🍅보안인증제
정의
정보 시스템이나 네트워크에서 사용자가 자신의 신원을 증명하고 접근 권한을 부여받기 위한 절차와 규칙을 의미
보안 인증제는 시스템과 서비스가 불법적인 접근으로부터 보호받고, 적절한 사용자가 올바른 권한으로 접근할 수 있도록 설계된 메커니즘
1. CSAP
의미
CSAP는 "Cloud Security Assurance Program"의 약자로, 클라우드 보안 인증제도를 의미
이 제도는 클라우드 서비스 제공자(CSP)가 제공하는 클라우드 서비스가 일정한 보안 기준을 충족하는지 검증하고 인증을 부여하는 프로그램CSAP 인증은 특히 공공기관이 사용하는 클라우드 서비스의 보안성을 보장하기 위한 필수 요건 중 하나
CSAP의 개요
목적
CSAP는 클라우드 서비스의 보안성을 검증하여 공공기관이 안심하고 클라우드 서비스를 사용할 수 있도록 도움
이는 정보 보호와 서비스의 안정성을 보장하는 것이 주요 목적
관리 기관
과학기술정보통신부와 한국인터넷진흥원(KISA)가 주관
클라우드 서비스 제공업체가 CSAP 인증을 받기 위해서는 이 기관들이 제시하는 보안 요구사항을 충족해야 한다
대상
공공기관이 사용하는 클라우드 서비스에 대한 보안 인증
공공기관은 클라우드 서비스를 도입할 때 반드시 CSAP 인증을 받은 클라우드 서비스만 사용할 수 있다
인증 절차
신청: 서비스 제공자가 인증을 신청하고, 필요한 서류와 자료를 제출
심사: KISA가 제출된 자료를 바탕으로 클라우드 서비스의 보안성을 평가
여기에는 기술적, 관리적, 물리적 보안 요소가 포함인증 부여: 평가를 통과한 서비스에 대해 CSAP 인증이 부여
CSAP의 주요 보안 요구사항
물리적 보안: 데이터 센터의 접근 제어, CCTV 모니터링, 출입 관리 등 물리적 환경에서의 보안 요소를 충족해야 한다
기술적 보안: 네트워크 보안, 데이터 암호화, 접근 제어, 인증 절차 등의 기술적 보안 기준을 준수해야 한다
관리적 보안: 보안 정책 수립, 보안 관리 체계, 직원 교육, 보안 감사 등 관리적 차원에서의 보안 방안을 마련해야 한다
CSAP의 중요성
공공기관의 클라우드 도입 필수 조건: 공공기관이 클라우드 서비스를 도입할 때 반드시 CSAP 인증을 받은 클라우드 서비스를 사용해야 하기 때문에, 클라우드 서비스 제공자는 공공기관 고객을 확보하려면 CSAP 인증을 받아야 한다
보안 수준 향상: CSAP 인증을 통해 클라우드 서비스 제공업체는 보안 수준을 향상시키고, 이를 통해 민간 기업과 개인에게도 신뢰성 있는 서비스를 제공할 수 있다
클라우드 산업의 표준화: CSAP 인증은 한국의 클라우드 보안 기준을 설정하고 표준화된 보안 기준을 제시하여, 클라우드 서비스 산업의 발전에 기여하고 있다
CSAP 인증의 장점
보안 신뢰성: CSAP 인증을 통해 클라우드 서비스는 공공기관뿐만 아니라 민간 기업과 개인에게도 신뢰성을 보장할 수 있다
