[아이뉴스24 성지은 기자] 새로운 정보보호 관리체계 인증기준에 클라우드 보안이 신설돼 주목된다.
기업 내 클라우드 사용이 증가하면서 클라우드 보안에 대한 관리체계 또한 수립할 필요성이 높아진 것으로 해석된다.
한국인터넷진흥원(KISA)은 '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 등에 관한 고시' 전부개정안에 최신 기술과 이슈를 반영한 인증기준이 추가·개선됐다고 1일 밝혔다.
앞서 정부는 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증 간에 유사성이 높아 기업이 이중 부담을 진다는 지적을 반영, 두 제도를 통합·개선했다.
이에 따라 기업은 80개 보안 항목을 충족할 경우 ISMS 인증을 받을 수 있고, 추가로 22개 개인정보보호 항목을 통과하면 통합인증인 ISMS-P를 획득할 수 있다. 정부는 행정예고를 통한 의견수렴을 진행 중으로 연내 신규 제도를 시행할 계획이다.
특히 신규 제도에서 가장 눈에 띄는 점은 유사·중복항목을 통합하는 대신 클라우드 보안 등 최신 기술을 반영한 인증기준을 신설한 대목이다.
새 기준에 따르면, 사업자는 클라우드 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요 정보와 개인정보가 유·노출되지 않도록 관리자 접근과 보안 설정 등에 대한 보호대책을 수립·이행해야 한다.
최근 잘못된 환경설정 등 클라우드 관리 소홀로 개인정보, 사내기밀 등이 유·노출되는 사고가 잇따라 발생하고 있다.
실제 페덱스는 올해 아마존 심플 스토리지 서비스(S3) 설정 오류로 12만여명의 개인정보가 유출됐다. 페덱스는 아마존 S3 저장소 단위인 '버킷'의 보안 설정을 잘못해 클라우드 내 개인정보를 열람할 수 있도록 빌미를 제공했다.
또 도메인등록 전문업체 고대디는 임직원의 아마존 S3 버킷 설정 오류로 회사 기밀이 노출됐고, 지난해 버라이즌, 다우존스, 액센츄어 등이 환경설정 오류로 개인정보가 유출되는 사고를 겪었다. 미공화당전국위원회(RNC)는 수개월에 걸쳐 1억9천여명의 유권자 민감정보를 노출하기까지 했다.
이같이 클라우드 보안이 새로운 위협으로 부상하면서, 신규 제도 또한 인증기준에 클라우드 보안을 포함하고 위협을 예방하고자 한 것으로 풀이된다.
클라우드접근보안중개(CASB) 스카이하이네트웍스 조사에 따르면, 아마존 S3 버킷의 7%는 현재 무제한 접근이 가능한 상태며 35%는 암호화되지 않아 정보 유·노출 가능성이 높다. 이 같은 취약성을 파고들어 해커는 잘못된 클라우드 스토리지 설정을 검색하는 도구 'AWS S3 버킷 덤프'까지 사용하고 클라우드 데이터를 노리고 있다.
스카이하이네트웍스 측은 "CASB를 이용해 서비스형 인프라(IaaS)에 정보유출방지(DLP)를 수행하고 아마존웹서비스(AWS) 보안 구성 설정을 모니터링하는 등 데이터 노출 방지를 위해 조처를 해야 한다"고 조언했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기