안녕하세요, 와탭랩스 DevOps 팀 이윤상입니다.
전 세계적으로 다양한 산업에서 레거시 인프라를 클라우드로 전환하려는 움직임이 활발하게 진행되고 있습니다. 2019년에는 공공기관도 클라우드를 도입할 수 있도록 정책이 개정 되었고 보안이 민감한 공공기관의 우려를 해소하기 위해 객관적으로 클라우드 서비스를 평가할 수 있는 '클라우드 보안인증' 제도가 마련되었습니다.
공공기관에 클라우드 서비스를 제공하기 위해서는 '보안 인증'을 취득하여야 합니다. 와탭랩스의 서비스도 공공기관에 제공하기 위하여 약 반년이라는 시간을 들여 'CSAP(클라우드 보안인증)' 인증을 획득 하였고 블로그를 통해 인증과정을 공유하려고 합니다.
클라우드 보안 인증제란?
공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하기 위해 객관적이고 공정한 클라우드 서비스 보안인증을 실시해 이용자의 보안 우려를 해소하고 클라우드 서비스의 경쟁력 확보를 위해 2016년 7월부터 시행되고 있는 제도입니다.
https://isms.kisa.or.kr/main/csap/intro/KISA [ 정보보호 및 개인정보보호관리체계 인증 ]평가 및 인증의 종류
인증 종류
- IaaS 및 DaaS : 유효기간 5년
- SaaS 표준등급 : 유효기간 5년
- SaaS 간편등급 : 유효기간 3년
평가 종류
- 최초 평가는 보안 인증을 처음으로 취득할 때 진행하는 평가이며, 인증 취득 기간 중 중요한 변경이 있을 경우 변경 사항에 대해 상시 평가가 이루어 질 수 있음
※ 최초평가를 통해 인증을 취득하면, 5년(SaaS 간편등급은 3년)의 유효 기간을 부여 - 사후평가는 보안인증을 취득한 이후 지속적으로 클라우드서비스 보안 평가·인증 기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(3~5년) 안에 매년 시행
- 갱신평가는 보안인증 유효기간(3~5년)이 만료되기 전에 클라우드서비스에 대한 인증의 연장을 원하는 경우에 실시하는 평가
※ 갱신평가를 통과하는 경우, 3~5년의 유효기간을 다시 부여
인증 기준
SaaS 간편등급 인증은 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 30개 통제 항목으로 구성
(세부 항목은 한국인터넷진흥원 홈페이지 자료실 첨부 파일을 통해 확인 가능합니다)
출처: 한국인터넷진흥원 클라우드 보안인증제 홈페이지
평가 및 인증 절차
아래 이미지는 최초 평가를 기준으로 작성한 이미지입니다. 사후 평가에는 평가, 인증 단계부터 수행합니다.
출처: 한국인터넷진흥원 클라우드 보안인증제 홈페이지
- SaaS 간편 등급(총 14일)의 경우 "사전 컨설팅 2일 → 서면/현장 평가(4일)·취약점 점검(4일) (동시 진행) 4일 → 모의 침투 테스트 5일 → 이행 점검 3일" 순서로 진행됩니다.
* 사전 컨설팅 후 보완 취약점이 발견되면 조치하여 인증을 신청하고 인증 평가 단계에서 나온 취약점을 다시 보완하여 이행 점검을 진행하기 때문에 위에 작성된 일정은 실제로 점검이 진행되는 일정만 포함되어 있어서 실제 인증 완료까지 걸리는 시간은 최소 2달부터 최대 반년 이상의 시간이 걸릴 수 있습니다.
지금까지는 "클라우드 보안인증제"에 대하여 간략히 설명 드렸고 다음은 와탭에서 진행한 인증 진행 절차에 대해서 설명드리겠습니다.
진행 과정
1.사전 컨설팅 신청하기
원활한 인증을 진행하기 위하여 와탭은 사전 컨설팅을 받았습니다. 사전 컨설팅 신청은 한국인터넷진흥원 클라우드 보안인증제 자료실에서 사전 컨설팅 신청에 필요한 문서들을 다운로드 받은 후 작성하여 메일로 신청하였습니다.
(신청 후 점검 팀이 바로 점검이 가능한 것이 아니므로 인증 완료 목표 일정이 있다면 참고하여 진행해야 합니다. 와탭의 경우 신청 후 3주 후에 사전 컨설팅이 진행되었습니다.)
사전 컨설팅은 인증 총괄 1명, 서면/현장 평가 수행 담당자 1명, 취약점 점검 담당자 1명, 총 3명이 방문하였고 양일 간 진행 되었습니다. 사전 컨설팅 후 취약점들이 포함된 결과 보고서를 받았고 취약점들을 보완하여 본 점검을 준비하였습니다.
2. 본 점검 진행
사전컨설팅 때 나온 취약점들을 모두 보완하여 본점검을 신청했습니다.
본 점검에는 인증총괄 1명, 서면/현장 평가 1명, 취약점 점검 4명(CCE 2명, CVE 2명), 소스코드 점검 1명 총 7명이 방문하였고 4일간 진행 되었습니다. 본점검에서는 모의침투도 진행 하였는데 모의침투는 점검이 완료된 다음날부터 4일간 모의침투 평가팀(2명)이 온라인으로 진행하였습니다.
사전 컨설팅과는 다르게 역시 본점검은 더 꼼꼼하고 자세하게 점검이 진행되었습니다. 4일 간 질의 응대와 시연 등을 진행하여 서면/현장 평가 부적합 8건, 취약점 10,542건(소스코드 포함)이 보완 조치 요구 사항으로 나왔습니다.
보완조치는 30일 이내에 100%조치가 완료되어야 하며 기간 내에 조치가 어려울 경우에는 보완 조치 연장 공문을 보내어 연장이 가능합니다.(최대 3개월)
와탭은 30일내에 모든 조치를 완료하여 이행점검을 신청하였습니다.
3. 이행점검
이행점검은 본점검에 나온 취약점들의 보완여부를 확인하는 점검으로 이행조치 시 신규로 생성된 자산에 대해서는 점검 대상에 포함되지 않았습니다.
이행 점검에는 본점검과 거의 동일한 인원이 참석하였습니다. 인증총괄 1명, 서면/현장평가 1명, 취약점 점검(CCE 2명, CVE 1명), 소스코드 1명 총 6명이 방문하여 3일간 진행되었습니다. 모의침투는 모의침투 평가팀(2명)이 온라인으로 이행 점검 날짜와 같은 날에 진행하였습니다.
인증서 발급은 100%의 조치가 원칙이므로 이행점검이 진행되는 3일 동안 발견되는 취약점에 대해서 모두 조치를 하기 위해 와탭 개발자 및 각 담당자는 총력을 기울였습니다.
4. 완료
사전 컨설팅, 본점검, 이행점검 총 3번의 점검을 받고 나서야 드디어 인증서를 획득했습니다!
와탭이 받은 클라우드 보안인증서!
마무리
와탭의 모든 인원들이 오랜 시간 동안 많은 준비를 하여 한번에 인증을 받을 수 있었습니다.
많은 노력을 기울여 받은 인증인 만큼 이제 공공기관도 안심하고 보안이 한층 강화된 "모니터링 서비스 와탭"을 도입 하는게 어떨까요!?
서비스 성능관리는 와탭 애플리케이션 모니터링으로!
와탭 무료로 시작하기
- 이윤상([email protected])
- DevOps Team DevOps Engineer