어떤 사람의 업무 능력을 객관적으로 증명해주는 학위증 또는 자격증이 있는 것처럼, 클라우드 서비스의 안전성과 보안(정보보호, 개인정보 보호, 내부 통제 등)를 위한 일련의 조치와 활동이 인증 기준에 적합한지 심사하고 입증해주는 인증이 있습니다.
전문 기관이 엄격한 심사와 검증 통해 인증을 부여하는 만큼, 인증 취득 여부가 서비스에 대한 보안 수준과 신뢰성을 나타내 줍니다. 국내는 대표적으로 한국인터넷진흥원에서, 국제 인증 기관으로는 국제 표준화 기구(ISO), 미국공인회계사협회 및 국제감사인증기준위원회(AICPA, IAASB), 클라우드 보안협회(CSA) 등에서 표준을 제정하고 다양한 인증을 심사하고 있습니다.
그렇다면 ‘웍스 드라이브’는 어떤 기관에서, 어떤 인증을 받았을까요?
‘웍스 드라이브 FAQ’ 두 번째 에피소드에서는 웍스 드라이브의 안정성과 신뢰도를 ‘인증’을 통해 알아보는 시간을 가져보겠습니다.
Q. 웍스 드라이브는 국제적으로 인정받은 서비스인가요?
A. ‘웍스 드라이브’는 국내 최고 수준의 개인정보 보호 관리체계 인증과 세계적으로 가장 권위 있는 국제인증을 취득한 서비스입니다.
국내 인증 취득 현황
국내 인증부터 살펴보겠습니다.
웍스 드라이브를 개발 및 운영하는 네이버클라우드는 한국인터넷진흥원(Korea Internet & Security Agency, KISA)에서 부여하는 ISMS(정보보호 관리체계 인증)와 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 획득했습니다. 한국인터넷진흥원은 과학기술정보통신부 산하의 준정부기관으로, 국내에 유통되는 디지털 서비스의 안전성과 보안 및 정보보호 수준을 감독하는 기관입니다.
ISMS(정보보호 관리체계 인증) / ISMS-P (정보보호 및 개인정보보호 관리체계 인증)
과학기술정보통신부와 개인정보보호위원회가 공동 고시하는, 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합 인증 제도입니다. ISMS-P 는 ISMS 인증을 통해 검증된 정보보호 조치에 더해 사용자의 개인정보보호를 위한 관리 체계가 법적 기준을 충족하는지 검증하는 인증으로 글로벌 IT 회사들 중에서도 일부만이 취득한 인증 단계입니다.
ISMS-P 인증을 획득하려면 ▲정책의 수립·운영·개선 등 관리체계 분야 ▲ 자산관리 및 보안시스템 등 기술적 보호조치 분야 ▲ 개인정보의 수집·이용·파기 등 개인정보별 라이프 사이클 보호조치 분야 등 총 101개 항목에 대한 적합성 평가를 모두 통과해야 하며 네이버클라우드는 ISMS / ISMS-P 인증을 모두 취득한 상태입니다.
네이버클라우드는 ISMS 인증이 의무화된 2013년도보다 이전인 2010년부터 (구)ISMS 인증을 취득할 정도로 고객사의 정보보호를 위한 관리체계 구축에 적극적으로 임하고 있습니다. ISMS/ISMS-P 인증은 정기적인 심사를 통해 갱신되는 제도로, 네이버클라우드가 전사 정보보호를 위해 지속적이고 적절한 보호활동을 수행하고 있는지 증명하는 지표입니다.
국제 인증 취득 현황
다음으로, 국제 인증을 알아보겠습니다.
네이버클라우드는 국제 표준화 기구(ISO), 미국공인회계사협회 및 국제감사인증기준위원회(AICPA, IAASB), 클라우드 보안협회(CSA), 싱가포르 ITSC 정보 기술 표준 위원회 등 글로벌 시장에서 표준으로 인정받는 다수의 기관으로부터 인증을 취득했습니다.
