과학기술정보통신부(이하 과기부)와 한국인터넷진흥원(이하 KISA)이 26일부터 클라우드 보안인증제 대상 분야에 ‘서비스형 데스크톱(Desktop as a Service, DaaS)’를 추가하고 심사인증 적용에 나선다. 26일 온라인 설명회에서 공개된 구체적 기준에 따르면 기존 IaaS 인증 사업자에 대한 DaaS 공통항목 인증은 대부분 생략되며, 인증 효력은 공공기관의 물리적 인터넷 PC망을 대상으로만 적용된다.
클라우드 보안인증제는 공공기관에 클라우드 서비스를 제공하려는 민간 사업자가 자사 클라우드 서비스에 대한 보안인증을 KISA에서 평가·인증해주는 제도다. 기존에는 서비스형 인프라(IaaS), 서비스형 소프트웨어(SaaS) 등 주요 클라우드 서비스 유형에 대한 인증이 이뤄졌고 이번에 새로 DaaS가 추가됐다. 이는 올해 2월 행정안전부의 ‘개방형 OS 도입전략 수립’ 계획에 따라 공공기관 내 인터넷망 PC를 편리하고 안전한 DaaS로 대체하기 위한 과정의 일환이다.
먼저 인증 범위에는 네트워크, 보안 시스템, 하이퍼바이저 등의 인프라 영역과 DaaS 구성 요소인 가상 PC OS, 인증·관리서버, 보안 SW가 포함된다. 총 14개 부문 110개 통제항목, 209개의 세부 점검 항목에 대한 점검이 이뤄지며, DaaS 평가 항목 중 상당 부분은 기존의 IaaS 보안 인증과 중복된다.
이에 따라 기존 IaaS 인증 사업자라면 사전컨설팅 혹은 평가 전 IaaS 대비 변경사항 식별을 통해 중복점검 항목을 제외한 간소화 평가를 신청할 수 있다. 예를 들어 사업자가 IaaS 제공을 위해 전담조직을 구성하고 정보보호 최고책임자(CSIO)를 지정한 경우, 해당 부문에 대한 평가는 생략될 수 있다. 다만, DaaS 운영 및 개발을 위한 별도의 전담조직을 신설한 경우에는 해당되지 않는다.
보안 취약점, 소스코드·모의침투 역시 IaaS 인증 범위에 미포함된 영역만 식별하며, 가상 PC 접속을 위한 이용자 클라이언트는 IaaS 점검 범위에 포함되지 않으므로 생략할 수 없다. KISA 관계자는 “기존 IaaS 인증 사업자의 경우 심사에 약 2개월이 걸릴 것으로 보인다”고 말했다.
신규 사업자의 경우 4개월가량이 필요한 것과 비교하면 약 절반 수준이다. 세부적으론 IaaS 대비 통제 항목이 17개 감소하고, 대신 가상자원 초기화, 필수 보안SW 제공, 비인가 접속단말 차단 등 DaaS 특화 항목들이 추가됐다.
참고로 PC 초기화 방법은 가상 OS 전체를 초기화하는 ‘Pooled’와 일부 저장 데이터만 삭제하는 ‘Dedicated’ 방식이 모두 허용된다. 또 내부망↔DaaS 접속 구간에 대해선 VPN 또는 전용선을 구축해 통신 채널에 대한 암호화를 진행해야 한다.
인증 취득 시 유효 기간은 5년으로, IaaS와 DaaS 인증 유효기간은 별도로 부여된다. 다만, 사후평가의 경우 KISA와 협의하면 두 가지 서비스 인증에 대한 동시 평가가 가능하다.
이 밖에도 설명회에서는 현재 DaaS 서비스 준비 기업들의 다양한 사전질의에 대한 답변도 진행됐다. 일부 주요한 내용을 추리자면 △DaaS 인증 평가 수수료는 정부 지원으로 비용이 발생하지 않음 △인증은 공공기관 대상인 만큼, 취득 영역에 대한 민간 서비스 제공은 금지 △DaaS 인프라 제공 사업자와 개발·운영 사업자가 다를 경우는 역할에 관계없이 실제 이용자에게 서비스를 제공하는 주체에게 인증 의무 부여 △필수 제공 운영체제 없음 △가상 PC 초기화 데이터 범위는 인터넷망 DaaS에 저장되는 이용자의 문서 데이터 등이 있다. 기타 사항은 KISA 클라우드 인증팀(cloud@kisa.or.kr)을 통해 문의하면 된다.
한편 DaaS는 클라우드 기반 가상화 컴퓨터 서비스를 의미한다. 보통 물리적 저장 공간에 운영체제나 프로그램을 설치하고 파일을 저장하는 일반 PC와 달리, DaaS는 PC 구동에 필요한 모든 소프트웨어 자원이 중앙 클라우드 서버에서 호스팅 형식으로 제공된다. 이를 통해 설치 장소에서 PC에 대한 개별 관리가 필요 없어지고 네트워크를 통한 상시 업그레이드, 보안 패치, 뛰어난 유연성과 복구 안정성 제공하기 때문에 공공 PC에 적용 시 다양한 이점을 누릴 수 있다.
특히 공무원들은 기존처럼 망 분리를 위한 인터넷 전용 PC를 따로 운용할 필요 없이 정부의 보안요구사항이 충족된 DaaS 기반의 안전한 가상 PC를 업무에 활용할 수 있게 된다.