앞선 포스팅에서는 CSP(Cloud Service Provider)와 MSP(Managed Service Provider)의 뜻과 의미를 살펴보고, CSP와 MSP 간의 상호 역할에 대해 정리해보았습니다.
단순 개념 정의를 내용과 곁들여 클라우드 회사(CSP, MSP)들의 다양한 배경 이야기와 약간의 비지니스 구조도 함께 살펴보았습니다.
내용을 정리 할 수록 다양한 개념과 용어들이 등장하고 있어서 다소 어렵고 헷갈리시겠지만 차근차근 읽어 내려간다면 어렵지 않게 충분히 누구나 이해하실 수 있으시리라 짐작해 봅니다.
직전 포스팅 클라우드 회사 명칭(CSP, MSP)과 역할에 대한 내용을 정리해 두었으니 못 보신 분들은 하기 링크를 클릭하여 읽어보시길 바랍니다.
클라우드에서 CSP와 MSP 개념과 차이, 그리고 역할은?
이번 포스팅에서는 클라우드의 또 다른 분류인 ‘공공 클라우드’와 ‘민간 클라우드’에 대한 개념을 정리하여 구분해보고, 클라우드 보안인증(CSAP)에 대한 기본 내용, 해당 인증을 받아야하는 이유 등에 대해 살펴 볼 수 있도록 하겠습니다.
클라우드 비지니스는 참으로 많은 부분에 대한 개념, 정의, 구분이 필요한 분야임은 틀림없는 듯 하네요.
포스팅을 읽으시는 분들의 IT분야 클라우드 지식에 조금이나마 도움이 되면 좋겠습니다.
1. 공공 클라우드(G-Cloud / Government Cloud)의 개념, 정의
공공 클라우드, 흔히 우리는 G-Cloud 라고도 표현합니다. G는 Government 의 첫 글자인 G를 따서 표현한 단어입니다.
의미를 해석해보자면 ‘공공기관, 지자체 등 국가 기관에서 사용하는 클라우드 서비스’ 정도로 정의해 볼 수 있겠습니다.
앞선 포스팅에서 퍼블릭 클라우드(Public Cloud)를 설명하면서 많은 CSP(Cloud Service Provider, 클라우드 서비스 공급사)회사들에 대해 설명하였고, 국내외 다양한 회사들이 클라우드 서비스를 제공하고 있다고 말씀드렸습니다. 이러한 CSP 회사들이 많은 기업, 기관, 개인의 IT서비스 구현을 위해 클라우드 인프라를 제공하고 있는셈이죠.
전 세계 많은 국가들 그리고 우리나라도 마찬가지로 한 국가에는 수많은 지자체(서울시, 부산시, 강남구청 등)와 공공 기관(환경부, 교육부 등)들이 국민의 생명과, 안전, 편의를 위해 다양한 서비스를 제공하고 있습니다. 가령 민원24 같은 대국민 서비스를 통해 다양한 행정업무를 볼 수 있는거 처럼 말이죠.
즉, 국가는 이러한 대국민 서비스를 구현하기 위해 다양한 IT서비스를 구축하여 제공하고 있고, 공무원들의 내부 업무시스템 등도 운영하면서 국가 행정이 돌아가고 있다고 설명드릴 수 있겠습니다. 이렇듯 다양한 서비스와 시스템들은 국가의 중요 정보 및 민감 정보를 포함하고 있을 가능성이 높고, 외부 정보유출에 민감하게 운영 될 수 밖에 없겠지요.
그래서 이러한 서비스 구현을 위해 자체적인 전산실을 보유하고 운영하고 있는 경우도 있지만 우리나라에는 국가의 IT서비스의 인프라 자원 공급을 위해 ‘정부통합전산센터’를 운영하고 있습니다. 2017년 ‘국가정보자원관리원’으로 명칭이 변경되어 출범하면서 현재는 국가정보자원관리에서 모든 운영, 유지관리를 진행하고 있습니다.
