Day 28: 클라우드 보안 인증제도 (CSAP)
1. 클라우드 보안 인증제도의 개요
1.1 CSAP이란?
정식 명칭 : Cloud Service Assurance Program (클라우드 서비스 보증 프로그램)
통칭 : 클라우드 보안 인증제도
운영 기관 :
- **과학기술정보통신부**
- **한국인터넷진흥원(KISA)**
법적 근거 :
- 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 (클라우드컴퓨팅법)
- 제23조 (클라우드컴퓨팅서비스의 정보보호 등에 대한 인증)
시행 : 2015년 9월
1.2 제정 배경
클라우드 컴퓨팅 확산
- 기업의 클라우드 전환 가속화
- 공공기관 클라우드 도입 확대
보안 우려
- 데이터 유출 우려
- 클라우드 서비스 제공자(CSP) 보안 수준 불명확
- 이용자가 보안 수준 판단 어려움
표준화 필요
- 클라우드 보안 기준 표준화
- 신뢰할 수 있는 인증 제도
1.3 목적
- 1. 클라우드 서비스 보안 수준 평가
- 2. 이용자에게 신뢰할 수 있는 정보 제공
- 3. 클라우드 산업 활성화
- 4. 국내 클라우드 서비스의 국제 경쟁력 강화
1.4 적용 대상
클라우드컴퓨팅서비스 제공자
- IaaS (Infrastructure as a Service)
- PaaS (Platform as a Service)
- SaaS (Software as a Service)
[국내 주요 사례]
- 네이버 클라우드
- KT 클라우드
- NHN 클라우드
- 가비아 클라우드
- 각종 SaaS 서비스
2. 클라우드컴퓨팅법
2.1 법률 체계
[법령 체계]
- 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 (법률)
- 클라우드컴퓨팅법 시행령 (대통령령)
- 클라우드컴퓨팅법 시행규칙 (과기정통부령)
- 클라우드 보안 인증 기준 (고시)
2.2 제23조: 정보보호 인증
조문 :
“과학기술정보통신부장관은 클라우드컴퓨팅서비스의 정보보호 및 개인정보보호 수준을 평가하여 일정 기준을 충족하는 경우 이를 인증할 수 있다”
특징 :
- **자발적 인증** (의무 아님)
- 단, 공공기관은 CSAP 인증 서비스 우선 고려
2.3 공공기관 클라우드 이용
클라우드컴퓨팅법 시행령 - 공공기관이 클라우드 서비스 도입 시 :
- 1. **CSAP 인증 서비스** 우선 검토
- 2. 미인증 서비스 이용 시 보안성 검토 필요
실무 영향 : 공공 시장 진출 시 CSAP 인증 사실상 필수
3. CSAP 인증 등급
3.1 3개 등급
확인 (Confirmation) - 가장 기본 등급
특징 :
- 자가 진단 기반
- 문서 심사 위주
- 현장 심사 없음
대상 :
- 소규모 CSP
- 초기 단계 서비스
검증 (Verification) - 중간 등급
특징 :
- 제3자 평가 기관 심사
- 문서 심사 + 간소화된 현장 심사
대상 :
- 중소규모 CSP
- 일반 기업용 서비스
인증 (Certification) - 최고 등급
특징 :
- 제3자 평가 기관 심사
- 문서 심사 + 전체 현장 심사
- 취약점 점검 포함
대상 :
- 대규모 CSP
- 공공기관 대상 서비스
- 금융권 대상 서비스
3.2 등급별 비교
| 구분 | 확인 | 검증 | 인증 |
|---|---|---|---|
| 심사 방식 | 자가 진단 | 제3자 평가 | 제3자 평가 |
| 문서 심사 | O | O | O |
| 현장 심사 | X | 간소화 | 전체 |
| 취약점 점검 | X | △ | O |
| 유효 기간 | 2년 | 2년 | 2년 |
| 공공 시장 | △ | O | ⭐ |
| 비용 | 낮음 | 중간 | 높음 |
4. CSAP 인증 기준
4.1 14개 통제 영역
[14개 통제 영역 전체]
- 1. 정책 및 조직
- 2. 자산 관리
- 3. 인적 보안
- 4. 물리적 보안
- 5. 접근 통제
- 6. 암호화
- 7. 운영 보안
- 8. 통신 보안