공공기관 클라우드 시장 진출: 공공기관은 CSAP 인증을 요구하므로, 이 인증을 받은 클라우드 제공업체는 공공시장에 진출할 수 있는 기회를 확보한다
보안 경쟁력 강화: CSAP 인증은 서비스 제공자의 보안 수준을 높여, 국내외 시장에서 경쟁력을 강화할 수 있다
2. ISMS
의미:
ISMS(Information Security Management System, 정보보호 관리체계)는 조직이 정보 보안을 체계적으로 관리하고, 보안 사고를 예방하며, 발생 시 신속하게 대응할 수 있도록 하는 종합적인 관리 체계
과학기술정보통신부가 주관하고, 한국인터넷진흥원(KISA)이 운영하는 공인된 인증 제도
ISMS의 정의
ISMS는 조직의 정보 자산을 보호하기 위해 기술적, 관리적, 물리적 보안 조치를 체계적으로 수립하고, 운영 및 개선하는 정보 보호 프레임워크
조직의 보안 정책, 위험 관리, 보안 절차 및 제도를 총괄적으로 다룬다
ISMS의 주요 목적
정보 자산 보호: 조직의 정보 자산을 외부 공격, 내부 위협, 자연 재해 등으로부터 보호한다
위험 관리: 정보 보안과 관련된 위험을 사전에 식별하고, 이를 관리 및 완화하는 절차를 마련한다
법적 준수: 정보 보호와 관련된 법률과 규제를 준수하고, 개인정보와 데이터 보호를 위한 필수 요구 사항을 충족한다
안정적인 운영: 조직이 정보 시스템을 안정적으로 운영하며, 사고 발생 시 신속한 복구가 가능하도록 대비한다
ISMS 인증 대상
국내에서는 다음과 같은 조직들이 ISMS 인증을 받도록 규정되어 있다
- 연간 매출액 1,500억 원 이상 또는 일일 평균 이용자 수 100만 명 이상인 온라인 서비스 제공자
- 정보통신망법 및 개인정보보호법상 주요 정보 처리 업체
그 외 정부 지침에 따라 보안 관리가 필요한 기업 또는 공공기관
ISMS 인증 절차
준비: 조직은 정보 보호 관리 체계를 수립하고, 필요한 문서화 작업을 수행
내부 심사: 조직 내부에서 ISMS에 대한 준비 상태를 점검하고 보완
외부 심사: 인증 기관(주로 KISA)이 조직의 ISMS를 심사
여기에는 기술적, 관리적, 물리적 보안 요소가 포함인증 부여: 외부 심사에서 요구 사항을 충족하면 ISMS 인증이 부여된다
인증은 보통 3년 동안 유효하며, 주기적인 점검이 이루어진다
ISMS의 주요 구성 요소
정책 수립 및 보안 조직: 정보 보호 정책을 수립, 이를 실행하기 위한 보안 조직을 구성합니다.
위험 관리: 정보 보안 위협을 사전에 식별하고, 평가 및 대응책을 마련하는 위험 관리 프로세스를 수립합니다.
보안 대책: 기술적, 관리적, 물리적 보안 대책을 마련하여 정보 자산을 보호합니다.
사고 대응 및 복구: 정보 보안 사고가 발생했을 때, 이를 신속히 감지하고 대응하며, 시스템 복구를 위한 계획을 수립합니다.
교육 및 훈련: 조직의 모든 구성원이 보안 의식을 높이고, 적절한 대응 능력을 갖출 수 있도록 정기적으로 교육 및 훈련을 진행합니다.
