭이 사용되는 방법에 따라 다르다. 메트릭 정의는 논리적이고 구체적이어야 하며 비교 가능하고 적용 가능해야한다. 메트릭 및 메트릭 정의 설정은 클라우드 서비스 감사 계획과 통합될 수 있다. 감사의 목적에 따라 메트릭 정의는 CSP, CSC 및 CSN을 비롯한 여러 당사자가 사용할 수 있다. ISO/IEC 19086-2에 설명된 잘 정의된 메트릭 정의는 메트릭을 비교하고 평가할 때 혼란을 완화하는 데 도움이 된다.

ISO/IEC 27002에 명시된 바와 같이 정보 보안 관리 시스템 (ISMS)을 구현하는 과정에서 통제를 선택하는 데 많은 노력을 기울이고 있다. 정보 보안 조치는 의사 결정을 지원하고 관련 정보의 수집, 분석 및 보고를 통해 성과 및 책임을 개선하는 데 필요하다. 성능 관련 데이터. 보안 제어의 구현, 효율성 및 효과를 조직의 비즈니스 미션 활동 성공에 연결하는 수단을 제공한다.

 

4.3 내부 및 외부감사(Internal and external audit)

내부 감사는 조직의 직원이나 조직에서 고용 한 사람이 수행 할 수 있다. 내부 감사를 수행하는 사람은 고객 또는 인증기관이 아닌 조직을 대신하여 행동한다. 내부 감사에는 아웃소싱 관계의 이점을 최적화하기 위해 완화해야 할 위험 식별, 특히 타사 규정 준수를 위해 클라우드 서비스가 발전함에 따라 위험을 평가하고 관리할 수 있는 위치가 포함될 수 있다.

조직이 다른 조직의 감사를 수행할 수 있는데 이를 외부 감사라고 한다. 계약에 지정된 요구 사항을 충족하는지 확인하기 위해 CSP, 요구 사항에는 조직이 전략, 운영, 재무 및 규정 준수 목표를 달성하는 데 도움이 되도록 설계된 거버넌스, 위험 관리 및 제어 프로세스의 효과를 평가하고 보고하는 내부 감사와 유사한 영역이 포함될 수 있다. 외부 감사는 2차 감사라고도 하며 감사 대상 조직에서 제출한 문서를 검토하여 현장 또는 외부에서 수행할 수 있다. 조직은 CSP가 제삼자 감사에 의해 인증된 경우에도 CSP의 외부 감사를 요청할 수 있다. 외부 감사를 받을 때 조직은 조직의 요구 사항을 충족하고 계약 요소를 결정하기 위해 CSP 기능을 더 잘 이해하려고 한다.

내부 및 외부 감사 프로세스는 Fig. 4와 같다.

 

그림1

<출처: ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services>


4.4 보안통제(Security controls assessment)

ISO/IEC 27017은 클라우드 서비스의 제공 및 사용에 적용할 수 있는 정보 보안 제어에 대한 지침을 제공하며 특히 클라우드 서비스와 관련된 구현 지침 및 ISO/IEC 27002에 지정된 관련 제어에 대한 추가 구현 지침과 함께 추가 제어를 포함한다. ISO/IEC 27007은 ISO 19011 : 2011에 포함된 지침 외에도 정보 보안 관리 시스템 (ISMS) 감사 프로그램 관리, 감사 수행 및 ISMS 감사자의 역량에 대한 지침을 포함한다.

클라우드 기반 정보 시스템과 관련된 몇 가지 고려 사항은 다음과 같은데, 감사자는 CSC와 CSP의 보안 제어를 평가해야 한다. CSC는 CSP의 보안 제어를 상속한다고 가정해서는 안 된다.

- 클라우드 서비스 공급자의 보안 인증 패키지에는 클라우드 고객이 구현할 것으로 예상되는 제어 목록이 포함되어야 한다. 클라우드 고객은 이 목록을 검토하고, 클라우드 서비스를 사용하는 상황을 고려하고, 클라우드 고객의 전체 또는 일부 책임인 보안 제어 목록을 준비해야 한다. 클라우드 감사자는 클라우드 고객 책임 매트릭스를 검토하여 이를 검증해야 한다. 클라우드 제공 업체의 보안 인증 패키지를 제공하고 클라우드 고객의 책임으로 식별되는 제어 감사에 중점을 둔다.

- 감사자는 "구성"에 특별한 주의를 기울이고 CSC가 클라우드 서비스에 적용한 보안을 위해 이러한 구성을 감사해야 한다. 이러한 구성은 CSC의 요구 사항을 충족하도록 보안을 구성하기 위해 CSP가 제공하는 옵션과 연결된다. 그러나 이러한 옵션을 설정하려면 CSC가 시스템을 적절하게 구성해야 하며 제어의 구성 관리 제품군에 따라 CSC에서 관리해야 한다.

