미국 공공 클라우드의 시작과 끝··· '페드람프' 보안 인증의 이해

2018.04.04 Josh Fruhlinger | CSO

페드람프(FedRAMP, 연방 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스가 미국 연방 정부 기관이 사용하기에 안전한지 인증하는 연방 보안 인증 프로그램이다. 페드람프 인증 절차와 과정은 복잡하지만 일단 인증을 받으면 많은 혜택을 누릴 수 있다. 예를 들면, 민간 부문 고객에게도 보안이 우수한 제품과 서비스임을 강조할 수 있다.

페드람프(FedRAMP)란
엄격히 말해, 페드람프는 위험 관리 프로그램이다. 2011년, 어지럽게 분산되어 있는 연방 정부의 인프라를 클라우드로 이전해 능률화 하기 위해 추진한 ‘클라우드 퍼스트(Cloud First)’ 정책을 뒷받침하기 위해 도입됐다.

연방 정부의 보안 요건(요구사항)은 민간 부문과 다르다(또한 법적으로 의무적인 요건이다). 따라서 사용하려는 클라우드 서비스가 연방 정부의 기준과 규정에 부합하는지 확인하는 방법이 있어야 한다. 이 문제를 해결하기 위해 페드람프를 만들었다. 외부 평가기관('3PAO'라고 부른다)이 클라우드 서비스 공급업체(CSP)가 연방 보안 규정과 규칙을 준수하는지 판단할 때 적용하는 프로세스를 정의한다.

페드람프와 FISMA
FISMA(연방 정보 보안 관리 법)는 연방 정부 기관이 반드시 준수해야 할 IT 보안 요구사항을 규정한 법이다. NIST(National Institute of Standards and Technology)는 ‘Publication 800-53’에서 FISMA에서 제시한 기준과 가이드라인(지침)을 더 자세히 규정 및 설명하고 있다. 그러나 FISMA는 2002년 제정된 법이다. 클라우드 서비스 혁신 이전이기 때문에, 처음에는 클라우드 서비스 평가에 요구사항을 적용하는 방법이 명확하지 않았다.

클라우드 보안 협회(Cloud Security Alliance)의 연방 정부 디렉터인 케티 르윈은 “불과 몇년전만 해도 현재 IT 환경에서 클라우드 서비스를 도입하는 것을 걱정하는 기관이 많았다”고 말했다. 그는 연방 클라우드 컴퓨팅 프로그램(Federal Cloud Computing Program)의 디렉터를 역임했다. 이를 바탕으로 페드람프 개발과 도입을 주도하는 책임을 맡았다.

르윈은 “민간 부문은 이른바 ‘쉐도우 IT’가 매개체가 돼 클라우드 서비스가 도입됐다. 개별 부서에서 IT 부서 모르게 부서 자산을 클라우드로 옮긴 것이다. 그러나 연방 정부 기관은 규칙과 규정이 엄격해 이런 식으로 클라우드를 도입해 사용하는 사례가 없다”라고 말했다.

페드람프 프로그램은 FISMA 요건을 클라우드 서비스에 적용하는 방식을 명확히 규정하는 데 목적이 있다. 르윈은 “FISMA는 페드람프의 ‘틀'이다. 페드람프 프로그램은 FISMA의 '컨트롤’ 개념만 사용한다”라고 말했다. 페드람프와 FISMA의 관계를 더 자세히 알고 싶다면 3PAO인 코울파이어 시스템스(Coalfire Systems)의 백서를 참고하면 된다.

페드람프의 ‘레벨’과 ‘컨트롤’
페드람프를 이해하려면 ‘레벨(Level, 수준)’과 ‘컨트롤(Control, 통제책)’ 개념부터 시작해야 한다. ‘컨트롤'은 클라우드에 저장된 데이터의 개인 정보 보호와 보안에 사용하는 특정 기술과 기법이다. NIST는 ‘Special Publication 800-53’에서 여러 다양한 ‘컨트롤’에 대해 자세히 설명한다. GSA(Government Service Agency)는 웹사이트에서 이에 대한 개요를 제공한다.

