2.10.2 클라우드 보안

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.2 클라우드 보안

항목		상세내용
2.10.2	클라우드 보안	클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유•노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립•이행하여야 한다.
주요 확인사항		ㆍ클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA)에 반영하고 있는가? ㆍ클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립•이행하고 있는가? ㆍ클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가? ㆍ클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
관련 법규		ㆍ클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조(신뢰성 향상)

 

● 중요사안

- 클라우드를 통한 외주 위탁 시 클라우드 서비스의 보안요구사항과 운영자의 보안준수사항을 계약서(SLA)에 반영하여야 한다.
- Public 환경에서 운영되는 클라우드 서비스를 이용함에 따른 위험요소를 관리하여야 하며, 클라우드에서 저장된 중요 정보가 외부로 유출되지 않도록 보안통제정책을 수립하고 이행하여야 한다.
- 안정적인 서비스 제공 및 시스템의 가용성 확보를 위하여 시스템을 여러 지역에 분산 구축하고, 침해사고 또는 서비스 장애 발생 시 클라우드 서비스 제공업체와 긴밀한 협업 체계를 수립하여 신속하게 조치하여야 한다.
- 클라우드 보안 아키텍처를 수립한다.
> 클라우드 서비스의 도입 및 적용 시에 가용성, 확장성, 성능 등에 대한 클라우드 보안 아키텍처를 수립하는 절차로서, 먼저 현재 구성되어있는 보안 아키텍처에 대하여 정의하고, 세부 보안 요소 기술에 대한 분석 및 이슈를 도출하여, 이를 개선하기 위한 목표 수립 및 과제를 수행하는 단계로 진행하는 것이 바람직하다.

 

● 운영현황

- 클라우드서비스 이용을 위해 다음과 같은 보호대책을 수립•적용하고 있음
  > 클라우드서비스제공자와 이용자 각각의 책임과 역할을 정의하고, 정보보호 및 개인정보보호 관련 사항을 명시한 계약서(SLA) 작성
  > 클라우드서비스 관련 자산 분류 및 식별
  > 클라우드서비스 관리자 계정 및 권한 관리, 강화된 인증
  > 클라우드서비스 위험분석 및 평가
  > 클라우스서비스 보안통제 정책 수립

 

● 기록(증적자료)

- 클라우드서비스 관련 계약서(SLA)
- 클라우드서비스 운영 정책 및 지침 문서
- 클라우드서비스 업무연속성 계획 및 절차서
- 클라우드서비스 위험분석 및 평가 결과서
- 클라우드서비스 구성도
- 클라우드서비스 보안설정 현황
- 클라우드서비스 보안설정 적정성 검토 이력

 

● 주요 결함사례

- 클라우드서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 계약서(SLA)에 명확히 정의하고 있지 않은 경우
- 클라우드서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정 오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립하지 않거나, 이행하지 않은 경우
- 클라우드 환경에서 제공되는 보안 기능을 이용하지 않아 보안 위험이 존재하는 경우
- 개인정보를 취급하는 관리자 계정의 크리덴셜 정보에 대한 보호조치가 이루어지고 있지 않은 경우