FedRAMP(미국 클라우드보안인증체계)란?

정부나 공공기관에서 클라우드를 도입하기 위해서는 무엇보다 보안성에 대한 부분이 고려되어야 하는 것은 누구나 아는 내용일 것입니다. 공공부분에서의 클라우드 도입사례를 거론할 때면 미국의 페드램프 제도를 많이 언급하십니다. 따라서, 이번 글에서는 해외, 특히 미국의 클라우드 공공부문 도입을 위한 제도인 페드램프에 대해 이야기해 볼 까 합니다.


.


미국에서는 지난 2012년부터 FedRAMP(페드램프, www.FedRAMP.gov)라는 프로그램을 제정하여 민간 클라우드를 도입하고 있습니다. 공공에서의 클라우드 보안평가 및 인증하면 항상 페드램프의 예를 많이 드는데요.


.


페드램프Federal Risk and Authorization Management Program의 약자로 한국어로 굳이 해석하자면 "미연방 클라우드 보안/인증 관리 프로그램" 정도로 해석할 수 있겠네요.


페드램프는 미국 정부의 클라우드 도입 효율성을 높이기 위해 본 프로그램의 보안인증을 받은 클라우드 서비스에 한해 정부 및 공공기관에 도입이 가능하도록 제도를 마련한 것입니다.


.


이 프로그램(제도)의 개발은 미 예산관리국(OMB), 연방표준기술연구소(NIST), 조달청(GSA), 국방부(DOD), 국토안보부(DHS), 각 정부기관의 CIO로 구성된 CIO 위원회 등이 참여하여 개발했습니다. 조달청의 경우 페드램프 관리 사무국 역할을 담당하고 있으며 각 참여 기관별로 역할이 분할 되어 있다고 보시면 됩니다.












.


페드램프 제도를 추진하게 된 배경을 살펴보면


미국은 911테러(2001) 이후 연방정부기관의 정보보호를 강화하기 위해 ’FISMA법‘(전자정부법(E-Government Act, 2002))의 일부분)을 제정해 美 백악관 행정관리예산국( OMB, Office of Management and Budget)이 총괄하여 시행중에 있었습니다.


Fisma의 보안성 인증 및 인가( C&A(Certification & Accreditation)) 프로그램은 각 연방정부에서 IT시스템·서비스 도입 시 보안성을 검증하는 체계로 각 정부·기관의 보안책임자는 IT시스템 조달 (개발, 구매 포함)시, 보안성 인증·인가 프로그램(C&A)을 통해 시스템을 각자 도입하는 시스템이었습니다.



.


그러나, 다양한 클라우드컴퓨팅서비스 이용에 따른 평가·인증 대상이 증가하고, 각 정부 및 기관들의 독자적인 평가·인증 기술 부족, 동일한 사업자·서비스에 대한 중복 평가·인증에 대한 비용, 시간, 인력투입의 절감이 요구되었고 그에 따라, 클라우드서비스의 보안 평가·인증에 관련된 모든 사항을 통합함으로써 연방정부의 안전한 클라우드 컴퓨팅의 도입을 가속화하겠다는 목표하에 페드램프가 추진된 것입니다.


.


우리나라의 경우는 정부기관에서 신규IT시스템을 도입시, 전자문서가 보관유통되는 정보통신망에 국정원의 보안성 검토와 안전성 확인을 받아야만 도입이 가능토록 되어 있으며, 정보보호시스템 도입시에도 국정원의 보안적합성 검증신청이 필요합니다.


.


그러나, 아직은 클라우드 도입시 페드램프와 같은 통합되고 일관된 인증체계가 마련되어 있지 않은 상황이지만, 클라우드발전법이 오는 9월에 시행됨에 따라, 페드램프 등 해외 유사 사례와 같은 제도 마련이 있을 것으로 예상되고 있습니다. 인터넷 기반 서비스의 경우 개인정보 및 기업정보 보호 등 보안에 있어서 큰 이슈가 많기 때문에 제대로 된 클라우드 보안인증 체계가 마련되었으면 하는 바램입니다.