04. 클라우드 감사 및 컴플라이언스

상명대학교 / 서광규 교수


 

지난 10년 동안 클라우드 컴퓨팅이 확산되고 인식이 높아짐에 따라, 이러한 자원을 통제하는 데 사용되는 표준의 성숙도도 높아졌다. 이 글은 클라우드 컴퓨팅 감사, 클라우드 컴퓨팅 감사 및 클라우드 컴플라이언스 이해의 범위, 그리고 예상해야 할 감사 단계를 설명하기로 한다.



클라우드 감사(audit)란?


일반적으로 감사란 제3자 독립 단체가 조사, 물리적 검사, 관찰, 확인, 분석 절차 및재실행을 통해 증거를 얻기 위해 관여하는 것을 말한다.

클라우드 컴퓨팅 감사에서는 다음 영역에서 식별된 제어의 설계 및 운영 효율성에 대한 의견을 형성하기 위해 이러한 단계의 변형이 완료된다.

 

- 커뮤니케이션

- 보안사고

- 네트워크 보안

- 시스템 개발 또는 변경 관리

- 위기 관리

- 데이터 관리

- 취약성 및 치료 관리

- 투명성과 윤리적 행동에 대한 최고 또는 리더십 노력



클라우드 컴플라이언스(compliance)란?


클라우드 컴플라이너스는 특정 유형의 인증 또는 프레임 워크를 충족시키는 데 필요한 요구 사항 또는 기준을 충족한다. 산업, 제안 요청, 클라이언트 등에 의해 요구 될 수 있는 다양한 유형의 컴플라이언스가 있다. 클라우드 보안 및 규정 준수 요구 사항의 유형은 조직에 적합한 클라우드 규정 준수를 결정하는 데 도움이 된다.

다른 클라우드 규정 준수 프로그램에는 FedRAMP, CSA(Cloud Security Alliance), HITRUST, ISO 27017 및 PCI가 포함된다.



클라우드 컴퓨팅의 감사란 무엇이며 감사 목표는 무엇인가?


클라우드 보안 및 컴플라이언스 감사 계획 및 실행 단계에서는 감사의 목표가 무엇인지를 명확히 이해하는 것이 중요하다. 기업은 사업목표를 감사목표와 일치시키기 위해 노력해야 한다. 이렇게 하면 소비되는 시간과 자원이 강력한 내부 통제 환경을 달성하고 적격 의견의 위험을 낮추는 데 도움이 될 것이다.

감사원들은 그들이 얻은 증거를 결론짓는 방법으로 목표를 사용한다. 아래는 감사원과 기업이 모두 사용할 수 있는 클라우드 컴퓨팅 목표의 예시 목록이다.

 

- 전략적 IT 계획 정의: IT 자원의 사용은 회사의 비즈니스 전략과 일치해야 한다. 이 목표를 정의 할 때 중요한 비즈니스 고려 사항에는 강력한 비즈니스 사례가 IT 투자를 지원하는지 여부와 새로운 IT 투자를 출시하는 동안 필요한 교육이 포함되어야 한다.

- 정보 아키텍처 정의: 정보 아키텍처에는 정보의 무결성과 보안을 보호하는 데 필요한 네트워크, 시스템 및 보안 요구 사항이 포함된다. 정보가 저장 중이거나 전송 중이거나 처리 중인지 여부가 포함된다.

- IT 프로세스, 조직 및 관계 정의: 보다 안정적인 IT 환경을 위해 문서화되고 표준화되고 반복 가능한 프로세스를 만든다. 기업은 조직 구조, 역할 및 책임, 시스템 소유권, 위험 관리, 정보 보안, 업무 분리, 변경 관리, 사고 관리 및 재해 복구를 포함하는 정책 및 절차를 만드는 데 중점을 두어야 한다.

- 커뮤니케이션 목표 및 방향: 경영진은 정책, 사명 및 목표가 조직 전체에 전달되도록 해야 한다.

- IT 위험 평가 및 관리: 경영진은 회사의 목표에 영향을 줄 수 있는 위험을 문서화해야 한다. 여기에는 보안 취약점, 법률 및 규정, 고객 또는 기타 민감한 정보에 대한 액세스 등이 포함될 수 있다.

- 공급업체 관리 보안 제어 식별: 회사는 급여 처리를 위해 인프라 또는 ADP를 호스팅하기 위해 다른 클라우드 서비스 제공자(CSP)에 의존하기 때문에 민감한 정보의 안정성, 정확성 및 안전성에 영향을 줄 수 있는 위험을 식별해야 한다.

 

위의 목록은 고려해야 할 작은 목표의 샘플일 뿐이다. 현재 ISACA로 알려진 Information Systems Audit and Control Association은 독립적인 비영리 단체로, 정보 시스템에 대한 세계적으로 인정받는 업계 최고의 지식 및 관행의 개발, 채택 및 사용에 관여한다. 보다 포괄적인 목표 목록을 보려면 클라우드 컴퓨팅을 위한 ISACA의 IT 제어 목표인 클라우드의 제어 및 보증을 참조하면 된다.



클라우드 컴퓨팅 감사의 범위


클라우드 컴퓨팅 감사의 범위에는 감사의 주제에 특정한 절차가 포함된다. 또한 조직 및 관리, 커뮤니케이션, 위험 평가, 모니터링 활동, 논리적 및 물리적 액세스, 시스템 운영 및 변경 관리와 관련된 IT 일반 제어가 포함된다.

감사인은 통제가 효과적으로 설계되고 운영된다는 보증을 얻기 위해 이러한 영역 내에서 식별 된 통제에 대한 증거를 자유롭게 검토하고 증거를 요구한다. 공급업체가 유지 관리하는 제어 기능은 클라우드 컴퓨팅 감사 범위에 포함되지 않는다.



