• 디지털융복합연구
• /
• 제13권8호
• /
• pp.43-49
• /
• 2015

대표적인 융복합 ICT 서비스라고 할 수 있는 클라우드 컴퓨팅 서비스에 대한 법안이 2015년 3월에 통과되면서 많은 업체나 기관에서 다시금 클라우드 서비스 도입을 고려하고 있으나 보안에 대한 염려 때문에 서비스 도입을 주저하고 있다. 이러한 문제를 해결하기 위해서는 클라우드 서비스 보안에 대한 객관적이고 공정한 평가와 인증을 수행할 수 있는 클라우드 보안 인증체계의 도입이 요구된다. 현재 클라우드 보안 인증체계에 관한 연구가 활발히 진행되고 있지만 인증스킴에 대한 연구는 미흡하다. 따라서 본 연구는 국외 클라우드 보안 인증체계와 클라우드 서비스 제공자에 대한 평가 제도를 분석하여 국내 클라우드 보안 인증 도입시 고려되어야 할 요소들을 분석하였다. 이를 기반으로 국내 실정에 맞는 3가지 인증스킴을 제시하였고, 포커스 그룹 인터뷰를 통하여 인증스킴별 장단점을 도출하여 상황에 적절한 인증스킴을 제시하였다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1231-1238
• /
• 2013

클라우드서비스에 대한 수요가 급증하고 있는 환경에서 보안 및 개인정보 침해를 우려하고 있다는 사실은 자칫 산업 활성화를 저해할 가능성이 있다. 따라서 클라우드서비스의 이용 신뢰성을 보장하는 것은 매우 중요하다. 본 논문에서는 클라우드서비스의 신뢰성을 보장하기 위한 CSA 인증, FedRAMP 인증, 한국클라우드서비스협회의 인증 등 국내외의 제도들을 비교함으로써 국내의 클라우드서비스 인증에는 보안 통제사항이 부족하다는 결론에 도달한다. 이에 따라 보안을 강화하기 위하여 국제표준인 ISO/IEC 27017, 한국인터넷진흥원(KISA)의 정보보호관리체계(ISMS) 인증에서의 보안 통제사항을 참고하여 제도 운용의 용이성, 전문성 등을 고려한 적절한 발전방향을 제시하였다.

• 융합보안논문지
• /
• 제15권5호
• /
• pp.9-15
• /
• 2015

클라우드 컴퓨팅은 서버의 추가 구축에 대한 비용절감, 데이터 스토리지 확대에 대한 비용 절감, 컴퓨터 자원에 대한 공유, 새로운 기술의 적용에 대한 편의성 등의 장점을 가지고 있다. 그러나 서비스 모델의 다양성으로 인하여 새로운 보안의 우려사항이 높아지고 있어, 이용자가 서비스의 안정성을 신뢰할 수 있도록 인증제도가 운영되고 있다. 이에 본 논문에서는 인증제도의 신뢰성을 확보하기 위해 기존 IT환경에서 적용되던 위험 분석 방법과 달리 공공 IaaS(Infrastructure as a Service) 클라우드 서비스 특징을 고려, 새로운 위험분석 방법을 제안한다.

• 디지털융복합연구
• /
• 제11권11호
• /
• pp.53-58
• /
• 2013

최근 클라우드에 대한 인식이 널리 확산되면서 세계적으로 클라우드 이용이 점점 더 증가하고 있다. 클라우드는 ICT를 기반으로 하는 다양한 산업에 융 복합이 가능하고, 비용 절감 등 장점이 많아 경기 침체기인 요즘 더욱더 각광받고 있다. 그러나 클라우드 서비스의 잠재력을 더욱 더 발휘하기 위해서는 서비스 제공자와 소비자관점에서 서비스의 보안, 성능, 가용성 등 핵심 이슈들에 대한 명확한 이해가 필요하며 사용자의 주된 관심은 어떻게 안전하고 신뢰할 수 있는 클라우드 서비스를 제공받아 사용할 것인가에 맞추어지게 된다. 이러한 문제점에 대응하기 위하여 한국에서는 클라우드 서비스 인증제도가 시행되고 있으며 일본에서는 ASP-SaaS-Cloud 인증제도가 시행되고 있다. 본 연구에서는 양국의 두 인증제도의 비교분석을 수행하고 두 인증제도간의 차이점에 대하여 기술한다. 궁극적으로는 두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안을 제안하기로 한다.

• 반도체디스플레이기술학회지
• /
• 제20권4호
• /
• pp.83-88
• /
• 2021

Cloud services have become the core infrastructure of the digital economy as a basis for collecting, storing, and processing large amounts of data to trigger artificial intelligence-based services and industrial innovation. Recently, cloud services have been spotlighted as a means of responding to corporate crises and changes in the work environment in a national disaster caused by COVID-19. While the cloud is attracting attention, the speed of adoption and diffusion of cloud services is not being actively carried out due to the lack of trust among users and uncertainty about security, performance, and cost. This study compares and analyzes the "Cloud Service Quality and Performance Management System" and the "Cloud Service Certification System" and suggests complementary points and improvement measures for the cloud service quality and performance management system.

• 정보보호학회논문지
• /
• 제23권2호
• /
• pp.251-265
• /
• 2013

IT자원을 공유하여 서비스 형태로 제공하는 클라우드 컴퓨팅은 정보보호 이슈가 해결되지 않으면 활성화될 수 없다. 기업은 클라우드 컴퓨팅 서비스를 도입하여 정보통신 자원의 효율성을 극대화하고자 한다. 하지만 미국, 일본 등에 비해 국내에서 클라우드 컴퓨팅 서비스가 아직 활성화되지 못한 가장 큰 이유는 정보보호에 대한 신뢰가 부족하기 때문이다. 본 논문은 국내 외 클라우드 인증제도 및 가이드라인과 정보보호 관리체계 통제 항목을 비교 분석하여 한국형 클라우드를 위한 핵심 평가 기준 및 기존 정보보호 관리체계 통제 항목과의 중복성을 제거한 추가적인 평가 기준을 제안한다. 정보보호 관리체계 인증을 받은 클라우드 서비스 제공자는 추가 평가 기준만으로 중복되고 불필요한 인증 평가 작업을 최소화할 수 있다.