- 9. 시스템 개발 및 유지보수
- 10. 공급자 관계
- 11. 사고 관리
- 12. 업무 연속성 관리
- 13. 컴플라이언스
- 14. 클라우드 특화 보안
기반 : ISO 27001 기반 + 클라우드 특화 항목 추가
4.2 영역별 주요 통제
1. 정책 및 조직
[정보보호 정책]
- 전사 정보보호 정책 수립
- 클라우드 서비스 정보보호 정책
[조직]
- 정보보호 책임자 지정
- 정보보호 조직 구성
[위험 관리]
- 정기 위험 평가 (연 1회)
- 위험 관리 계획
2. 자산 관리
[자산 목록]
- 하드웨어, 소프트웨어, 데이터 목록 관리
[자산 분류]
- 중요도에 따른 분류
- 라벨링
[매체 관리]
- 보조저장매체 통제
- 폐기 절차
3. 인적 보안
- 채용: 배경 조사
- 보안 서약: NDA (비밀유지계약)
- 교육: 정보보호 교육 (연 1회 이상)
- 퇴직: 자산 반납 + 계정 즉시 삭제
4. 물리적 보안
[물리적 경계]
- 데이터센터 보안 구역 설정
[출입 통제]
- 생체인증, 출입카드
- 방문자 관리
[CCTV]
- 24시간 녹화
- 보관 (최소 30일)
[환경 통제]
- 온도, 습도 관리
- 화재 탐지 및 진압 시스템
5. 접근 통제
[사용자 계정]
- 개인별 고유 ID
- 공용 계정 금지
[인증]
- 강력한 비밀번호
- 관리자 계정 MFA (다중 인증)
[권한 관리]
- 최소 권한 원칙
- 권한 정기 검토 (분기 1회)
[특권 계정]
- 관리자 계정 별도 관리
- 사용 로그 기록
6. 암호화
[데이터 암호화]
- 저장 데이터 암호화 (AES-256)
- 전송 데이터 암호화 (TLS 1.2 이상)
[고객 데이터]
- 고객 요청 시 암호화 제공
- 고객이 키 관리 가능 (옵션)
[암호키 관리]
- HSM 사용 권장
- 키 접근 통제
- 정기 키 변경
7. 운영 보안
[변경 관리]
- 변경 요청 → 승인 → 테스트 → 배포
[백업]
- 정기 백업 (일일 또는 주간)
- 백업 테스트 (분기 1회)
[악성코드 방지]
- 백신 설치
- 실시간 검사
- 정기 전체 검사
[로그 관리]
- 모든 접근 로그 기록
- 로그 보관 (최소 1년)
- 정기 검토 (월 1회)
[취약점 관리]
- 취약점 스캔 (분기 1회)
- 보안 패치 적용
[모니터링]
- 24시간 보안 관제
- 이상 징후 탐지
8. 통신 보안
[네트워크 분리]
- 관리망 / 서비스망 분리
- VLAN 등
[방화벽]
- 네트워크 경계 방화벽
- 정책 정기 검토
- IDS/IPS: 침입 탐지 및 차단
- VPN: 원격 접속 시 VPN 사용
9. 시스템 개발 및 유지보수
- 보안 요구사항: 개발 단계부터 보안 고려
- 시큐어 코딩: OWASP Top 10 대응
- 개발/운영 환경 분리: 개발망 / 운영망, 운영 데이터 개발 환경 사용 금지
- 보안 테스트: 모의해킹 (연 1회), 소스코드 보안 점검
10. 공급자 관계
[공급자 선정]
- 보안 수준 평가
- 계약서 보안 조항 포함
[공급자 관리]
- 정기 보안 점검
- SLA 모니터링
[계약 종료]
- 데이터 반환 또는 삭제
- 삭제 증명서
11. 사고 관리
- 사고 대응 체계: 침해사고 대응팀 구성, 사고 대응 절차
- 사고 대응: 탐지 → 분석 → 대응 → 복구 → 사후 분석
- 고객 통지: 고객 데이터 관련 사고 시 즉시 통지
- 사고 기록: 모든 사고 기록 유지
- 모의 훈련: 연 1회 이상
12. 업무 연속성 관리
- BCP/DR 계획: 재해 복구 계획 수립
- 백업: 정기 백업, 지리적으로 분리된 위치 (다른 리전)
- 복구 목표: RTO (Recovery Time Objective), RPO (Recovery Point Objective) 정의
- 테스트: DR 훈련 (연 1회)
13. 컴플라이언스
[법규 준수]
- 개인정보보호법
- 정보통신망법
- 클라우드컴퓨팅법
[계약]
- 서비스 수준 협약 (SLA)
- 데이터 소재지 명시
[감사]
