ISO/IEC 27017: 클라우드 서비스를 위한 정보보호 통제 프레임워크

ISO/IEC 27017: 클라우드 서비스를 위한 정보보호 통제 프레임워크

• 1. ISO/IEC 27017 개요
• 2. ISO/IEC 27017의 필요성
• 3. ISO/IEC 27017의 구조
• 4. 클라우드 특화 추가 통제항목 상세
  • 4.1 CLD.6.3.1 클라우드 서비스 고객과 제공자 간 책임 분담
  • 4.2 CLD.8.1.5 클라우드 서비스 환경에서 고객 자산 반환/제거
  • 4.3 CLD.9.5.1 클라우드 서비스 환경에서의 분리
  • 4.4 CLD.9.5.2 가상 머신 강화
  • 4.5 CLD.12.1.5 클라우드 서비스 관리자 운영 모니터링
  • 4.6 CLD.12.4.5 클라우드 서비스 모니터링
  • 4.7 CLD.13.1.4 가상 및 컨테이너 네트워크 환경 동기화
• 5. ISO/IEC 27017 인증 획득 절차
• 6. ISO/IEC 27017과 타 표준과의 관계
  • 6.1 ISO/IEC 27001과의 관계
  • 6.2 CSA STAR와의 관계
  • 6.3 GDPR 및 데이터 보호 규제와의 관계
• 7. 주요 국내 도입 사례
  • 7.1 국내 클라우드 서비스 제공자 인증 현황
  • 7.2 금융권 도입 사례
• 8. ISO/IEC 27017 도입 시 고려사항
  • 8.1 클라우드 서비스 고객(CSC) 관점
  • 8.2 클라우드 서비스 제공자(CSP) 관점
  • 8.3 하이브리드/멀티 클라우드 환경 고려사항
• 9. ISO/IEC 27017의 한계 및 미래 발전 방향
  • 9.1 현 표준의 한계점
  • 9.2 미래 발전 방향
• 10. 결론
• Keywords

1. ISO/IEC 27017 개요

• ISO/IEC 27017은 클라우드 서비스 환경에 특화된 정보보호 통제 가이드라인.
• 2015년 12월에 제정된 국제 표준으로, ISO/IEC 27002를 기반으로 클라우드 서비스에 필요한 추가 통제항목 제공.
• 클라우드 서비스 제공자(CSP)와 클라우드 서비스 고객(CSC) 모두에게 적용 가능한 가이드라인.
• 클라우드 서비스 모델(IaaS, PaaS, SaaS) 전반에 걸쳐 적용 가능한 통제 체계 제시.

2. ISO/IEC 27017의 필요성

• 기존 ISO/IEC 27001/27002는 일반적인 정보보호 관리체계를 다루나, 클라우드 환경의 특수성 반영 부족.
• 클라우드 컴퓨팅 특유의 책임 공유 모델(Shared Responsibility Model) 명확화 필요.
• 멀티테넌시(Multi-tenancy) 환경에서의 데이터 분리 및 보안 보장 필요성 증가.
• 클라우드 서비스 사용 확대에 따른 클라우드 특화 보안 가이드라인 요구 증가.
• 국가간 데이터 이동, 데이터 주권 등 클라우드 특유의 법규제 준수 지원 필요.

3. ISO/IEC 27017의 구조

• ISO/IEC 27002의 14개 통제 영역, 35개 통제 목표, 114개 통제 항목을 기본으로 함.
• 기존 통제항목에 대한 클라우드 관련 구현 지침 추가.
• 클라우드 서비스에 특화된 7개의 추가 통제항목 신설.

graph LR
    A[ISO/IEC 27017] --> B[기존 ISO/IEC 27002 통제항목]
    A --> C[클라우드 특화 추가 통제항목]
    B --> D[클라우드 환경에 맞는 구현 지침]
    C --> E[CLD.6.3.1 클라우드 서비스 고객과 제공자 간 책임 분담]
    C --> F[CLD.8.1.5 클라우드 서비스 환경에서 고객 자산 반환/제거]
    C --> G[CLD.9.5.1 클라우드 서비스 환경에서의 분리]
    C --> H[CLD.9.5.2 가상 머신 강화]
    C --> I[CLD.12.1.5 클라우드 서비스 관리자 운영 모니터링]
    C --> J[CLD.12.4.5 클라우드 서비스 모니터링]
    C --> K[CLD.13.1.4 가상 및 컨테이너 네트워크 환경 동기화]

4. 클라우드 특화 추가 통제항목 상세

4.1 CLD.6.3.1 클라우드 서비스 고객과 제공자 간 책임 분담

• 클라우드 서비스 제공자와 고객 간의 책임 범위를 명확히 정의.
• 서비스 수준 협약(SLA)에 보안 책임 경계를 명시적으로 포함.
• 구현 예시: AWS의 책임 공유 모델은 인프라 보안은 AWS가, 데이터 및 접근 제어는 고객이 책임지는 방식으로 명확히 구분.

