'사이버보안'에 해당되는 글 294건

  1. 2019.07.25 中, ‘클라우드 컴퓨팅 서비스’ 보안평가 실시
posted by 알짜 정보 岳岩 2019.07.25 08:08

中 정부 ‘클라우드 컴퓨팅 서비스 보안평가 방법’ 제정...9월 1일부터 시행
국가인터넷정보판공실·국가발전개혁위원회·공업정보화부·재정부 공동 발표

[보안뉴스 온기홍=중국 베이징] 중국이 공산당과 정부 소속 기관 및 핵심 정보인프라 운영업체가 도입하고 이용하는 클라우드 컴퓨팅 서비스에 대해 보안 평가를 의무화하는 새로운 규정을 마련하고 오는 9월부터 정식 시행에 들어간다. 

[이미지=icilckart]


중국 국가인터넷정보판공실, 국가발전·개혁위원회, 공업·정보화부, 재정부는 공동으로 지난 22일 이 같은 내용을 뼈대로 하는 ‘클라우드 컴퓨팅 서비스 보안 평가 방법’(이하 ‘방법’)을 발표했다. 국가인터넷정보판공실은 “당·정부 기관 및 핵심 정보인프라 운영자(업체·기관)의 클라우드 컴퓨팅 서비스 구매·이용에서 보안 통제가능 수준을 높이는 동시에 사이버 보안 위험을 낮추기 위해 보안평가를 벌이기로 했다”며 이번 ‘방법’의 제정 목적을 밝혔다. 중국 정부는 오는 9월 1일부터 이번 ‘방법’의 정식 시행에 들어갈 예정이다.
클라우드 컴퓨팅 서비스 보안평가의 중점 평가 내용
모두 17개 조항으로 이뤄진 이번 ‘방법’의 내용을 살펴보면, 먼저 클라우드 컴퓨팅 서비스 보안평가(이하 ‘보안평가’)에서는 사전 평가와 지속적인 감독을 병행하게 되는데, 유관 법률 법규와 정책 규정에 근거하고 국가 유관 사이버보안 표준을 참조하며 전문 기술기관과 전문가들을 활용하게 된다. 
이를 바탕으로 클라우드 컴퓨팅 서비스 플랫폼(이하 ‘클라우드 플랫폼’)의 보안성과 통제가능성을 객관적으로 평가하고 엄격하게 감독함으로써 당·정부 기관과 핵심 정보인프라 운영자들이 클라우드 컴퓨팅 서비스를 구매할 때 참고하도록 한다고 이번 ‘방법’은 명시했다. 클라우드 플랫폼은 클라우드 컴퓨팅 서비스, S/W, H/W 및 그와 관련된 관리 제도 등을 포함한다. 
보안평가는 신고, 접수, 전문 기술 기관의 평가, 전문가 팀의 종합 평가, 보안평가 업무협조기제 심의, 국가인터넷정보판공실의 승인, 평가결과 발표, 지속적인 감독 등 과정으로 이뤄지게 된다.
특히, 보안평가에서 중점적으로 확인하는 내용은 △클라우드 컴퓨팅 서비스 플랫폼 관리 운영자(이하 ‘클라우드 서비스 업체’)의 신용정보와 경영상태 등 기본 상황 △클라우드 서비스 업체 소속 인원의 배경과 안정성, 특히 고객 데이터에 접근할 수 있고 유관 클라우드 데이터를 수집할 수 있는 인원 △클라우드 플랫폼 기술, 제품, 서비스 공급사슬의 보안 상황이다. 아울러 △클라우드 플랫폼 관리 운영업체의 보안 관리 능력 및 플랫폼 보안 방호 상황 △고객의 데이터 이전 실행가능성과 간편성 △클라우드 플랫폼 관리 운영업체의 업무 연속성 △클라우드 컴퓨팅 서비스 보안에 영향을 미칠 수 있는 기타 요소 등도 중점적으로 평가하게 된다. 
국가인터넷정보판공실은 국가발전·개혁위원회, 공업·정보화부, 재정부와 함께 ‘클라우드 컴퓨팅 서비스 보안평가 업무협조 기제’를 갖추는데 이어, 보안평가 정책 문건을 심의하고, 보안평가 결과를 승인하며, 보안평가와 관련 있는 중요 상항을 협조해 처리하게 된다. 신설될 ‘클라우드 컴퓨팅 서비스 보안평가업무협조기제판공실’은 국가인터넷정보판공실 사이버보안협조국에 둘 예정이다. 
클라우드 서비스 업체는 당·정부 기관, 핵심 정보인프라에 클라우드 컴퓨팅 서비스를 제공하는 플랫폼에 대해 보안평가 진행을 신청할 수 있다. 동일 서비스 업체가 운영하는 각기 다른 클라우드 플랫폼은 각각 보안평가를 신청해야 한다. 서비스 업체는 오는 9월 1일부터 보안평가 신청을 정식으로 제출할 수 있다. 