- 고객 감사 지원
- 제3자 인증 (ISO 27001, SOC 2 등)
14. 클라우드 특화 보안
[멀티 테넌시]
- 고객 간 데이터 격리
- 논리적 분리 (가상화)
[데이터 주권]
- 데이터 저장 위치 명시
- 고객 선택 가능
[데이터 삭제]
- 계약 종료 시 완전 삭제
- 삭제 증명서 제공
[가상화 보안]
- 하이퍼바이저 보안
- VM 간 격리
[API 보안]
- API 인증 및 권한 관리
- API 로그 기록
[이동성]
- 데이터 이동 지원
- 표준 포맷 제공
5. CSAP 인증 절차
5.1 인증 신청
신청 자격 : 클라우드컴퓨팅서비스 제공자
신청 서류 :
- 1. 인증 신청서
- 2. 사업자등록증
- 3. 서비스 설명서
- 4. 정보보호 관리체계 문서
신청 기관 : 한국인터넷진흥원 (KISA)
5.2 심사 단계
[확인 등급 심사 과정]
- 1. 자가 진단 체크리스트 제출
- 2. 문서 심사
- 3. 확인서 발급
[검증 등급 심사 과정]
- 1. 문서 심사
- 2. 간소화 현장 심사 (주요 통제만)
- 3. 검증서 발급
[인증 등급 심사 과정]
- 1. 문서 심사
- 2. 현장 심사 (전체 통제)
- 3. 취약점 점검
- 4. 부적합 사항 조치
- 5. 인증서 발급
5.3 심사 기간
- 확인: 약 1~2개월
- 검증: 약 2~3개월
- 인증: 약 3~6개월
5.4 심사 비용
- 확인: 약 500만원 ~ 1,000만원
- 검증: 약 1,500만원 ~ 3,000만원
- 인증: 약 3,000만원 ~ 5,000만원
비용 변수 : 서비스 규모, 데이터센터 수, 평가 기관
5.5 유효 기간 및 갱신
- 유효 기간: **2년**
- 사후 관리: 연 1회 사후 심사
- 갱신: 유효 기간 만료 전 갱신 신청
6. CSAP vs 기타 인증
6.1 CSAP vs ISO 27001
| 구분 | CSAP | ISO 27001 |
|---|---|---|
| 범위 | 클라우드 서비스 | 모든 조직 |
| 발행 기관 | 과기정통부/KISA | ISO/IEC |
| 클라우드 특화 | O | X |
| 공공 시장 | 한국 우대 | 국제 인정 |
| 유효 기간 | 2년 | 3년 |
병행 인증 : 많은 CSP가 CSAP + ISO 27001 모두 취득
6.2 CSAP vs CSA STAR
CSA STAR (Cloud Security Alliance Security, Trust, Assurance and Risk)
| 구분 | CSAP | CSA STAR |
|---|---|---|
| 범위 | 한국 | 국제 |
| 기준 | 한국형 | CCM (Cloud Controls Matrix) |
| 공공 시장 | 한국 우대 | 국제 |
| 인지도 | 국내 | 글로벌 |
글로벌 CSP : AWS, Azure, GCP 등은 CSA STAR 보유, 한국 시장 진출 시 CSAP 추가 취득
7. 클라우드 보안 관련 법규
7.1 개인정보보호법
클라우드 이용 시 :
- 개인정보 처리 위탁으로 간주
- 위탁 계약 체결 필수
- 수탁자(CSP) 관리·감독
암호화 :
- 개인정보 암호화 (제6조)
- 전송 시 TLS 1.2 이상
7.2 전자금융감독규정 (금융권)
클라우드 이용 시 :
- 금융감독원 승인 또는 신고
- 금융 데이터 국내 저장 원칙
- 재해 복구 체계
보안 요구사항 :
- 데이터 암호화
- 접근 통제
- 감사 지원
7.3 클라우드컴퓨팅법
- 서비스 수준 협약 (SLA): SLA 체결 의무, 가용성/성능/보안 수준 명시
- 데이터 반환: 계약 종료 시 데이터 반환 의무
- 손해배상: 서비스 장애 시 책임
8. 클라우드 보안 실무
8.1 클라우드 도입 시 보안 검토
사전 검토
[CSP 선정 기준]
- 1. 보안 인증 확인 (CSAP, ISO 27001, SOC 2 등)
- 2. 데이터센터 위치
- 3. SLA
- 4. 보안 사고 이력
서비스 모델별 고객 책임 수준 :
- IaaS: 고객 책임 많음
- PaaS: 중간
