공공기관에 `DaaS 보안인증제`… 업무 편의성 높인다

KISA, 확대 시행 설명회 열어
클라우드 방식 PC 한대로 가능

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


공공기관에 `DaaS 보안인증제`… 업무 편의성 높인다
최슬기 KISA 선임연구원이 '클라우드 보안인증제 DaaS 분야 확대시행 설명회'에서 DaaS 보안인증제 주요 내용을 안내하고 있다.

화면 캡처


공공기관의 DaaS(서비스형 데스크톱) 도입을 뒷받침하는 제도적 기반이 마련됐다. 과학기술정보통신부와 KISA(한국인터넷진흥원)는 26일부터 클라우드 보안인증제 대상 분야에 DaaS를 추가하고 제공 사업자를 심사 인증한다.

KISA는 이날 온라인으로 '클라우드 보안인증제 DaaS 분야 확대시행 설명회'를 열고 DaaS 보안인증제 취지와 기준을 안내했다.

DaaS는 데스크톱을 사용할 때 필요한 OS(운영체제)와 업무용 애플리케이션(앱) 등을 클라우드 방식으로 쓰는 시스템이다.

현재 공무원들은 업무용 PC와 인터넷 전용 PC를 별도로 사용하는데, DaaS가 도입되면 PC 한 대 만으로 공공기관 보안 요구사항이 적용된 인터넷용 가상PC를 이용할 수 있게 된다. 이를 통해 업무의 신속성과 편의성이 확대될 것으로 기대된다.

DaaS 인증 체계는 기본적으로 IaaS(서비스형 인프라) 인증 기준과 유사하다. 총 14개 부문, 110개 통제항목, 209개 세부 점검 항목을 인증 기준으로 삼는다. 가상PC 저장 데이터 초기화를 비롯해 백신, 유해사이트 차단, 상용 메일 차단, 망연계 솔루션, 내PC 지킴이 솔루션 등 필수 보안 SW 설치와, 비인가 접속 단말 차단, 다증 인증, DaaS 접속 구간에 대한 암호화된 통신채널 구현 등이 특화 항목으로 요구된다. 유효 기간은 5년이다.

DaaS 인증 시 평가 기간은 2~4개월 정도가 소요될 전망이다. 평가 수수료는 정부에서 지원해 발생하지 않는다. 기존 IaaS 인증 사업자가 DaaS 인증을 받을 경우에는 IaaS 인증 영역을 제외할 방침이다. 세부 평가 범위는 사전 컨설팅 등의 과정을 통해 정해진다. 또 이미 IaaS 인증을 받은 사업자의 경우에는 인증 받은 영역에 하이퍼바이저를 활용해 DaaS 서비스를 구축해도 되고, DaaS를 위한 하이퍼바이저를 신규로 도입해도 된다.

보안관제 범위의 경우 DaaS 제공 시 인프라 영역 및 고객 VM(가상머신) 영역에 대한 보안관제를 수행해야 한다. 인프라 영역은 DaaS 제공자가 자체적으로 보안관제를 할 수 있다. 고객 VM 영역은 보안관제 전문 업체에 업무를 위탁해야 한다.

필수 보안SW 외 솔루션 탑재와 관련해서는 이용자와 협의 시 제공이 가능하다. 다만 변경된 사항은 사후 평가에서 추가 검증을 수행해야 한다.

최슬기 KISA 클라우드인증팀 선임연구원은 "올해 초 발표된 행정안전부의 개방형 OS 전략에 따라 공공기관이 민간 DaaS 서비스를 이용할 수 있도록 DaaS 인증제 시행방안을 마련했다"면서 "인증 대상은 공공기관 인터넷망의 물리적 PC 서비스 대체하기 위한 것으로, 모바일이나 노트북을 통해 접속되는 DaaS는 보안인증 대상에서 제외된다"고 말했다.

윤선영기자 sunnyday72@dt.co.kr




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사