• 디지털융복합연구
• /
• 제10권11호
• /
• pp.59-65
• /
• 2012

최근 클라우드 서비스의 혁신은 정보통신기술에 기여한 가장 큰 잠재력을 가진 기술 중에 하나이다. 그러나 클라우드 서비스의 잠재력을 발휘하기 위해서는 서비스 제공자와 소비자관점에서 서비스의 보안, 성능, 가용성 등 다양한 이슈들에 대한 명확한 이해가 필요하다. 점점 더 많은 개인과 기업의 정보들은 물론 공공부문의 정보들도 클라우드 서비스에 놓이게 되면, 주된 관심은 어떻게 안전하고 신뢰할 수 있는 클라우드 서비스를 제공할 것인가에 맞추어지게 된다. 이러한 상황에 대응하기 위하여 한국에서는 클라우드 서비스 인증제도가 시행되고 있고 미국에서는 FedRAMP가 시행되고 있다. 본 연구에서는 두 인증제도의 비교분석을 수행하고 두 인증제도간의 차이점에 대하여 기술한다. 궁극적으로는 두 인증제도간의 비교연구 결과를 토대로 한국의 클라우드 서비스 인증제도의 발전방안에 대하여 제안한다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1267-1276
• /
• 2013

클라우드 컴퓨팅 서비스를 이용하는 클라우드 소비자는 사용자의 개인정보에 대한 처리를 위탁받은 클라우드 제공자의 법적 준거성을 검토 및 감독해야 하는 의무를 갖는다. 본 논문에서는 국내 개인정보보호법의 위탁 시 준수사항을 토대로 클라우드 및 개인정보 관련 국제 표준과 국내 인증 제도를 분석하여 클라우드 개인정보 위탁이 가능한 시나리오를 제시하고 클라우드 환경에서 개인정보 위탁자에 해당하는 클라우드 소비자와 개인정보 수탁자에 해당하는 클라우드 제공자 간의 위탁 관리를 위한 개인정보보호 관리체계 통제를 제안하였다. 본 논문의 클라우드 개인정보 위탁 통제항목은 클라우드 제공자에게 개인정보의 처리를 위탁하고자 하는 조직에서 개인정보보호법을 준수하기 위한 지침을 개발하거나 개인정보보호 관리체계 인증에서 위탁 관리를 점검하기 위한 기준의 개발에 활용이 가능하다.

• 한국인터넷방송통신학회논문지
• /
• 제23권3호
• /
• pp.19-26
• /
• 2023

전 세계적으로 에너지, 금융 서비스, 보건, 통신, 교통 분야의 클라우드 전환에 따라 지속적으로 클라우드제공업체에 대한 주요기반시설 지정 움직임이 확산되고 있다. 또한, 우크라이나 사태에서는 국가 주요시설의 클라우드 사용 규제 철폐와 신속한 주요 데이터에 대한 클라우드 전환으로 인해 러시아의 기반시설을 겨냥한 사이버 공격에 효율적으로 대처할 수 있었다. 한국에서는 체계적, 종합적인 정보보호 관리체계를 구현하고, 조직의 정보보호 및 개인정보보호 관리 수준 향상을 위해 ISMS-P가 기업의 정보보호 및 개인정보보호 수준 제고를 위해 운영되고 있다. 클라우드 환경을 고려한 통제항목이 수정, 추가 되어 기업의 심사에 운영되고 있다. 그러나, 클라우드의 국내외 기술적 수준이 상이하고 하이퍼스케일 규모에 대한 국내 인증심사원들의 교육을 위해서는 Microsoft같은 클라우드 공급업체의 결함사항에 대한 정보를 구하기 쉽지 않았다. 이에, 본 논문에서는 하이퍼스케일 클라우드상 에서의 결함사항을 분석하고, 하이퍼스케일환경과 ISO/IEC 27001 및 SOC 보안 국제 표준과의 정합성을 고려하여 보다 클라우드에 특화된 통제항목 개선방안을 제시하였다.

• 정보보호학회논문지
• /
• 제22권4호
• /
• pp.913-921
• /
• 2012

유헬스케어 서비스의 급속한 발전과 보급에 힘입어 유헬스케어 서비스 기술은 많은 변화가 이루어지고 있다. 그러나 유헬스케어 서비스는 보안상의 문제로 인하여 사용자의 민감한 의료정보가 제3자에게 유출되고 사용자의 프라이버시가 사용자의 동의없이 침해되는 문제가 발생되고 있다. 본 논문에서는 유헬스케어 환경에서 사용되고 있는 환자의 프라이버시 정보에 안전하게 접근하기 위해서 병원관계자의 권한 및 접근 레벨에 따라 환자의 생체정보를 분산 접근하는 모델을 제안한다. 제안 모델은 환자의 생체정보의 접근을 제어하는 동시에 타임스탬프를 통해 DoS 공격 예방과 최신성을 유지한다. 또한, 제안 모델은 병원관계자를 중앙에서 서버가 통합 관리하는 동시에 병원마다 병원관계자의 권한 및 레벨에 따라 접근을 제어하기 때문에 환자의 프라이버시 침해 및 의료정보 유출을 예방한다.