4.2 CLD.8.1.5 클라우드 서비스 환경에서 고객 자산 반환/제거

• 계약 종료 시 고객 데이터 및 자산의 안전한 반환 또는 완전한 제거 절차 수립.
• 데이터 삭제의 검증 방법 및 증거 제공 방안 명시.
• 구현 예시: Microsoft Azure는 고객 계약 종료 시 90일 내 데이터 완전 삭제 및 삭제 증명서 발급 절차 운영.

4.3 CLD.9.5.1 클라우드 서비스 환경에서의 분리

• 멀티테넌트 환경에서 고객 간 논리적/물리적 분리 보장.
• 테넌트 간 데이터 유출 방지를 위한 접근통제 및 격리 기술 적용.
• 구현 예시: Google Cloud의 VPC(Virtual Private Cloud) 서비스를 통한 네트워크 분리 및 프로젝트별 접근 권한 설정.

4.4 CLD.9.5.2 가상 머신 강화

• 가상 머신 이미지의 보안 설정 및 강화 조치 적용.
• 하이퍼바이저 및 가상화 플랫폼의 보안 취약점 대응.
• 구현 예시: VMware의 보안 강화 가이드라인에 따른 ESXi 호스트 및 가상 머신 보안 설정 적용.

4.5 CLD.12.1.5 클라우드 서비스 관리자 운영 모니터링

• 클라우드 서비스 관리자 활동에 대한 모니터링 및 로깅.
• 관리자 권한 남용 방지를 위한 통제 체계 구축.
• 구현 예시: AWS CloudTrail을 통한 관리자 활동 로깅 및 이상 행위 탐지 시스템 구축.

4.6 CLD.12.4.5 클라우드 서비스 모니터링

• 클라우드 서비스 상태 및 성능 모니터링.
• 보안 사고 탐지를 위한 지속적인 모니터링 체계 구축.
• 구현 예시: Azure Security Center를 통한 실시간 보안 위협 모니터링 및 경보 체계 운영.

4.7 CLD.13.1.4 가상 및 컨테이너 네트워크 환경 동기화

• 가상 네트워크 환경의 구성 및 변경 관리.
• 컨테이너 및 가상 머신 간 네트워크 동기화 보장.
• 구현 예시: Kubernetes 네트워크 정책을 통한 파드 간 통신 제어 및 네트워크 세그먼테이션 구현.

5. ISO/IEC 27017 인증 획득 절차

flowchart TD
    A[갭 분석] --> B[문서화]
    B --> C[내부 감사]
    C --> D[시정 조치]
    D --> E[인증 기관 선정]
    E --> F[1단계 심사: 문서 검토]
    F --> G[2단계 심사: 현장 검증]
    G --> H[부적합 시정]
    H --> I[인증 획득]
    I --> J[사후 관리]

1. 갭 분석: 현재 정보보호 관리체계와 ISO/IEC 27017 요구사항 간 차이 분석
2. 문서화: 클라우드 보안 정책, 절차, 지침 문서 개발
3. 내부 감사: 구현된 통제의 효과성 평가
4. 시정 조치: 내부 감사에서 발견된 문제점 개선
5. 인증 기관 선정: 공인된 인증 기관 선택
6. 1단계 심사: 문서 검토 및 준비도 평가
7. 2단계 심사: 현장 방문을 통한 통제 이행 검증
8. 부적합 시정: 심사에서 발견된 부적합 사항 개선
9. 인증 획득: ISO/IEC 27017 인증서 발급
10. 사후 관리: 인증 유지를 위한 정기 심사 및 지속적 개선

6. ISO/IEC 27017과 타 표준과의 관계

6.1 ISO/IEC 27001과의 관계

• ISO/IEC 27017은 독립 인증이 가능하나, 대부분 ISO/IEC 27001 인증과 함께 진행.
• ISO/IEC 27001의 ISMS 프레임워크를 클라우드 환경에 맞게 확장하는 개념.
• 리스크 평가 및 관리 방법론은 ISO/IEC 27001을 따르되, 클라우드 특성을 고려한 리스크 식별 필요.

6.2 CSA STAR와의 관계

• CSA(Cloud Security Alliance)의 STAR(Security, Trust & Assurance Registry) 인증과 상호 보완적.
• STAR는 클라우드 보안에 특화된 CCM(Cloud Controls Matrix)을 기반으로 함.
• ISO/IEC 27017과 CSA STAR를 함께 획득하면 포괄적인 클라우드 보안 체계 입증 가능.

