반응형
각 항목은 관리적·기술적·물리적 통제 3영역으로 구분되어 있으며, 주요 미비사항(보완포인트) 도 함께 명시했습니다.
1. CSAP SaaS 인증 준비 개요
핵심 목표:
SaaS 서비스의 보안·운영체계를 KISA 기준(11개 분야, 30개 통제항목 이상)에 부합하게 구축 및 증빙.
인증 범위 정의가 1순위입니다.
- 서비스명, 기능 범위, 운영 환경(IaaS 인프라 포함 여부), 관리 주체 명확화
- 공공용 SaaS인지 민간 SaaS인지 구분
- 외부 위탁(예: IDC, 클라우드 인프라 사업자) 여부 명시
✅ 미비사항 빈도:
- 인증범위 불명확 (IaaS·SaaS 경계 모호)
- 문서화된 서비스 구성도, 책임분담 명세 미흡
2. 관리적 보호조치 체크리스트
| 구분 | 주요 점검항목 | 준비해야 할 증빙 | 자주 지적되는 미비사항 |
| 1. 정보보호 정책 및 조직 | 정보보호 정책 수립, 전사 정보보호 책임자 지정, 역할/권한 정의 | 정보보호정책서, 조직도, 역할 정의서 | 문서만 있고 실제 실행 증적(회의록, 공지 등) 부재 |
| 2. 인적보안 | 임직원 보안서약서, 입·퇴사자 계정관리, 정기 교육 | 서약서, 계정관리 로그, 교육 자료 및 참석 기록 | 보안교육 연간계획은 있으나 실제 이행근거 부족 |
| 3. 자산관리 | 서비스 자산 식별, 분류, 소유자 지정 | 자산목록, 관리대장, 분류 기준 | SaaS VM·컨테이너 단위 자산 누락 |
| 4. 서비스 공급망 관리 | 외주업체, 클라우드 인프라 공급자 보안관리 | 위탁계약서, SLA, 보안점검 리포트 | 위탁 관리책임자 지정 누락, 점검주기 불명확 |
| 5. 침해사고관리 | 침해사고 대응 프로세스 수립 및 훈련 | 사고대응절차서, 시나리오별 대응계획 | 사고대응훈련 기록 없음 |
| 6. 서비스 연속성관리 | 장애·백업·복구 절차, BCP 수립 | 복구계획서, 백업정책, 복구테스트 기록 | 복구테스트 실제 실행근거 부족 |
| 7. 준거성 관리 | 개인정보보호법, 정보통신망법 등 법규 준수 | 법적 요구사항 매핑표, 컴플라이언스 보고서 | 준거성 검토 미흡 (특히 개인정보 처리 관련) |
3. 기술적 보호조치 체크리스트
| 구분 | 주요 점검항목 | 준비해야 할 증빙 | 자주 지적되는 미비사항 |
| 8. 접근통제 | 관리자 계정 이원화, MFA, 접근권한 최소화 | 접근통제정책, 로그, 접근권한대장 | IAM 정책 미흡, 공용계정 존재 |
| 9. 네트워크 보안 | 방화벽, IDS/IPS, VPN 관리 | 네트워크 구성도, 보안장비 운영기록 | 네트워크 분리 불명확, 접근제어 정책 미흡 |
| 10. 데이터보호 및 암호화 | 개인정보 암호화, 전송구간 TLS, 저장 시 암호화 | 암호화 알고리즘 정책, 키관리 로그 | 암호화정책 명시됐으나 키관리 절차 미비 |
| 11. 시스템 개발 및 변경보안 | 개발·테스트·운영 분리, 취약점 점검, 형상관리 | Git 정책, 배포 절차서, 취약점진단 보고서 | DevOps 자동화 과정에서 접근제어 누락 |
| 12. 로그·모니터링 | 접근로그, 시스템로그, 보관기간 관리 | 로그정책, 중앙집중 관리체계 | 로그보관 6개월 미달, 위변조 방지 미비 |
| 13. 취약점 관리 | 주기적 보안패치, 취약점 점검 | 패치리스트, 점검 리포트 | 패치주기 불규칙, 자동화 미비 |
4. 물리적 보호조치 체크리스트
| 구분 | 주요 점검항목 | 준비해야 할 증빙 | 자주 지적되는 미비사항 |
| 14. 물리적 접근통제 | 서버실, 통신실 접근통제, CCTV, 출입이력 | 출입통제로그, CCTV관리대장 | 외부 IDC 이용 시 물리보안 증적 미비 |
| 15. 설비보호 및 재해대응 | 전원·냉각·소화 설비, 재해대응체계 | IDC 계약서, 점검결과, DR 보고서 | DR 테스트 기록 부재 |
5. SaaS 특화 항목 (CSAP 고시 제2023-02 기준)
| 항목 | 주요 내용 | 미비사항 |