예전에는 흔히 통합전산센터(통전)이라고 많이 표현을 하였는데요, 요즘엔 이런 통합전산센터라는 용어보단 ‘국가 클라우드 센터’ 라고 더 많이 불려지고 있는 거 같습니다.
그래서 우리는 이러한 국가정보관리원에서 제공하고 있는 전산센터를 흔히 ‘공공 클라우드’, ‘G-Cloud’라고 표현하고 있습니다.
이러한 국가정보관리원에서는 크게 2가지 개념`으로 클라우드 서비스를 공급하고 있다고 말씀드릴 수 있습니다.
다양한 공공기관, 지자체들은 보안등급이 높거나 민감 정보가 포함된 서비스, 시스템 구현 시
1) 해당 전산센터에 IT인프라 장비를 입주하여 운영하게 되고, IT인프라에 대한 운영, 관리 주체는 ‘국가정보자원관리원’에서 진행하는 형태로 서비스
2) 국가정보자원관리원에서 기 구축된 IT인프라 자원을 G-클라우드 관리시스템(G-CMS)로 사용
면밀하게 따지면
“기존 전통의 IDC(전산센터-Internet Data Center) 공간 임대 컨셉 + 프로그램(SW)으로 구현된 국가 클라우드 컴퓨팅 서비스를 복합적으로 활용”
할 수 있는 구조를 공공 클라우드 (G-Cloud) 라고 정의해 볼 수 있겠습니다.
하기 링크는 국가정보자원관리원에서 가이드하고 있는 공공 클라우드(G-Cloud) 일반 자료이오니 참고용으로 한번 보시면 좋을 거 같습니다.
관련 링크 :
1) 행정안전부 국가정보자원관리원 G-클라우드 개요 링크
2) 행정안전부 국가정보자원관리원 G-클라우드 운영 링크
참고로 대한민국의 국가 데이터 센터는 ‘1센터 : 대전 / 2센터 – 광주 / 3센터 – 대구’에 각각 위치하고 있으니 참고로 알고 있어도 유익 할 거 같습니다.
2. 민간 클라우드(=Public Cloud)의 개념, 정의
민간 클라우드는 간략하게 설명해 볼 수 있도록 하겠습니다. 민간 클라우드란 ‘퍼블릭 클라우드(Public Cloud)’ 와 거의 동일한 개념으로 민간 기업이 클라우드 서비스를 공급하기 위해 자체적인 기술력과 막대한 예산을 투입하여 만들어논 클라우드 서비스 입니다.
지난번 포스팅에서 퍼블릭 클라우드(Public Cloud) 뜻과 개념을 정리해보았었는데요. 이러한 민간 기업이 제공하는 퍼블릭 클라우드 서비스를 민간 클라우드라고 명칭하고 있습니다. 퍼블릭 클라우드의 의미와 설명은 아래 링크를 클릭하여 상세히 확인하시길 권장드립니다.
퍼블릭 클라우드(Pubic), 프라이빗 클라우드(Private), 하이브리드 클라우드 (Hybrid) 개념과 의미
한마디로 ‘민간 클라우드=퍼블릭 클라우드’ 는 동의어로 해석해서 같은 개념으로 이해하여도 크게 무리가 없을 것으로 생각됩니다.
그래서 각 민간 클라우드 회사들은 기업, 기관, 개인이 모두 서비스 사용 대상자이기 때문에 고객사 영업 활동 및 마케팅 진행 간 ‘금융 특화 클라우드’, ‘게임 개발 전용 클라우드’, ‘공공존 전용 클라우드’ 등 다양한 서비스 사용자 유치를 위해 시장(영역)별 특장점을 어필하기도 합니다. 실제로 서비스도 시장 특성을 반영하여 구축되어 있습니다. (요구조건, 제도 등 반영)
위에서 공공클라우드(G-Cloud) 대해 설명한 내용 말미에 국가에서 운영하는 공공클라우드 데이터센터는 3군데(대전, 광주, 대구)가 있다고 말씀드렸습니다.