6.3 GDPR 및 데이터 보호 규제와의 관계

• ISO/IEC 27017 준수는 GDPR 등 개인정보보호 규제 대응의 기반 제공.
• 특히 클라우드 환경에서의 데이터 처리자(Processor)와 컨트롤러(Controller) 간 책임 구분에 도움.
• 국가간 데이터 이전 및 데이터 현지화 요구사항 준수 지원.

7. 주요 국내 도입 사례

7.1 국내 클라우드 서비스 제공자 인증 현황

• 네이버 클라우드: 2018년 국내 최초 ISO/IEC 27017 인증 획득
• KT 클라우드: 2019년 G-Cloud 서비스에 대한 ISO/IEC 27017 인증 획득
• NHN: 2020년 토스트 클라우드 서비스의 ISO/IEC 27017 인증 획득
• 각 업체는 인증을 통해 클라우드 보안 신뢰성 확보 및 글로벌 시장 경쟁력 강화

7.2 금융권 도입 사례

• 신한은행: 프라이빗 클라우드 환경에 ISO/IEC 27017 통제 적용
• KB국민은행: 하이브리드 클라우드 전환 시 보안 프레임워크로 ISO/IEC 27017 채택
• 금융보안원: 금융권 클라우드 도입 가이드라인에 ISO/IEC 27017 기반 통제 권고

8. ISO/IEC 27017 도입 시 고려사항

8.1 클라우드 서비스 고객(CSC) 관점

• 클라우드 서비스 선택 시 ISO/IEC 27017 인증 여부 확인.
• SLA에 명시된 보안 책임 경계 명확히 이해.
• 자체 통제 영역에 대한 보안 관리 체계 구축.
• 서비스 종료/전환 시나리오에 대한 데이터 관리 전략 수립.
• 규제 준수를 위한 CSP의 지원 범위 파악.

8.2 클라우드 서비스 제공자(CSP) 관점

• 멀티테넌시 환경에서의 고객 데이터 분리 메커니즘 강화.
• 투명한 보안 책임 모델 및 문서화 제공.
• 고객별 맞춤형 보안 통제 옵션 제공.
• 자동화된 컴플라이언스 모니터링 및 보고 체계 구축.
• 다양한 규제 환경에 대응 가능한 유연한 통제 프레임워크 설계.

8.3 하이브리드/멀티 클라우드 환경 고려사항

• 다양한 클라우드 환경 간 일관된 보안 정책 적용.
• 통합 ID 및 접근 관리 체계 구축.
• 클라우드 간 데이터 이동 시 보안 통제 유지.
• 일관된 모니터링 및 로깅 전략 수립.
• 복합적인 책임 모델 이해 및 관리.

9. ISO/IEC 27017의 한계 및 미래 발전 방향

9.1 현 표준의 한계점

• 빠르게 진화하는 클라우드 기술 변화를 표준이 따라가지 못하는 경우 발생.
• 컨테이너화, 서버리스 컴퓨팅 등 최신 기술에 대한 구체적 통제 부족.
• 멀티 클라우드 환경에서의 통합 보안 관리에 대한 지침 미흡.
• 다양한 국가별 규제와의 연계성 부족.

9.2 미래 발전 방향

• DevSecOps 및 지속적 보안 통합에 대한 지침 강화 예상.
• AI/ML 기반 클라우드 보안 자동화 관련 통제 추가 예상.
• 클라우드 네이티브 보안 프레임워크와의 통합 발전.
• 국제 데이터 주권 이슈에 대응하는 통제 강화.
• 제로 트러스트 아키텍처를 반영한 접근 통제 체계 발전.

10. 결론

• ISO/IEC 27017은 클라우드 서비스의 정보보호를 위한 필수적인 통제 프레임워크.
• 클라우드 서비스 제공자와 고객 간의 명확한 책임 분담을 통한 효과적인 위험 관리 지원.
• 멀티테넌시, 가상화 등 클라우드 특성을 고려한 특화된 보안 통제 제공.
• 국내외 주요 클라우드 서비스 제공자들의 보안 신뢰성 확보 수단으로 활용.
• 지속적으로 발전하는 클라우드 기술에 맞춰 표준도 진화 필요.
• 조직은 클라우드 도입 시 ISO/IEC 27017을 기반으로 체계적인 보안 관리 전략 수립 필요.

Keywords

Cloud Security, Information Security Controls, 클라우드 보안, 정보보호 통제, ISO 27017, Shared Responsibility, 책임 공유 모델, Multi-tenancy, 멀티테넌시, Cloud Compliance, 클라우드 컴플라이언스