- SaaS: CSP 책임 많음
책임 공유 모델 :
[IaaS]
- CSP: 물리적 인프라, 가상화
- 고객: OS, 미들웨어, 애플리케이션, 데이터
[PaaS]
- CSP: 물리적 인프라, 가상화, OS, 미들웨어
- 고객: 애플리케이션, 데이터
[SaaS]
- CSP: 물리적 인프라, 가상화, OS, 미들웨어, 애플리케이션
- 고객: 데이터 (일부)
계약
계약서 필수 조항 :
- 1. 서비스 수준 (가용성 99.9% 등)
- 2. 데이터 소재지
- 3. 데이터 소유권
- 4. 보안 사고 통지
- 5. 감사 권한
- 6. 데이터 반환·삭제
- 7. 하위 위탁 조건
- 8. 손해배상
8.2 클라우드 보안 구성
접근 제어
IAM (Identity and Access Management) :
- 최소 권한
- MFA 활성화
- 정기 권한 검토
[AWS IAM 적용 예시]
- Root 계정 사용 금지
- IAM 사용자/역할 생성
- 관리자 계정 MFA
- 정책 최소 권한
네트워크 보안
VPC (Virtual Private Cloud) :
- 네트워크 격리
- 서브넷 분리 (공개/비공개)
- 보안 그룹 (방화벽)
- NACL (Network ACL)
데이터 암호화
[저장 시]
- 디스크 암호화 (EBS 암호화 등)
- 데이터베이스 암호화
- 객체 스토리지 암호화 (S3 등)
[전송 시]
- HTTPS
- VPN
[키 관리]
- KMS (Key Management Service)
- 고객 관리 키 (CMK)
로그 및 모니터링
[로그 수집]
- 클라우드 서비스 로그 (CloudTrail, Activity Log 등)
- 애플리케이션 로그
- 보안 로그
[SIEM 연동]
- 중앙 집중화
- 실시간 분석
[알림]
- 이상 징후 알림
- 보안 사고 알림
백업
[정기 백업]
- 자동 백업 설정
- 스냅샷
[지리적 분리]
- 다른 리전에 백업
- DR 구성
8.3 클라우드 보안 점검 항목
- [ ] IAM 정책 검토
- [ ] 보안 그룹 규칙 검토
- [ ] 암호화 설정 확인
- [ ] 백업 상태 확인
- [ ] 로그 수집 상태 확인
- [ ] 미사용 리소스 정리
- [ ] 취약점 스캔
- [ ] 비용 모니터링
[보안 점검 도구]
- AWS: Security Hub, GuardDuty, Inspector
- Azure: Security Center, Defender
- GCP: Security Command Center
9. 실무 사례
사례 1: 스타트업 SaaS 기업
[배경]
- A스타트업 (HR SaaS)
- 공공기관 입찰 준비
[CSAP 인증 과정]
- 1. 등급 선택: 검증 (공공 시장 충분)
- 2. 준비 기간: 4개월
- 3. 주요 활동: ISO 27001 먼저 취득 → 클라우드 특화 통제 추가 → 문서 정비
- 4. 심사: 문서 + 간소화 현장
- 5. 결과: 검증 등급 획득
[효과]
- 공공기관 입찰 참여 가능
- 신뢰도 향상
사례 2: 중견 IDC 기업
[배경]
- B기업 (IDC + 클라우드)
- 금융권 고객 확보 목표
[CSAP 인증 과정]
- 1. 등급 선택: 인증 (최고 등급)
- 2. 준비 기간: 6개월
- 3. 주요 활동: 데이터센터 물리적 보안 강화 → 24시간 보안 관제 체계 구축 → DR 센터 구축 → 취약점 점검 및 조치
- 4. 심사: 전체 현장 + 취약점 점검
- 5. 결과: 인증 등급 획득
[효과]
- 금융권 고객 5개사 확보
- 연 매출 30% 증가
사례 3: 글로벌 CSP의 한국 진출
[배경]
- C글로벌 CSP (미국)
- 한국 공공 시장 진출
[CSAP 인증 과정]
- 1. 기존 보유: CSA STAR, ISO 27001, SOC 2
- 2. CSAP 추가 취득
- 3. 한국 리전 별도 심사
- 4. 결과: 인증 등급
[효과]
- 한국 공공기관 고객 확보
10. 체크리스트
정책 및 조직
- [ ] 정보보호 정책을 수립했는가?
