공공 ‘서비스형 데스크톱(DaaS)’의 보안 표준화 작업이 연내 마무리 될 예정이다.
15일 관련 업계에 따르면, KISA는 연초부터 공공 DaaS 보안인증 체계 수립 작업을 진행 중이며 초안을 보완하기 위해 IaaS 및 DaaS 사업자들로부터 의견을 받고 있다. 10월에 시작해 12월에 종료되는 행정안전부 개방형 OS 및 DaaS 시범사업에 맞물려 연내 DaaS 보안인증 최종안을 확정할 계획이다.
DaaS 등 클라우드 PC 환경을 통해 공무원들은 퍼블릭 클라우드에 정보를 저장하고, 인터넷 전용 PC를 따로 둘 필요가 없는 것은 물론 다양한 디바이스에서 업무를 볼 수 있는 일명 ‘스마트워크’가 가능해진다.
이에 정부는 공공기관에 개방형 OS 기반 DaaS가 원활히 도입될 수 있도록 공공 DaaS 보안인증 제도를 마련할 방침이다. 인증기관인 한국인터넷진흥원(KISA)의 기존 서비스형 인프라(IaaS)·서비스형 소프트웨어(SaaS)·서비스형 플랫폼(PaaS) 보안인증과는 또다른 층위의 인증 체계다.
클라우드 서비스 보안인증을 받았다고 해서 100% 안전한 것은 아니지만, 공공기관이 클라우드 서비스를 이용하기 위한 최소한의 정보보호 요건을 충족했음을 뜻한다.
DaaS 인증 체계는 IaaS 인증 기준과 큰 틀에서는 유사하며, DaaS 특성을 반영한 보안부팅, 가상자원 초기화 등 요구사항이 추가된다.
DaaS 체계에 포함될 인증항목은 110개 정도가 될 것으로 전망된다. IaaS 보안인증 항목(117개)과 비교해 적고, SaaS·PaaS 항목(각 78개)과 비교해 많다. 인증 유효기간은 IaaS·SaaS·PaaS 표준등급과 마찬가지로 5년으로 논의 중이다.
기존 IaaS 사업자는 IaaS 인증서와 별도로 DaaS 인증서를 발급받아야 하며, 신규 DaaS 사업자의 경우 DaaS 인증서만 발급받으면 된다.
VDI 솔루션을 보유한 사업자들은 현재 KISA의 IaaS 보안인증을 받은 업체들과 협력해 사업을 운영 중이다. 현재까지 IaaS 인증을 받은 업체는 LG헬로비전, 삼성SDS, NBP, KT 등 10곳이다.
행안부 DaaS 시범사업 기간 중 VDI 공급업체인 틸론, SK브로드밴드 등은 DaaS 보안인증 제도가 수립된 후 이를 획득할 수 있다.
KISA 관계자는 “가장 많은 인증항목을 가진 것은 IaaS로 117개인데, IaaS 업체들 중에서도 공공 쪽 DaaS 서비스를 위해서는 요구하는 사항들이 있다”며 “DaaS 보안인증 항목은 (초안상) 110개 정도이나 아직 확정된 것은 아니다”고 말했다.
DaaS 인증에서는 관리적 측면에서 일부 보안 요구사항을 축소하고 IaaS 특화 항목을 삭제하는 방안을 검토 중이다. 상호 운용성 및 이식성, 데이터 이전, 인터페이스 및 API 보안 등은 IaaS 특화 항목에 속한다.
가상PC OS 부팅시 보안부팅을 적용해 제공하는지, 가상PC 환경 보호를 위한 필수 소프트웨어를 가상PC OS에 적용해 제공하는지 등을 묻는 DaaS 특화 세부 점검항목은 추가됐다.
관련기사
- 오라클이 틱톡 노린 이유 '클라우드 바이럴'2020.09.15
- 오라클, 클라우드 보안 관리 자동화 서비스 출시2020.09.15
- NBP, 클라우드 게임 솔루션 '게임팟'으로 '로한M' 해외진출 지원2020.09.14
- MS, 클라우드서 위성 데이터 접근 서비스 준비2020.09.14
인증범위는 네트워크, 보안시스템, 하이퍼바이저 등 인프라 영역과 DaaS 구성 필수 요소 등으로 나눠 점검한다.
KISA 관계자는 “DaaS 인증 자체는 그렇게 복잡성이 높거나 추가로 준비해야할 게 많거나 한 것은 아니다”면서 “사업자 입장에선 높은 수준의 보안 요구사항 등으로 비용이 많이 발생하는 부분이 있을 수 있으니, 그러한 사업자 부담을 완화하는 방안에 대해 논의 중이다”고 설명했다.