"외부 인터넷 통해 공공클라우드 침투 테스트"..국보연 발주

by김가은 기자
2023.06.05 16:47:40

클라우드 보안 인증(CSAP) 등급제 반영 보안성 검증 착수
취약점 점검 및 모의 침투테스트 추진
논리적 망분리 적용된 '하' 등급 클라우드 시스템도 검증

국가기술보안연구소가 발주한 ‘국가기관용 클라우드 컴퓨팅서비스 보안성 점검’ 사업목적(사진=국보연 사업제안서)


[이데일리 김가은 기자] 정부가 클라우드 보안 인증 제도(CSAP) 등급제 개편 이후 새롭게 신설되는 공공클라우드 서비스에 대한 보안성 검증에 착수했다.

물리적 망분리가 적용된 기존 시스템뿐 아니라, 논리적 망분리 구조를 지닌 클라우드 시스템에 대한 보안성도 강화하겠다는 의도로 풀이된다.

5일 조달청 나라장터에 따르면 한국전자통신연구원(ETRI) 산하 국가보안기술연구소는 지난달 23일 ‘국가기관용 클라우드컴퓨팅서비스 보안성 점검’ 용역 사업을 발주했다.

이번 사업 목적은 △국가정보원 ‘국가 정보보안 기본지침’ △‘국가 클라우드 컴퓨팅 보안 가이드라인’ 개정 △CSAP 등급제 시행에 따라 신설되는 국가기관 클라우드컴퓨팅서비스에 대한 보안 수준 향상이다. 취약점 점검과 모의 침투 테스트를 통해 개선점을 도출하는 게 골자다.

국가기술보안연구소가 발주한 ‘국가기관용 클라우드 컴퓨팅서비스 보안성 점검’ 대상 클라우드 시스템(사진=국보연 사업제안서)


점검 대상이 되는 클라우드 서비스는 물리적 망분리가 적용된 서비스 뿐 아니라 하 등급 요건으로 추가된 논리적 망분리 구조를 띠는 서비스도 포함됐다.

물리적 망분리는 공공 클라우드 서비스를 제공하는 사업자가 민간 서비스와 물리적으로 분리된 공공 전용 인프라를 별도로 두는 개념이다.

반면 논리적 망분리는 데이터센터, 서버 등 별도 인프라 구축없이 가상화 기술을 통해 업무망과 인터넷 접속망을 분리한다.



국가기술보안연구소가 발주한 ‘국가기관용 클라우드 컴퓨팅서비스 보안성 점검’ 사업 추진 체계(사진=국보연 사업제안서)


사업은 총 6단계로 진행된다. 먼저 일정과 인력구성, 수행절차와 점검 항목 및 방법론을 마련해야 한다. 이후엔 점검과 개선점 도출이 각각 두 차례 진행된다.

사전 점검에서 취약점 점검 및 모의침투를 수행한 결과로 1차 개선대책을 도출한다. 이어 본점검과 결과보고를 통해 같은 과정을 반복한다.

보안성 점검 시에는 현장실사 위원 1인과 취약점 점검 및 모의침투 전문가 3인 이상이 참여해야 한다. 전문가는 관련 업무 수행 경험을 5회 이상 보유해야 한다.

특히 모의 침투의 경우 외부 인터넷을 통해 공공클라우드 서비스 내부로 침투하는 점이 골자다.

하 등급 시행에 따라 가상 프라이빗 클라우드(VPC)를 중심으로 한 논리적 망분리를 허용하는 만큼 보안 수준을 철저히 검증하겠다는 의도로 보인다.

관가에 따르면 이 사업은 클라우드 서비스에 대한 보안 기준을 수립하는 국가정보원이 국보연에 용역을 맡긴 것으로 전해졌다.

보안 가이드라인을 국정원과 국보연이 함께 만드는 것이다. 한국인터넷진흥원(KISA)은 이들이 수립한 가이드라인과 지침에 따라 인증제도를 운영한다.

KISA 관계자는 “국정원과 국보연이 만든 가이드라인과 지침에 따라 KISA는 정보보호 기준 준수 여부를 확인하고 인증서를 발급한다”면서 “CSAP 인증을 클라우드 서비스 제공 기업에 제공하는 일종의 콘트롤타워 역할”이라고 말했다.