정보보호학회지 (Review of KIISC)

한국정보보호학회 (Korea Institute of Information Security and Cryptology)
권호 표지

클라우드 보안 인증 스킴과 해결과제

  • 발행 : 2012.10.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

클라우드는 IT를 직접 소유하기 보다는 제3자가 제공하는 규격화된 요소들(소프트웨어, 플랫폼, 인프라구조 등)을 필요에 따라 셀프서비스 방식으로 사용하고 그에 따른 경비를 지불하는 모델을 포괄적으로 일컫는 용어이다. 그러나, 클라우드는 데이터를 집중 관리하므로 규모의 경제를 달성하는 데 용이하지만 악의적인 공격자에게는 더 매력적인 공격대상으로 간주되기도 한다. 이러한 모든 특징으로 인해 클라우드는 기존의 IT 환경에 비해 더 높은 수준의 보안 프로세스, 기술 및 의식을 요구하고 있다. 본 논문에서는 클라우드 서비스를 보호하기 위한 각종 보안 인증 스킴을 살펴보고, 아울러 클라우드 솔루션을 평가, 구현, 관리, 유지할 때 필요한 규정준수와 위험관리, 사용자 확인과 액세스 제어, 서비스 무결성, 종단점 무결성, 정보보호 등 핵심 보안 고려사항 5가지를 제안하였다.

키워드

참고문헌

  1. NIST SP 800-30, Risk Management Guide for IT Systems, 2002. 7.
  2. NIST SP 800-37, Guide for the Security Certification and Accreditation of FIS, 2004. 5.
  3. NIST SP 800-53A, Guide for Assessing the Security Controls in FIS (second public draft, 2006. 5).
  4. NIST SP 800-60, Guide for Mapping Types of Information and Information Systems to Security Categories, 2004. 6.
  5. NIST FIPS 199, Standards for Security Categorization of Federal Information and Information Systems, 2004. 2.
  6. NIST FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, 2006. 2.
  7. GSA, "Ensuring secure cloud computing for the Federal Government", 2012. 6.
  8. GCN, "FedRAMP aims to authorize 3 cloud providers by year's end", 2012. 6.
  9. ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems
  10. Cloud Security Alliance, Cloud Controls Matrix v1.2, 2011. 8.