- [ ] 정보보호 책임자를 지정했는가?
- [ ] 연 1회 위험 평가를 수행하는가?
자산 관리
- [ ] 자산 목록을 관리하는가?
- [ ] 자산을 분류했는가?
인적 보안
- [ ] 채용 시 배경 조사를 하는가?
- [ ] 연 1회 보안 교육을 실시하는가?
- [ ] 퇴직 시 계정을 즉시 삭제하는가?
물리적 보안
- [ ] 데이터센터 출입을 통제하는가?
- [ ] CCTV를 24시간 녹화하는가?
- [ ] 환경 (온도, 습도)을 관리하는가?
접근 통제
- [ ] 개인별 고유 ID를 부여하는가?
- [ ] 관리자 계정에 MFA를 사용하는가?
- [ ] 분기 1회 권한을 검토하는가?
암호화
- [ ] 데이터를 암호화 (AES-256)하는가?
- [ ] 전송 시 TLS 1.2 이상을 사용하는가?
- [ ] 암호키를 안전하게 관리하는가?
운영 보안
- [ ] 변경 관리 절차가 있는가?
- [ ] 일일 백업을 수행하는가?
- [ ] 백신을 설치했는가?
- [ ] 로그를 1년 보관하는가?
- [ ] 분기 1회 취약점 스캔을 하는가?
- [ ] 24시간 보안 관제를 수행하는가?
통신 보안
- [ ] 방화벽을 설치했는가?
- [ ] IDS/IPS를 설치했는가?
- [ ] 원격 접속 시 VPN을 사용하는가?
시스템 개발
- [ ] 시큐어 코딩을 하는가?
- [ ] 개발/운영 환경을 분리했는가?
- [ ] 연 1회 모의해킹을 하는가?
공급자 관계
- [ ] 공급자 보안 수준을 평가하는가?
- [ ] 계약서에 보안 조항이 있는가?
사고 관리
- [ ] 사고 대응 절차가 있는가?
- [ ] 연 1회 모의 훈련을 하는가?
- [ ] 고객에게 사고를 통지하는가?
업무 연속성
- [ ] DR 계획이 있는가?
- [ ] 백업을 다른 리전에 보관하는가?
- [ ] 연 1회 DR 훈련을 하는가?
컴플라이언스
- [ ] SLA를 체결했는가?
- [ ] 데이터 소재지를 명시했는가?
- [ ] 고객 감사를 지원하는가?
클라우드 특화
- [ ] 고객 간 데이터를 격리하는가?
- [ ] 데이터 삭제 증명서를 제공하는가?
- [ ] API 보안을 적용했는가?
학습 정리
오늘 학습한 핵심 내용 :
- CSAP은 클라우드 보안 인증제도 (과기정통부/KISA)
- 법적 근거: 클라우드컴퓨팅법 제23조
- 3개 등급: 확인, 검증, 인증 (유효 기간 2년)
- 14개 통제 영역 (ISO 27001 기반 + 클라우드 특화)
- 공공기관은 CSAP 인증 서비스 우선 고려 → 공공 시장 사실상 필수
- 책임 공유 모델: IaaS/PaaS/SaaS에 따라 고객 책임 범위 다름
- 주요 통제: 멀티 테넌시, 데이터 주권, API 보안
- 클라우드 도입 시 CSP 보안 인증 확인 필수
- ISO 27001, SOC 2와 병행 인증 가능
다음 학습 주제
Day 29: 국가정보보안 기본지침 (공공 부문 보안)