가장 먼저 소개해드릴 인증은 국제 표준화 기구(ISO)의 ISO/IEC 27001, 27017, 27018, 27701, 27799, 22301 인증입니다. 1946년 출범 후 172개에 이르는 회원국들과 함께 국제적으로 통용되는 표준을 개발/관리하는 국제 표준화 기구(ISO)는 매년 엄격한 심사 체계를 통해 각 인증에 해당하는 정보보호 관리체계를 점검하고 있습니다. 네이버클라우드는 총 6개 항목에 대해 국제 기준에 맞는 안정성과 보안성을 충족하는 서비스 기관으로 인증 받아 글로벌 기준에서도 신뢰도를 인정받고 있습니다.
ISO/IEC 27001(정보보호관리체계 국제표준)
ISO/IEC 27001은 국제표준화 기구(ISO) 및 국제 전기기술위원회(IEC)에서 제정한 정보보호 관리체계 국제규격 인증으로, 네이버 클라우드 플랫폼의 전반적인 보안 수준에 대해 국제 표준 기준으로 인정 받았음을 의미합니다.
ISO/IEC 27017(클라우드 서비스 정보보호관리체계 국제표준)
2015년 제정한 클라우드 서비스 제공자(Cloud Service Provider)의 클라우드 보안에 필요한 보안통제와 구현지침 입니다. 정보보호 정책, 정보보호 조직, 인적보안, 자산관리, 접근통제, 암호화, 운영, 보안, 통신보안, 시스템 개발 보안, 공급망 관리, 정보보호 사고 관리, 준거성의 통제 항목에 추가로 클라우드 서비스 제공자가 갖추어야 할 추가보안통제 등이 주요 내용입니다.
ISO/IEC 27018(클라우드 서비스 개인정보보호 국제표준)
2014년 제정된 공용(public) 클라우드 환경에서 개인식별정보(PII, Personally Identifiable Information) 보호를 위한 실행 지침 입니다.
ISO/IEC 27701(개인정보관리체계 국제표준)
ISO/IEC 27701은 개인정보보호 관련 국제 표준 인증으로 개인식별정보(PII) 보호, 개인정보관리체계 수립, 구현, 유지 관리 및 지속 개선을 위한 요구사항 및 지침입니다.
ISO/IEC 27799(개인의료정보보호 국제표준)
ISO/IEC 27799는 의료 서비스 또는 의료 정보 처리 조직이 의료정보 보호 경영시스템을 구축, 운영하기 위한 정보보호 관리체계 국제 표준 인증으로, 네이버 클라우드 플랫폼 서비스를 이용하는 의료분야 고객의 개인의료정보보호에 기여할 수 있습니다.
ISO/IEC 22301(비즈니스연속성경영 국제표준)
ISO/IEC 22301은 비즈니스 연속성 경영(BCM, Business Continuity Management)를 위한 국제 표준으로 연속성 있는 서비스 제공 역량에 대해 국제 표준 기준으로 검증 받았습니다.
또한, 네이버클라우드는 미국공인회계사협회(AICPA)와 국제감사인증기준위원회(IAASB)가 주관하는 SOC 1, SOC 2, SOC3 인증을 취득, 안전한 서비스 제공 및 운영을 위한 내부통제감사를 인정받았습니다. 조직이 안전한 서비스 제공 및 운영을 위한 적절한 내부 통제 절차를 가지고 있어야 함은 물론이고 실제로 이것들이 업무에 반영되었는지 혹은 위반 사항이 없었는지 등까지 검증되어야만 발급을 받을 수 있어서, SOC 인증을 받았다는 것은 글로벌 수준의 내부 통제가 구현 운영되고 있다는 것을 의미하며 그 결과는 상세한 내용을 담아 감사 보고서 형태로 발급이 됩니다.
SOC(Service Organization Control) 1
SOC 1 보고서는 재무 보고 통제의 적절성을 확인한 결과를 담고 있습니다. 이용자 조직의 재무 보고 내부 통제와 관련 있는 통제 목적에 부합하도록 적절히 설계되고 효과적으로 운영되고 있는 지를 확인한 결과를 담고 있습니다.
SOC(Service Organization Control) 2
SOC 2 보고서는 서비스의 보안 통제 적정성을 확인한 결과를 담고 있습니다. 서비스 조직의 경영진과 이용자 기업 등은 본 보고서를 통해 회사 서비스 운영에 대한 보안 내부 통제 적정성을 검토 할 수 있습니다.