보안평가를 신청하는 클라우드 서비스 업체가 보안평가업무협조기제판공실에 제출해야 하는 자료는 △신청서 △클라우드 컴퓨팅 서비스 시스템 보안 계획 △업무 연속성과 공급사슬 보안 보고 △고객 데이터의 이전 가능성 분석 보고 △보안 평가 업무에서 필요한 기타 자료이다. 
보안평가업무협조기제판공실은 클라우드 서비스 업체의 신청을 수리한 후, 전문기술 기관을 조직하고 국가 유관 표준에 따라 클라우드 플랫폼에 대한 보안평가를 진행하게 된다. 전문기술 기관의 경우, 객관·공정·공평 원칙을 견지하면서 판공실의 지도 감독 아래 ‘클라우드 컴퓨팅 서비스 보안 지침’, ‘클라우드 컴퓨팅 서비스 보안 능력 요구’ 등 국가 표준을 참조해 평가 진행과 평가 보고를 하고 평가 결과에 대해 책임을 져야 한다고 이번 ‘방법’은 명시했다. 
이 중 ‘클라우드 컴퓨팅 서비스 보안 능력 요구’는 시스템 개발과 공급망 보안, 시스템과 통신 보호, 방문 통제, 구성 관리, 유지보수, 응급 대응과 재해 복구, 감사, 위험 평가와 지속 감시제어, 보안 조직과 인원, 물리 보안과 환경 보안 등 방면에 대한 요구를 담고 있다.
보안평가업무협조기제판공실은 전문기술 기관의 보안평가를 기반으로 보안평가 전문가 팀을 꾸리고 종합 평가를 진행하게 된다. 전문가 팀은 클라우드 서비스 업체가 신고한 자료와 평가보고 등에 근거해, 클라우드 컴퓨팅 서비스의 보안성과 통제가능성을 종합 평가하고, 보안평가 통과 여부에 관해 건의해야 한다. 보안평가 전문가 팀의 건의가 협조기제 심의를 거친 후, 보안평가업무협조기제판공실은 국가인터넷정보판공실에 보고해 승인을 받아야 하다. 보안평가 결과는 보안평가업무협조기제판공실에서 발표하게 된다. 
“보안평가 시 클라우드 서비스업체의 상업 비밀·지적재산권 보호해야”
보안평가 결과의 유효기간은 3년이다. 유효기간이 만료되어 평가 결과를 연속 유지해야 할 경우, 클라우드 서비스 업체는 최소한 유효기간 만료 6개월 전에 보안평가업무협조기제판공실에 재평가를 신청해야 한다. 만일 유효기간 내, 클라우드 서비스 업체에서 지분 변경과 기업 재편 등으로 인해 지배주주 혹은 경영권에 변화가 발생할 경우, 보안평가를 다시 신청해야 한다.
보안평가업무협조기제판공실은 표본 검사와 신고 접수 등을 통해 보안평가를 통과한 클라우드 플랫폼을 지속적으로 감독하고, 보안 통제 조치 유효성, 중대한 변경, 응급 대응, 위험 처치 등과 관련 있는 내용을 중점 감독하게 된다. 만일 보안평가를 통과한 클라우드 플랫폼이 더 이상 요구를 만족시키지 못하는 상황이 발생할 경우, 협조 기제 심의와 국가인터넷정보판공실 승인을 거쳐 보안평가 통과 결론을 철회하게 된다. 
보안평가를 통과한 클라우드 플랫폼이 서비스 제공을 중지하게 될 경우엔 클라우드 서비스 업체는 적어도 6개월 전에 고객과 보안평가업무협조기제판공실에 통지해야 하며, 고객이 이전 작업을 잘 하도록 협력해야 한다. 또한, 이번 방법은 “클라우드 서비스 업체가 신고 자료의 진실성에 대해 책임을 져야 하며, 평가 과정 중 자료 제공 요구를 거절하거나 고의로 허위 자료를 제출할 경우, 평가에서 통과하지 못한다”고 강조했다. 
특히 보안평가 작업에 참여한 유관 기관과 인원은 클라우드 서비스 업체의 동의를 얻지 않은 채, 업체가 제출한 미공개 자료 및 평가 작업 중 알게 된 기타 비공개 정보를 공개해서는 안 된다고 이번 ‘방법’은 명시햇다. 업체가 제공한 정보를 평가 이외의 목적으로 이용해서도 안 된다. 
이에 대해 국가인터넷정보판공실은 “보안평가 작업에 참여한 유관 기관과 인원은 비밀보호 의무를 지게 되며, 클라우드 서비스 업체의 상업 비밀과 지식재산권을 엄격히 보호해야 한다”고 강조했다. 클라우드 서비스 업체는 보안평과 유관 기관과 인원이 비밀보호 의무를 지지 못하고 있다고 판단될 경우, 국가인터넷정보판공실이나 유관 기관에 신고할 수 있다. 
한편, 이전에 당·정부 기관의 클라우드 컴퓨팅 서비스 사이버보안 심사를 통과한 클라우드 플랫폼은 이미 보안평가를 통과한 것으로 간주되며, 다시 신청할 필요가 없다고 국가인터넷정보판공실은 밝혔다. 보안뉴스