CSP는 구현한 ‘컨트롤'을 토대로 ‘낮음(Low)’, ‘중간(Moderate)’, ‘높음(High)’이라는 3가지 레벨의 보안을 선택해 제공할 수 있다. 이 레벨이 시스템에 저장할 수 있는 데이터의 종류, 액세스 할 수 있는 데이터의 종류를 결정한다. 스탠다드퓨전(StandardFusion)은 각 레벨의 개념과 각 레벨에 요구되는 컨트롤에 대한 정보를 제공한다.

페드람프 요구사항(요건)
페드람프의 클라우드 서비스 공급업체(CSP) 요구사항은 매우 복잡하다. GSA가 페드람프 요건에 대한 이해를 높일 수 있는 가이드와 ‘힌트’를 제공하기 위해 개발한 ‘페드람프 가이드(Guide To Understanding FedRAMP)’는 58페이지에 달하는 PDF 문서다. 이 문서에는 기업이 페드람프에 참여하기 위해 충족, 또는 준수해야 할 페드람프 요구사항이 체크리스트로 제시돼 있다. 주요 내용은 다음과 같다.

- 전자적 증거 수집과 소송/기소 증거 수집 및 보유 업무를 처리할 수 있어야 한다.
- 시스템 경계를 명확히 규정 및 설명할 수 있어야 한다.
- 고객의 책임, 이들이 ‘컨트롤’을 도입하기 위해 해야 할 일을 규정 및 규명할 수 있어야 한다.
- 시스템은 관리자 권한 네트워크 액세스에 ID 및 이중 인증 체계를 제공해야 한다.
- 시스템은 비관리자 권한 네트워크 액세스에 ID 및 이중 인증 체계를 제공해야 한다.
- 시스템은 관리자 계정 로컬 액세스에 ID 및 이중 인증 체계를 제공해야 한다.
- 내부에서 개발한 코드에 대해 코드 분석 스캔을 할 수 있어야 한다.
- 자산을 논리적, 물리적으로 분리 및 구분해 경계를 보호해야 한다.
- 높은 위험은 30일 이내, 중간 위험은 90일 이내에 해결할 수 있어야 한다.
- 모든 장치에 인벤토리와 구성 빌드 기준을 제공할 수 있어야 한다.
- 시스템에 공유 리소스를 통해 승인 없이 정보가 전송되지 않도록 막는 방어 체계를 구축해야 한다.
- 전송 동안에는 암호화로 데이터의 기밀성과 무결성을 보호해야 한다.

최근 페드람프 인증을 획득한 액셀리온(Accellion)의 기술 서비스 담당 부사장 프랭크 발로니스는 “페드람프 인증을 추진하거나, 최소한 이를 고려하는 것이 좋다. 요구사항이 복잡하고, 필요한 자료와 문서가 많기 때문이다. 그러나 이런 힘든 과정을 거쳐 인증을 받고 나면, 플랫폼에 대한 가시성을 높일 수 있다”라고 말했다.

예상하겠지만, 가장 규모가 큰 상용 웹 서비스 공급업체인 AWS와 마이크로소프트 애저는 페드람프 인증을 받기 위해 많은 공을 들였다. 더 자세한 정보는 아마존 관련 웹사이트와 마이크로소프트 관련 웹사이트를 참고하면 된다.

---------------------------------------------------------------
클라우드 보안
->'미 정부 규제와 충돌하는 클라우드의 정보보호'••• 전문가들 지적
-> "5년 내 끔찍한 클라우드 재앙 유력" 워즈니악
->EU, “클라우드에서 데이터 위치는 중요치 않다”
-> 클라우드 도입, ‘고민과 두려움’에 대한 고찰
-> 가장 많이 알려진 클라우드 컴퓨팅 공통 이슈 7가지
---------------------------------------------------------------

페드람프 인증과 준수
앞서 설명한 것처럼 연방정부가 직접 CSP의 페드람프 준수를 인증하지 않는다. 3PAO가 CSP를 평가해 인증서를 발급한다. 아마존은 AWS 페드람프 페이지를 보면 페드람프 준수 인증 단계를 간단히 엿볼 수 있다. 또 특수한 ‘용어’에 대한 설명도 추가했다.

