공공클라우드 와 민간클라우드의 구분, 그리고 CSAP(클라우드 보안인증)이란?
공공클라우드 와 민간클라우드의 구분
공공클라우드와 민간클라우드는 주요 사용 대상과 보안 요건에 따라 구분됩니다.
1. 공공클라우드 (Government Cloud, G-Cloud)
- 대상: 정부 기관, 공공기관, 지자체 등이 이용하는 클라우드
- 특징:
- 보안 규제가 강화되어 있음 (예: CSAP 인증 필수)
- 국내 **공공기관 전용망(G-클라우드, 망분리 요구)**에서 운영
- 외국 기업의 클라우드 사용 제한 (주로 국내 CSP 사용)
- 국가 안보 및 민감한 데이터를 다루는 경우가 많아 물리적, 논리적 보안이 중요
- 대표적인 공공클라우드 사업자: NHN Cloud, KT Cloud, 네이버 Cloud, AWS Outpost(국내 인증 필요)
2. 민간클라우드 (Private Cloud, Enterprise Cloud)
- 대상: 일반 기업, 금융, 제조, 유통 등 다양한 산업군
- 특징:
- 공공기관이 아닌 일반 기업이 자유롭게 이용 가능
- 보안 규제가 공공클라우드보다 상대적으로 완화
- 글로벌 클라우드 서비스(AWS, GCP, Azure 등) 이용 가능
- 서비스 확장성과 비용 절감이 주요 장점
- 산업별 규제(Fintech, 의료 등)와 연계된 경우 특정 보안 인증 필요 (예: 금융보안원 인증, HIPAA, ISO27001 등)
CSAP (Cloud Security Assurance Program, 클라우드 보안인증)
CSAP는 **한국인터넷진흥원(KISA)**이 주관하고 과학기술정보통신부가 운영하는 공공기관 대상 클라우드 보안 인증 제도입니다.
1. CSAP의 필요성
- 공공기관이 클라우드 서비스를 도입할 때 보안성을 검증하기 위한 인증
- 국가 및 공공기관이 민간 클라우드 도입 시 보안사고 방지 목적
- 국내 CSP(클라우드 서비스 제공자)가 공공사업을 수행하려면 필수
2. CSAP 인증 유형
CSAP 인증은 제공하는 서비스 유형에 따라 다음과 같이 분류됩니다.
- IaaS(서비스형 인프라)
- 가상 서버, 스토리지, 네트워크 등 인프라 서비스 제공
- (예: NHN Cloud, KT Cloud, 네이버 Cloud의 공공 전용 IaaS)
- PaaS(서비스형 플랫폼)
- 개발 및 운영을 지원하는 플랫폼 서비스 (예: DB, 개발 환경 등)
- (예: 클라우드 네이티브 환경 지원 PaaS)
- SaaS(서비스형 소프트웨어)
- 클라우드 기반 소프트웨어 서비스 제공
- (예: 전자결재, 이메일, ERP, 협업툴 등)
3. CSAP 인증을 받기 위한 주요 조건
- 국내 데이터센터 운영 (공공기관 데이터 해외 반출 금지)
- 물리적, 논리적 망분리 (공공망과 인터넷망 분리)
- 국내 법령 준수 (전자정부법, 개인정보보호법 등)
- 정보보호 관리체계(ISMS-P) 인증 필수
- 공공기관의 관리체계 및 보안 요구사항 충족
4. 주요 CSAP 인증을 받은 국내 클라우드 사업자
- IaaS: NHN Cloud, KT Cloud, 네이버 Cloud, 가비아, 삼성SDS, LG CNS 등
- SaaS: 네이버웍스, 다우오피스, 이지케어텍(의료 클라우드) 등
결론
- 공공클라우드는 보안 규제가 엄격하고, CSAP 인증을 받은 CSP만 사용 가능
- 민간클라우드는 비교적 자유로운 서비스 선택이 가능하고 글로벌 CSP(AWS, GCP, Azure)도 사용 가능
- CSAP는 공공기관이 사용할 클라우드의 보안성을 검증하는 필수 인증이며, 이를 획득해야 공공 클라우드 사업 수행 가능
즉, 공공기관과의 클라우드 사업을 고려한다면 CSAP 인증이 필수 요건이 되며, 기업의 경우 규제 완화를 위해 프라이빗 클라우드 및 CSAP 인증된 CSP 활용 전략이 필요합니다. 🚀