| SaaS 구성요소 보안 | 멀티테넌시 격리, 테넌트별 데이터 분리·삭제 | 논리적 분리만 존재, 실제 DB레벨 격리 미흡 |
| SaaS 운영관리 체계 | SLA 준수 모니터링, 서비스형 장애대응절차 | SLA 내 MTTR 관리 부재 |
| 개인정보 보호 | 암호화·가명처리·파기절차 | 개인정보 파기로그 누락 |
| API 보안 | API 인증, 접근제어, 취약점 점검 | 토큰 인증만 있고 rate-limit 부재 |
| 클라우드 인프라 연동보안 | IaaS 상호 책임분담 명확화 | Shared Responsibility 문서화 미흡 |
6. 사전 점검 및 문서화 리스트 (필수 증적 문서 약 40종)
| 구분 | 문서명 예시 |
| 정책/지침 | 정보보호정책서, 접근통제정책, 로그관리지침, 계정관리절차 |
| 기술 운영 | 네트워크 구성도, 시스템 아키텍처, 취약점진단 보고서 |
| 운영기록 | 로그 샘플, 백업기록, 접근이력, 보안교육 이수증 |
| 준거성 | 법규대응표, 개인정보 영향평가(PIA) 결과 |
| 계약/SLA | 클라우드 인프라 위탁계약서, SLA 보고서 |
| 기타 | 사고대응훈련 기록, 복구테스트 결과, 점검계획 |
7. 인증 준비 단계별 수행 절차
| 단계 | 내용 | 주요 산출물 |
| ① 진단 단계 | 현재 서비스 보안 수준 분석 | Gap 분석보고서 |
| ② 보완계획 수립 | 미비항목 개선계획 | 개선로드맵 |
| ③ 내부점검 수행 | 보완 후 내부점검 | 내부감사결과서 |
| ④ KISA 인증신청 | 신청서, 첨부서류 제출 | 신청서, 서비스설명서 |
| ⑤ 현장심사 대응 | KISA 평가단 인터뷰·증적제시 | 증빙문서, 운영화면 |
| ⑥ 보완·재점검 | 미비사항 보완 | 개선확인서 |
| ⑦ 인증획득 및 사후관리 | 인증서 수령, 연간점검 대비 | 연간 점검계획 |
8. 실제 심사 시 자주 발견되는 주요 미비사항 TOP 5
- 개인정보 파기 절차 미흡 (로그만 남고 실제 삭제증적 없음)
- 관리자 접근 통제 미비 (MFA 미적용, 공용계정 사용)
- 복구·백업 시나리오 테스트 증거 부재
- 보안교육은 했지만 참석기록/증적 누락
- 위탁 관리계획 없음 (IaaS 인프라 위탁 계약 불명확)
✅ 마무리 조언
- CSAP SaaS 인증은 단순 보안인증이 아니라, 운영 전반의 신뢰성 인증입니다.
- **“문서화 → 실제 실행 → 증빙”**의 3단계 구조를 완성해야 합니다.
- 미비사항 대부분은 운영근거(증적) 부재로 발생하므로, 모든 활동을 로그·기록·보고서로 남기세요.
- 필요 시 전문 컨설팅(예: ISMS-P + CSAP 통합 컨설팅)으로 준비 기간을 단축할 수 있습니다.
반응형
'[AWS-FRF] > 정보보안' 카테고리의 다른 글
| [정보보호 관리체계] ISMS, ISMS-P, ISO 비교 분석!! (1) | 2025.10.28 |
|---|---|
| [Executive-Level Policy Draft] 전사 정보보호 기본정책 초안 !! (0) | 2025.10.28 |
| [보안 거버넌스] 기업 전사 정보보호 전략과 정책 수립방안 !! (1) | 2025.10.28 |
| [WEB 3.0] 블록체인·암호자산·분산 프로토콜 기반!! (1) | 2025.10.28 |
| [국내 주요 암호화폐 거래소] 업비트(Upbit) vs 빗썸(Bithumb) vs INEX(인엑스) !! (0) | 2025.10.28 |
| [CISSP] Certified Information Systems Security Professional 완벽 정리!! (1) | 2025.10.26 |
| [ISO/IEC 27001] 정보보호경영시스템 (ISMS, Information Security Management System)!! (2) | 2025.10.19 |
| [KISA] 클라우드서비스 보안인증(CSAP) – SaaS(Software as a Service) 부문!! (0) | 2025.10.18 |
댓글