- 연방 정부 기관이 ATO(Authority to Operate)로 인정한 클라우드 서비스 공급업체(CSP)가 대상이다.
- CSP는 NIST 800-53, Rev.4 ‘중간 수준 기준에 해당되는 보안 통제책’과 일치하는 페드람프 보안 컨트롤 요건을 부합시킨다.
- 모든 시스템 보안 패키지에 필수 페드람프 탬플릿을 사용한다(페드람프 탬플릿은 준수 여부 평가에 필요한 정보에 대해 설명하고 있는 문서이다. 자세한 내용은 페드람프 웹사이트를 참고한다).
- 독립 감사 기관이 CSP를 평가한다.
- 완료된 보안 평가 패키지를 페드람프 보안 레포지토리(저장소)에 게시한다.

이 모든 과정을 통과했다고 해도 즉시 CSP로 계약을 체결할 수 있는 것은 아니다. 페드람프는 FAQ에서 “기관의 수장이나 수권 대리인, AO(Authorizing Offiicial)가 위험을 토대로 IT 시스템을 사용할지 결정할 수 있다. 페드람프는 연방기관을 대신해 결정을 내리거나, 연방기관의 위험을 대신 수용하지 않는다”라고 설명한다. 그러나 이는 연방 정부 기관이 자체 승인 과정의 일환으로 실시하는 초기 평가와 승인에 도움을 준다.

JAB P-ATO(Joint Authorization Board Provisional Authority-To-Operate)를 획득할 수도 있다. JAB는 여러 기관과 협력해 최초 요구사항 가운데 상당수를 결정하는 데 도움을 준다. 그러나 각 기관의 AO가 최종 결정을 내린다. 한 번만 인증을 받으면 어디에나 적용할 수 있는 그런 프로그램도 아니다.

공공 부문을 대상으로 하는 IT 업체를 지원하는 프로그램인 디코드(Dcode)의 파트너십 디렉터 앤드류 맥마혼에 따르면 처음부터 그런 방식에 목적을 두지 않았다. 효과가 없는 방식이기 때문이다. 그는 “스크립트 기반의 감사, 미러링, 국제적으로 승인된 보안 기준을 도입하고, 정부 기관이 ATO를 공유하도록 유도하는 것이 페드람프에 훨씬 더 낫다. 페드람프 정책은 클라우드 제품의 보안 관련 비용을 낮추고, 여러 기관의 보안 준수 요건을 대체하는 데 목적이 있다. 현재는 이런 목적이 충족되지 않았다”라고 말했다.

한 번 인증을 받으면 다시 인증을 받을 필요가 없는 그런 프로그램도 아니다. 계속 요건을 준수하고 있는지 확인하기 위해 정기적으로 감사를 실시한다. 액셀리온의 발로니스는 “페드람프 인증을 받는 것은 시작에 불과하다. 이후 계속 인증을 유지해야 한다. 그러나 페드람프 요건을 계속 준수해 인증을 유지하는 것은 그렇게 힘든 일이 아니다. 인증을 통해 플랫폼에 대한 가시성을 높일 수 있기 때문이다. 우리의 경우, 최근 실시한 연간 감사가 아주 수월했다. 100개의 새로운 컨트롤을 평가했다. 앞선 해에 300개의 컨트롤을 평가했다. 보안 상태가 좋을수록 페드람프 인증을 유지하는 것도 쉽다”라고 말했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기

클라우드 보안 페드람프 FedRAMP

“유료 VPN, 분명한 가치 있다” VPN 선택 가이드

VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.

평점 - 댓글 -개

평점