ISMS와 ISMS-P
ISMS: 정보 보안 전반을 관리하는 시스템
ISMS-P: 개인정보 보호 관리 체계를 포함한 정보 보호 관리 체계로,
개인정보보호법을 포함한 개인정보 보호에 특화된 요소를 추가한 확장된 버전
대응 능력을 갖출 수 있도록 정기적으로 교육 및 훈련을 진행
ISMS 인증의 장점
보안 신뢰성 강화: 조직의 보안 체계가 외부로부터 인증받음으로써, 정보 보호 신뢰성을 높일 수 있다
법적 요구사항 충족: 법률에서 요구하는 정보 보안 규정을 준수하여 법적 리스크를 감소
경쟁력 향상: ISMS 인증을 통해 조직은 고객 및 파트너에게 보안 신뢰성을 제공하여 시장에서의 경쟁력을 강화할 수 있다
보안 사고 예방 및 대응: 보안 사고 발생 시 신속하고 체계적으로 대응할 수 있는 체계를 마련해 정보 자산을 보호
3. IaaS
IaaS (Infrastructure as a Service)
IaaS는 클라우드 컴퓨팅의 한 형태로, IT 인프라(서버, 스토리지, 네트워크, 가상화)를 서비스 형태로 제공하는 모델
조직은 하드웨어나 데이터센터를 직접 소유하지 않고, 필요한 리소스를 클라우드 제공자로부터 임대해 사용할 수 있다
사용자는 물리적 인프라에 대한 관리 부담을 줄이고, 필요에 따라 확장성 있게 리소스를 조정할 수 있다
특징
인프라 자원을 가상화된 환경에서 제공하며, 사용자는 운영체제와 애플리케이션의 설치, 관리 등을 직접 수행
예시
Amazon Web Services(AWS)
Microsoft Azure
Google Cloud Platform(GCP)
4. SaaS
SaaS (Software as a Service)
SaaS는 소프트웨어를 서비스로 제공하는 모델로, 사용자는 클라우드에서 호스팅된 애플리케이션을 인터넷을 통해 사용할 수 있다
소프트웨어 설치나 유지보수는 필요 없으며, 브라우저를 통해 애플리케이션에 접근하여 바로 사용할 수 있다
표준 SaaS
일반적인 기업용 애플리케이션이나 복잡한 비즈니스 소프트웨어를 웹 기반으로 제공하는 형태
사용자는 필요에 따라 해당 소프트웨어를 구독하여 사용하고, 소프트웨어의 업데이트나 유지보수는 서비스 제공자가 책임진다예시: Microsoft Office 365
Salesforce
SAP
간편 SaaS
사용자 친화적인 인터페이스와 직관적인 사용성을 제공하는 소프트웨어
주로 일상 업무나 간단한 작업을 수행하는 도구로 사용예시:Google Workspace
Dropbox
Slack
5. PaaS
PaaS (Platform as a Service)
PaaS는 개발자들이 애플리케이션을 개발, 실행, 관리할 수 있는 플랫폼을 제공하는 서비스 모델
하드웨어와 소프트웨어 인프라뿐만 아니라, 개발 도구, 데이터베이스 관리 시스템, 운영 체제 등이 포함되어 있어 개발자가 애플리케이션 개발에 집중할 수 있게 해준다
특징
개발 환경을 제공하며, 서버 관리나 소프트웨어 업데이트 같은 인프라 관련 작업을 자동화합니다. 개발자는 애플리케이션 코드에만 집중할 수 있다
예시
Google App Engine
Heroku
Microsoft Azure App Service
6. DaaS
DaaS (Desktop as a Service)
DaaS는 가상 데스크톱 환경을 클라우드를 통해 제공하는 서비스
사용자는 물리적 컴퓨터에 의존하지 않고, 인터넷을 통해 가상 데스크톱에 접속하여 애플리케이션이나 데이터를 사용할 수 있다
주로 보안이 중요한 기업 환경에서 원격 근무를 지원하는 데 사용
특징
클라우드에서 가상 데스크톱을 제공하며, 사용자는 자신의 기기에서 이 데스크톱에 접속하여 일관된 작업 환경을 유지할 수 있다
DaaS는 보안성, 중앙 집중식 관리, 데이터 백업 등의 장점을 제공
예시
Amazon WorkSpaces
Microsoft Windows Virtual Desktop
Citrix Virtual Apps and Desktops
7. CCE
CCE는 "공통 설정 열거체"라는 의미로, 컴퓨터 시스템의 보안 설정에 대한 고유한 식별자를 부여하는 표준
