기업들은 법에 저촉되지 않기 위해, 기업 보안을 강화하기 위해(자발적 의지)등의 이유로
다양한 정보보호 컴플라이언스를 준수한다.

아래와 같이 인증제도는 각기 다양한 목적과 범위가 있고,
이번 시간은 한국의 클라우드 보안인증제인 CSAP에 대해서 알아보려고 한다!✨

출처 : NHN




소개


CSAP는 『클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률』 제23조 2항에 따라

  • 『클라우드컴퓨팅 법』 제23조 2항
    과학기술정보통신부장관은 클라우드컴퓨팅서비스의 품질ㆍ성능에 관한 기준 및 정보보호에 관한 기준(관리적ㆍ물리적ㆍ기술적 보호조치를 포함한다)을 정하여 고시하고, 클라우드컴퓨팅서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다.

CSP의 정보보호 기준 준수여부 확인을 인증 기관에 요청하는 경우,
인증 기관이 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도입니다.

또한
⭐️ 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급을 하기 위한 목적을 갖고 있고,
⭐️ 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고,
⭐️ 클라우드 서비스 경쟁력 확보할 수 있습니다.




인증 종류


CSAP의 인증 종류 (총 4가지)

  • IaaS
  • DaaS
  • SaaS 표준등급
  • SaaS 간편등급

아래 표와 같이 각 인증마다 인증항목 개수, 유효기간이 상이하다.

정리해보면

  • 인증항목 개수
    IaaS(117개) > DaaS(110개) >>> SaaS 표준(78개) >>> SaaS 간편(30개)
  • 유효기간
    IaaS, DaaS, SaaS 표준(5년) >>>>>> SaaS 간편(3년)

한눈에도 IaaS 인증이 항목이 제일 많아서 빡세다는 것을 파악할 수 있다.
또한 SaaS 간편 인증 같은 경우 유효기간이 3년으로 짧다는 특징이 있다.


아래 표는 인증 종류별로 준수해야할 통제항목이다.




Tip


어려운 써져있는 법령과 공식 문서를 읽으며 인증제도를 이해하는 것은 쉽지 않다.
입문자들은 어려운 문서를 읽기 전
기업에서 제공하고 있는 정보보호 인증 설명 문서를 읽어보는 것을 추천한다.
이 문서들은 기업들이 어떻게 인증제도를 준수하고 있는지 "클라우드 서비스 이용자"를 대상으로 설명하고 있기 때문에 읽기 편하다!

CSP 3사(AWS, Azure, GCP)는 CSAP를 준수하고 있지 않기 때문에 위 목록에서 제외했다.
3사 또한 자신들이 준수하고 있는 컴플라이언스에 대해서 굉장히 자세하게 설명하고 있다.
개인적인 의견이지만 난 Azure 문서가 좋더라!

profile
킹왕짱 DevOps Engineer가 되고 싶습니다

0개의 댓글