SOC(Service Organization Control) 3
SOC 3 보고서는 SOC 2 기반의 보고서를 공개 가능한 버전으로 구성한 것입니다. SOC 인증은 서비스 및 서비스 조직에 대한 신뢰도를 높이기 위해 고안된 감사의 일종으로 국제적으로도 매우 엄격하고 공신력 있는 것으로 평가되고 있습니다.
국내 클라우드 서비스 제공사로는 처음으로 미국 클라우드 보안 협회(CSA)가 부여하는 CSA STAR Certification 인증 요구 사항에 대한 검증을 마쳤으며, 국제 표준제정기구인 BSI(British Standards Institution)로부터 표준 요구사항을 만족한다는 것을 확인 받았습니다.
CSA STAR
미국 클라우드 보안 협회(CSA)는 클라우드 보안 관련 통제를 보다 구체화한 클라우드 통제 매트릭스(Cloud Control Matrix)를 통해 STAR(Security, Trust & Assurance Registry)라고 하는 인증을 부여하고 있는데요. 클라우드 통제 매트릭스(CCM v3.01) 16개의 도메인과 133개 통제 항목으로 구성된 프레임워크로 단순히 통제 항목에 대한 이행 여부만을 확인하는 것이 아니라 성숙도를 평가하고 점수를 부여하고 있습니다. 따라서 이러한 평가를 거쳐 최종적으로 인증서가 발행되기에 클라우드 서비스 보안 관리 활동이 효과적으로 수행되고 있음이 제3자에 의해 객관적으로 검증되었다는 것을 의미합니다.
네이버클라우드는 싱가포르 정보통신미디어 개발청(IDA)이 주관하고 싱가포르 정보기술표준위원회(ITSC)에서 개발한 클라우드 인증 제도 중 최고 등급인 MTCS Level 3 를 국내 클라우드 사업자 중 최초로 획득하였습니다.
MTCS Level 3
MTCS 싱가포르 표준은(SS 584:2015) 여러 계층의 클라우드 보안을 다루는 세계 최초의 클라우드 보안 표준으로, ISO/IEC 27001 같은 국제 표준에 기초하며, 다음과 같은 통제 사항이 엄격히 준수되고 있음을 보증합니다. MTCS에는 3단계의 보안 레벨이 있으며, 기본 보안을 제공하는 Level 1 부터, 기밀 비즈니스 데이터, 재무 기록, 의료 기록 등 특정 요구사항이 있는 규제 대상 조직에서 사용하는 영향력이 큰 정보 시스템의 보안 위험 및 위협을 보완하거나 해결할 수 있는 역량과 성숙도를 보유하고 있음을 의미하는 Level 3 단계로 구성되어 있습니다. 2021년 7월 한국 기업중에서 최초로 가장 엄격한 보안 단계인 레벨 3 인증을 취득하였습니다.
‾
국내 및 국제 인증을 취득하고 매년 엄격한 심사 체계를 통해 인증을 갱신하는 데에는 많은 시간과 노력이 들어갑니다.
다만 인증은 품질, 안전, 환경 등 특정 표준을 준수한다는 확실한 증거로, 서비스는 표준 공익 기준과 규제를 충족하는 경쟁력을 갖추고 고객과 파트너로부터 신뢰를 얻을 수 있는 지표가 되기에, 네이버클라우드는 앞으로도 국내외 표준 공인 기준을 충족하고 각종 보안 위협으로부터 고객의 정보를 보호하기 위한 정보보호체계의 신뢰성과 안정성을 입증할 것입니다.
‘웍스 드라이브 FAQ’ 두 번째 에피소드에서는 네이버클라우드가 취득한 다양한 인증 중에서 웍스 드라이브에 적용된 인증을 선별하여 소개해 드렸습니다.
업무용 클라우드 스토리지를 고민하고 계시거나 변경을 검토 중이시라면, 국내 및 국제 인증을 받은 서비스인지, 인증을 받은 등급이 낮은 등급인지 최고 등급인지 면밀히 확인하시는 것을 추천 드립니다.