CCE는 각 시스템의 보안 설정을 일관되게 관리하고 평가할 수 있도록 설정 항목에 고유한 식별 번호를 부여하여, 다양한 플랫폼과 도구에서 동일한 설정을 쉽게 추적할 수 있게 해준다
목적
시스템 설정의 표준화된 식별을 통해 보안 설정을 효율적으로 관리하고, 특정 보안 설정이 조직의 보안 정책을 준수하는지 확인할 수 있도록 지원한다
사용 예
조직이 CCE를 통해 시스템 설정을 점검하고, 설정이 취약하거나 잘못된 부분을 개선하는 데 활용할 수 있다 예를 들어, 운영 체제의 방화벽 설정, 패스워드 정책 설정 등 다양한 보안 설정을 추적하고 관리한다
특징
고유 식별자: 각 보안 설정에 대해 고유한 식별 번호(CCE ID)를 부여
보안 감사와 평가: 조직의 보안 설정을 쉽게 검토하고 정책에 맞게 적용하는 데 도움 줌
8. CVE
CVE는 "공통 취약점 및 노출"이라는 의미로, 소프트웨어나 하드웨어의 보안 취약점에 대한 고유한 식별자를 부여하는 표준
CVE는 보안 취약점을 공개하고 관리하는 국제적으로 통용되는 데이터베이스로, 취약점에 대해 고유한 식별 번호를 부여하여 다양한 보안 도구 및 시스템에서 동일하게 인식하고 대응할 수 있게 한다
목적
보안 취약점을 효율적으로 관리하고, 서로 다른 보안 도구나 플랫폼에서 동일한 취약점을 일관되게 추적할 수 있도록 도움
이를 통해 소프트웨어 취약점을 더 신속하게 파악하고 대응할 수 있다
사용 예
CVE를 통해 특정 소프트웨어의 보안 취약점을 식별하고, 패치나 업데이트를 적용하여 문제를 해결
예를 들어, 웹 브라우저나 운영 체제의 취약점이 CVE 번호로 보고되고, 이를 바탕으로 보안 패치가 배포된다
특징
고유 식별자: 각 취약점에 대해 고유한 식별 번호(CVE ID)가 부여
취약점 정보 공개: CVE 번호는 취약점이 공적으로 보고되고, 이를 통해 관련 패치나 해결 방법이 배포
보안 커뮤니티 협력: CVE는 보안 전문가, 벤더, 정부 기관 등이 협력하여 소프트웨어 보안 문제를 관리하고 해결하는 데 기여
9. CCE와 CVE의 차이점
CCE는 시스템의 보안 설정에 대한 표준화된 식별자를 제공하며, 설정이 취약하거나 잘못된 부분을 추적하고 관리하는 데 사용
CVE는 소프트웨어나 하드웨어의 보안 취약점에 대한 식별자를 부여하며, 각 취약점이 존재하는지 확인하고 대응하는 데 사용
10. SBOB
SBOB는 System Bus Offload Block의 약자로, 주로 네트워크 장비 및 컴퓨터 시스템에서 사용되는 개념
SBOB는 데이터 전송 및 처리 작업을 주 CPU(중앙처리장치)가 아닌 다른 전용 하드웨어나 장치에서 처리하도록 하여 CPU의 부하를 줄이는 기술
SBOB는 고성능 시스템과 네트워크 장비에서 데이터 처리와 전송의 효율성을 높이고, 시스템 자원을 보다 효과적으로 사용하기 위한 중요한 기술
주요 개념
오프로드(Offload)
주 시스템의 CPU나 메인 프로세서가 수행해야 하는 작업을 보조 장치나 전용 하드웨어로 넘겨 처리하는 방식입니다. 이를 통해 CPU는 다른 중요한 작업에 집중할 수 있으며, 시스템 전체 성능이 향상된다
버스(Bus)
컴퓨터 시스템이나 네트워크 장비에서 데이터를 전달하는 통신 채널입니다. 시스템 버스는 프로세서, 메모리, I/O 장치 간 데이터를 전송하는 주요 경로
SBOB의 작동 방식
데이터 전송 효율성: SBOB는 데이터 전송 작업을 전용 하드웨어가 처리하여 시스템 버스나 네트워크 처리 속도를 높이고, 데이터 처리 병목 현상을 완화
CPU 부하 감소: 주 CPU는 데이터 처리 작업을 직접 하지 않고, 더 중요한 연산이나 애플리케이션 관리에 집중할 수 있다
예시
네트워크 장비에서 데이터 패킷 처리는 주로 CPU가 담당하지만, SBOB 기술을 사용하면 네트워크 처리 전용 칩셋이나 장치가 데이터를 처리하고, CPU는 다른 작업을 할 수 있다
서버 환경에서는 대규모 데이터 트래픽을 처리할 때 CPU의 과부하를 줄이고, 더 효율적으로 처리할 수 있다