클라우드 감사원(Cloud Auditor)의 의미


감사원의 역할은 기업이 특정 목적, 기준 또는 요건을 충족하기 위한 통제권을 가지고 있다는 사실과 증거에 기초하여 객관적인 의견을 제공하는 것이다. 또한 많은 경우에 감사원은 그러한 통제가 일정 기간 동안 운영되는지 여부에 대한 의견을 제공할 것이다. 컴플라이언스에 대한 클라우드 감사도 다르지 않다. 감사에서 기준을 충족하기 위해 클라우드 컴플라이언스를 요구하는 경우, 감사원은 통제가 활성화된 증거(예: 보안 그룹, 암호화 등)를 요청한다. 이를 통해 클라우드 감사원은 통제가 시행 중이었는지 그리고 일정 기간 동안 운영되었는지에 대한 의견을 제공할 수 있다.

감사원은 증거 수집을 위해 조사, 물리적 검사, 관찰, 확인, 분석 절차 및 재실행과 같은 다양한 유형의 절차에 의존한다. 이러한 시험 절차는 감사 대상 서비스에 대한 의견을 제공하는 증거를 얻기 위해 조합하여 사용될 것이다. 아래는 위에서 식별된 각 IT 일반 제어 영역에 대해 수행된 예제 테스트이다. 물론 이것은 모든 것을 포함하는 리스트가 아니다.

 

제어 영역



절차



조직 및 관리




- 조직 및 관리

- 회사 조직구조 점검

- 직원의 역할 및 책임과 함께 직무 검사

- 면접을 관찰하여 회사의 테스트 기술 역량 확인

- 완료된 백그라운드 점검의 증거 검사

커뮤니케이션




- 정책 및 절차 검사

- 정책 및 절차가 모든 직원이 참조할 수 있다는 증거 검사

- 회사 사용 약관 또는 개인 정보 문서를 검사하여 책임과 약속을 식별하는지 여부 확인

- 윤리적 가치에 대한 경영진의 문의

위험 평가




- 회사의 문서화된 위험 평가 검사

- 위험 평가를 검사하여 필요에 따라 완화 활동이 식별되는지 확인

모니터링 활동




- 시스템 취약성을 식별하는 문서 검사

- 시스템 구성을 검사하여 취약성 또는 고장이 식별될 때 알림이 제공되는지 확인

- 확인된 취약성이 해결되었는지 검사

논리적 및 물리적 접근




- 사무실에 들어가려면 확인절차가 필요한지 관찰

- 관리자 수준 액세스 권한이 있는 개인이 권한을 부여받았는지 검사

- 네트워크 진입에 사용되는 암호 정책 검사

시스템 운영




- 트래픽을 모니터링하는 데 사용되는 모니터링 도구 검사 및 의심스러운 활동에 경고하는 지 검사

- 필요에 따라 도구가 알림을 성공적으로 전송하는지 여부를 검사

- 통지가 후속 조치되고 필요에 따라 해결되었는지 여부를 검사

변경 관리


- 변경 사항이 정의 및 문서화, 개발 승인, 테스트 및 구현 승인되었는지 확인하기 위한 증거 검사

 

 



클라우드 서비스 공급자들의 컴플라이언스


AWS, 마이크로소프트 Azure, 구글 등 CSP 수준에서 특정 제어를 구현해야 하는 다양한 클라우드 보안 및 컴플라이언스 요구사항이 존재한다. 중요한 정보가 유지되는 곳이 바로 이곳이기 때문이다. 이는 또한 이러한 CSP의 인프라를 활용하는 여러 가지 다른 플랫폼에서도 해당된다. 이러한 CSP들은 자체적인 보안 통제를 갖추도록 요구되지만, 사용자가 구현하거나 활성화할 책임이 있는 여러 가지 통제장치가 있다.

다행히도 AWS, 마이크로소프트 Azure, 구글 등과 같은 CSP는 감사원이 찾고 있는 통제를 쉽게 함으로써 사용자들이 보안 프레임워크, 기준 및 인증을 충족할 수 있도록 도왔다. 또한, 사용자들이 자신의 제품이 보안 요구 사항을 충족하는지 여부를 측정할 수 있도록 백서 내에 이들 회사가 제공하는 수많은 정보가 있다.

 



결론


클라우드 컴퓨팅 감사는 사용자가 데이터가 다른 조직에 의해 호스팅되고 있기 때문에 위험이 존재한다는 사실을 인식하고 있기 때문에 따라 표준이 되었다. 이를 해결하기 위해 다양한 형태의 클라우드 컴퓨팅 감사를 요청하여 정보가 손실되거나 해킹 당할 위험을 줄어들게 된다.

클라우드 컴퓨팅 감사는 SOC 1 및 SOC 2 보고, HITRUST, PCI 및 FedRAMP와 같은 다양한 형태로 제공된다. 요구사항에 따라 이들 중 하나가 감사 요구 사항을 충족해야 한다.

 



참고문헌



  2. Technical report: Cloud Audits & Compliance, linfordco.com, 2020
  3. GAO, INFORMATION SECURITY: Governmentwide Guidance Needed to Assist Agencies in Implementing Cloud, 2010
  4. GAO, CLOUD COMPUTING SECURITY: Agencies Increased Their Use of the Federal Authorization Program, but Improved Oversight and Implementation Are Needed, 2019
  5. ISACA, Cloud Computing Management Audit Program, www.isaca.org
  6. NIST, Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-53 Rev. 4. 2013
  7. Doelitzscher, Frank, Security audit compliance for cloud computing, Plymouth University, 2014