수많은 서비스와 IT인프라 자원을 모두 수용하기엔 아무래도 무리가 따를 수 밖에 없겠죠. 그래서 우리나라(대한민국)에서는 ‘한국인터넷진흥원(KISA)’을 통해 2016년 즈음부터 국내 민간 클라우드 회사를 대상(KT, NAVER, NHN 등)으로 ‘클라우드보안인증(CSAP)’ 인증제도를 시행하게 됩니다.
이러한 ‘클라우드 보안인증(CSAP)’ 을 통해 민간 클라우드 회사들의 서비스를 공공 클라우드 처럼 사용 할 수 있는 환경이 마련되게 되었습니다. 즉 민간 클라우드 회사의 IaaS 인프라 서비스에 공공기관, 지자체의 국가 서비스가 구축되는 형태로 이해하면 좋겠습니다.
‘클라우드 보안인증(CSAP)’ 에 대한 좀 더 상세한 내용은 아래에서 설명 드려 볼 수 있도록 하겠습니다.
3. 클라우드 보안인증 (CSAP)이란 ?
앞서 공공 클라우드와 민간 클라우드에 대한 구분, 개념을 정리해보았습니다. 대략적인 개념과 감이 잡히시리라 소망해봅니다.
클라우드 분야를 검색하고 스터디하다보면 간혹 ‘클라우드 보안인증(CSAP)’ 라는 단어를 심심치 않게 접해 볼 수 있습니다. 그렇다면 ‘클라우드 보안인증(CSAP)’ 란 무엇인지 알아 볼 수 있도록 하겠습니다.
위 민간 클라우드 설명 말미에도 언급 하였 듯 클라우드 회사들은 ‘클라우드 보안인증(CSAP)’ 를 득하여 공공기관, 지자체에 국가 서비스를 구축, 운영 할 수 있습니다.
하기 내용과 같이 카테고리별로 클라우드 보안인증(CSAP)을 이해해 볼 수 있도록 하겠습니다.
– CSAP : Cloud Security Assurance Program
민간 클라우드 공급 회사가 공공 부문에 클라우드 서비스를 공급할 때 갖춰야 할 필수 인증
1) 클라우드 보안인증(CSAP) 인증 제도와 개념
: 클라우드 서비스 공급 회사(국내 CSP)가 제공하는 서비스에 대해 국가가 정한 법령, 보안 요건 기준에 따라 시스템 정보보호 수준의 향상 및 보장을 위해 심사, 평가, 검증하는 클라우드 컴퓨팅 인증 수행 제도
2) 목적 및 필요성
: 국가가 운영하는 공공기관, 지자체 등 안정성 및 신뢰성이 검증된 민간 클라우드 서비스 공급
: 해당 보안인증을 심사를 통한 공공기관, 지자체 사용자의 보안 우려 및 염려 해소
3) 인증 기관
: 정책 기관 – 과학기술정보통신부 / 인증기관 – 한국인터넷진흥원(KISA)
4) 보안인증 유형 및 등급
: IaaS, SaaS, DaaS 기준 / 유효기간 5년
: 보안인증 등급은 상, 중, 하로 구분 (이부분은 향 후 상세히 설명 드릴 수 있도록 하겠습니다, 서비스의 개인정보 포함여부 등 중요도에 의해 인프라 인증 등급 선택)
5) 보안인증 범위
: 클라우드 서비스 구현에 포함된 자산(시스템, 설비, 시설 등), 조직, 지원 서비스 등을 포함
6) 보안인증 기준
: 정보보호 정책 및 조직, 인적보안, 자산관리, 서비스 공급망 관리, 침해사고 관리 등 총 14개 항목에 대한 상세 보안 점검
보다 상세한 인증관련 내용 및 자료는 하기 한국인터넷진흥원 링크를 클릭하여 확인해 보시기 바랍니다.
