클라우드 보안 컴플라이언스 개요
클라우드 환경에서는 공유 책임 모델로 인해 컴플라이언스 책임이 CSP와 고객 사이에 분담됩니다. 정보보안기사 시험에서는 FedRAMP, ISO 27017, CSA STAR, SOC 2 인증 체계가 핵심 출제 범위입니다.
공유 책임 모델(Shared Responsibility Model)
- CSP(클라우드 서비스 제공자) 책임: 인프라 보안(물리적 시설, 하이퍼바이저, 네트워크 장비). “클라우드의 보안”
- 고객 책임: 데이터, 접근 제어, 운영체제 패치, 네트워크 구성. “클라우드에서의 보안”
- 서비스 모델별 차이: IaaS는 고객 책임 범위가 넓고, SaaS는 CSP 책임 범위가 넓음
FedRAMP(Federal Risk and Authorization Management Program)
미국 연방 정부 기관이 사용하는 클라우드 서비스에 대한 표준화된 보안 인증 프레임워크입니다.
- 영향 수준: Low(비민감), Moderate(민감), High(기밀)
- 기반: NIST SP 800-53 보안 컨트롤
- 인증 절차: 3PAO(Third-Party Assessment Organization)가 독립 감사 수행
ISO 27017과 ISO 27018
- ISO 27017: 클라우드 서비스에 특화된 정보보안 통제 가이드라인. ISO 27001 기반으로 클라우드 환경에 추가 통제 항목 제공. CSP와 고객 모두를 위한 지침
- ISO 27018: 클라우드에서 개인정보 처리 보호. PII(개인식별정보) 보호 원칙. 클라우드 PII 프로세서를 위한 실천 규약
CSA STAR(Security Trust Assurance and Risk)
CSA(Cloud Security Alliance)가 운영하는 클라우드 특화 보안 인증 프로그램입니다.
- STAR Level 1: 자가 평가(Self-Assessment). CCM(Cloud Controls Matrix) 기반 설문
- STAR Level 2: 제3자 감사. ISO 27001 또는 SOC 2 기반
- STAR Level 3: 지속적 모니터링 기반 인증
- CCM(Cloud Controls Matrix): 16개 도메인, 197개 클라우드 보안 통제
SOC 2(System and Organization Controls 2)
미국 AICPA 기준의 서비스 조직 내부 통제 검증 보고서입니다.
- 5대 Trust Service Criteria: Security(보안), Availability(가용성), Processing Integrity(처리 무결성), Confidentiality(기밀성), Privacy(개인정보)
- Type I: 특정 시점의 통제 설계 적합성 평가
- Type II: 일정 기간(최소 6개월) 통제 운영 효과성 평가
정보보안기사 기출 핵심 정리
- 공유 책임 모델: CSP = 인프라 보안, 고객 = 데이터·접근·OS
- FedRAMP = 미국 연방정부 클라우드 인증, NIST 800-53 기반
- ISO 27017 = 클라우드 보안, ISO 27018 = 클라우드 개인정보
- CSA STAR Level 1(자가평가) → Level 2(제3자 감사)
- SOC 2 Type II = 운영 기간 통제 효과성(6개월 이상)