- 감사인은 사용자 인증에 사용되는 기술과 디지털 ID의 보증 수준에 특별한 주의를 기울여야 한다. 클라우드 시스템의 모든 사용자는 공유 매체를 통해 인증하는 “원격”사용자이다. 따라서 클라우드 애플리케이션의 중요도에 상응하는 보증과 함께 디지털 ID 자격 증명을 활용하는 다단계 인증 메커니즘을 활용하는 것이 중요하다.

- 개인정보(Pll) 또는 기타 민감한 데이터가 클라우드 컴퓨팅 시스템에 저장될 때 CSC는 데이터가 암호화되어 전송 중이고 암호화 키가 데이터 노출 위험에 상응하는 방식으로 관리되고 있음을 입증해야 한다. 예를 들어 매우 민감한 데이터의 경우 스토리지 서비스를 제공하는 CSP에서 암호화 키를 관리해서는 안 된다.

- 감사자는 클라우드 컴퓨팅 시스템에 대한 CSC의 비상 계획을 검토해야 한다. 사고 대응 계획은 클라우드 시스템 구현에서 발생할 수 있는 사고가 식별될 때 CSC가 무엇을 해야 하는지 아는 것이 특히 중요하다.



 

5. 감사 사양(Audit specifications)

 

클라우드 서비스 감사를 지원하는 다양한 표준문서들이 있는데, 감사를 위해서는 이러한 표준문서를 사용하는 것이 필요하다. Table 1은 감사와 연관된 국제문서 표준을 사례를 보여주고 있다. 감사, 관리 시스템 감사, 감사 및 인증에 대한 지침을 다루는 여러 게시된 문서를 고려해야하지만 이러한 문서는 클라우드 서비스 감사에 국한되지는 않는다. 이 문서의 의도는 정보는 클라우드 서비스 감사에 초점을 맞추고 클라우드 서비스 감사를 수행하는 CSC, CSP 및 CSN의 활동과 책임에 대한 해당 정보를 강화하는 것이다.

그리고 감사에서는 필수 법률, 규정 및 정부 요구 사항(부문/산업)을 고려해야 한다. 개인 정보 보호(예: GDPR) 또는 산업별 규정(예 : 금융 서비스 및 은행 규정)과 같은 일반 규정 준수 여부를 확인하기 위해 감사가 필요할 수도 있다.

또한 정책측면에서는 국경을 넘는 데이터 흐름, 데이터 보호, 개인 정보 보호, 위험 관리, 사고 대응, 신원 및 액세스 관리 등을 포함해야 한다.

그림2

<출처: ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services>


 



 

6. 적합성 평가(Conformity Assessment)

 

적합성 평가는 ISO/IEC 17000에서 "제품, 프로세스, 시스템, 사람 또는 신체와 관련된 특정 요구 사항이 충족되었다는 증명"으로 정의된다. 적합성 평가 절차는 생산 또는 운영되는 제품, 서비스 또는 시스템이 필수 특성과 이러한 특성이 제품마다, 서비스와 서비스 또는 시스템마다 일관되어야 한다. 적합성 평가에는 샘플링 및 테스트, 검사, 공급자의 적합성 선언, 인증 및 관리 시스템 평가 및 등록이 포함되고 여기에는 인증도 포함된다. ISO/IEC Directives, Part 2, 18, 33은 적합성 평가 측면에 기여하는 측정 및 테스트 방법에 대한 참조 및 정보에 대한 지침을 제공하는데, 클라우드 서비스 감사에서도 이러한 표준문서의 정의를 사용하면 된다. ISO/IEC 20000 시리즈는 관리 방법, 서비스 관리 프레임 워크 및 방법론, 적합성 평가 수행 및 서비스 품질 보증과 관련된 요구 사항 지정을 포함한 서비스 관리 방법에 대한 광범위한 논의와 실제 가이드를 제공한다.

 



 

7. 결언

 

클라우드 서비스의 사용이 증가하면서 클라우드 서비스의 성능, 보안 등의 감사 중요성이 증가하고 있다. 이러한 추세에 맞추어 ISO/IEC JTC 1/SC 38에서는 2020년 현재 ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services라는 Technical Report를 작성하고 있다.

본 고에서는 현재 표준문서로 작성 중인 기술문서인 클라우드 서비스 감사를 설명하였는데 이 문서는 향후 클라우드 서비스 감사에 다양하게 참조될 것으로 판단된다.

 



* 이 문서는 ISO/IEC JTC1 /SC38/WG 3에서 Technical Report로 진행중인 「ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services」를 토대로 작성되었음.



 

참 고 문 헌

  2. 서광규, 클라우드 감사(audit) 및 컴플라이언스(compliance)의 개념 및 알아야 할 사항, 2020.
  3. ISO/IEC TR (WD) 3445: V13-2020 July, Information Technology - Cloud Computing - Audit of Cloud Services, July 2020.
  4. ISO/IEC 17788:2014 , Information technology - Cloud computing - Overview and vocabulary.
  5. ISO/IEC 17789:2014, Information technology - Cloud computing - Reference architecture.






저작권정책

K-ICT 클라우드혁신센터의 저작물인 『ISO/IEC 국제 표준화 기구에서의 클라우드 서비스 감사 - 2부』는 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.