관련링크 : 한국인터넷진흥원(KISA) 클라우드 보안인증제
정리해보자면
(누가?) 국가가 인증하는 기관인 ‘한국인터넷진흥원(KISA)’ 에서
(누구에게?) 공공분야에 클라우드 서비스를 공급하고자 하는 민간 클라우드 회사에게
(무엇을?) 국가가 지정한 법령 및 기준에 따른 보안인증제도 운영을
(어떻게?) 상, 중, 하 등급에 따른 정보 보호 기준 준수 확인, 인증을 통해
(왜?) 공공 분야 클라우드 서비스의 보안 우려, 해소 등을 통한 및 안정적인 서비스 공급 보장
정도로 간략히 요약해 볼 수 있겠습니다.
즉 “민간 클라우드 서비스 공급 회사가 국가 공공 분야에 클라우드 서비스를 공급하기 위해 국가가 보증한 한국인터넷진흥원(KISA)에서 민간 클라우드 회사의 다양한 IT인프라 자원 및 보안 구성에 대해 심사, 평가, 검증을 함으로써 안정성과 신뢰성이 보장된 클라우드 서비스 공급을 개런티하는 인증” 정도로 이해하면 좋겠습니다.
4. Summary. 공공클라우드, 민간클라우드, 클라우드 보안인증(CSAP)과 상관 관계
설명할 내용이 많아 다소 글과 문단이 길어졌습니다. 오늘 알아본 내용들을 간략히 요약해보자면,
1) 공공 클라우드 (G-Cloud)
: 공공기관, 지자체 등 국가기관에서 사용하는 클라우드 서비스, 국가통합전산센터(현 국가정보자원관리원), 1센터 대전, 2센터 광주, 3센터 대구
: 데이터 센터 공간 및 상면 임대, 물리장비 입주 + 프로그램 및 SW로 구현 된 국가 클라우드 컴퓨팅 서비스가 복합, 운영되는 구조
2) 민간 클라우드 (=Public Cloud)
: 퍼블릭 클라우드(Public Cloud) 와 거의 동일한 개념
: 민간의 클라우드 서비스 공급회사가 최적의 클라우드 서비스 공급을 위해 자체적인 기술력과 막대한 비용을 투입하여 구현한 클라우드 서비스
: 기업, 기관, 지자체, 개인 등에게 다양하게 서비스 가능
3) 클라우드 보안인증(CSAP) 인증 제도
: 민간 클라우드 회사들이 공공분야 클라우드 서비스 공급을 위해 필수로 갖춰야 할 보안 인증
: 보안 구성에 대한 우려, 해소를 위해 국가가 보증하는 ‘한국인터넷진흥원(KISA)’에서 국가 법령 및 보안 요건 기준을 토대로 클라우드 공급회사의 IT인프라 자원, 보안구성등에 대해 심사, 평가, 검증
: 안정성과 신뢰성이 보장된 공공 분야 클라우드 서비스 공급을 개런티
위 내용으로 정의, 정리 해보고 이해한다면 큰 무리가 없을 것으로 생각됩니다.
결국 민간 클라우드 분야 – 클라우드 보안인증(CSAP)은 공공 분야 비지니스를 위해서는 필수불가결한 제도로 많은 상관관계를 가지고 있습니다.
해당 인증을 통해 민간 회사의 클라우드 서비스가 국가 공공분야 서비스를 구현 할 수 있으니 민간 클라우드는 사실상 공공 클라우드를 품고 있다고 표현해도 무방 할 거 같습니다.
오늘 포스팅 한 내용은 기술적인 이해도 보다는 제도와 용어, 그리고 비지니스적인 이해도가 함께 복합되어 있는 내용으로 풀어진 거 같습니다.
다소 낯설고 이해가 안가시는 부분이 있더라도 차근차근 읽어보시고 여러분의 스터디 가운데 작은 도움이 되면 좋겠습니다.