1. 공공부문 SaaS 이용 가이드라인의 개요
배경: '디지털플랫폼정부' 실현을 위해 공공 인프라를 클라우드로 전환하고, 검증된 민간 SaaS를 우선 도입(SaaS First)하여 행정 효율성을 제고하기 위함입니다.
목적: 공공기관이 클라우드 서비스 도입 시 발생할 수 있는 보안 위협을 선제적으로 관리하고, 서비스 품질 및 연속성을 보장하기 위한 기준을 제시합니다.
2. 클라우드 서비스 위험 관리원칙 및 기준
공공기관은 SaaS 도입 시 기존 온프레미스 방식과는 다른 클라우드 특유의 위험 관리 원칙을 준수해야 합니다.
가. 위험 관리 4대 원칙
책임 공유 모델(Shared Responsibility): 서비스 모델(SaaS)에 따라 공급자와 이용자 간의 보안 관리 영역과 책임을 명확히 구분합니다.
데이터 주권 보장: 공공 데이터의 저장 위치를 국내로 제한(필요시)하고, 기관의 통제권을 유지합니다.
서비스 가용성 확보: 장애 시 대응 절차 및 데이터 백업/복구 체계를 사전에 검증합니다.
보안 인증 준수: 클라우드 보안인증(CSAP)을 획득한 서비스를 우선적으로 검토하여 기본 보안성을 담보합니다.
나. 도입 대상 선정 기준
업무의 중요도(상·중·하)에 따라 클라우드 배포 모델(Public, Private, Hybrid)을 결정하며, 개인정보 포함 여부에 따라 보안 강도를 차등 적용합니다.
3. 보안대책 수립 및 보안성 검토
SaaS는 인프라를 직접 통제할 수 없으므로, 애플리케이션 및 데이터 접근 제어 중심의 보안대책이 중요합니다.
가. 주요 보안대책 수립 내용
인증 및 권한 관리: 다중요소 인증(MFA), 접근 제어 정책(RBAC), 계정 관리(IAM) 수립.
데이터 보호: 구간 암호화(TLS), 저장 데이터 암호화, 데이터 무결성 검증.
연계 보안: 내부 망과 SaaS 간 연계 시 망분리 규정 준수 및 보안 게이트웨이 활용.
사고 대응: 침해사고 발생 시 보고 체계 및 디지털 포렌식 협조 방안 마련.
나. 보안성 검토 절차 및 대상
검토 대상: 국가정보원 '국가 정보보안 기본지침'에 의거, 신규 도입하거나 중요한 변경이 있는 경우 수행합니다.
검토 간소화: CSAP 인증을 받은 SaaS의 경우, 이미 검증된 공통 보안 항목에 대해서는 검토를 생략하거나 간소화하여 신속한 도입을 지원합니다.
4. 서비스 수준 협약 (SLA: Service Level Agreement)
SaaS는 구독형 서비스이므로 서비스 품질을 정량적으로 관리하고 보상 체계를 명문화하는 SLA가 필수적입니다.
| 주요 항목 | 세부 내용 | 지표 예시 |
| 가용성 (Availability) | 서비스의 중단 없는 제공 시간 비율 보장 | 99.9% 이상 가동률 |
| 성능 (Performance) | 사용자 요청에 대한 응답 속도 및 처리량 | 응답시간 3초 이내 등 |
| 보안 및 준거성 | 보안 사고 발생 여부 및 취약점 점검 주기 | 월 1회 보안 리포트 제공 |
| 고객 지원 | 장애 접수 시 대응 및 해결 시간 보장 | 장애 조치 4시간 이내 |
| 서비스 연속성 | 데이터 백업 주기 및 재해 복구(DR) 목표 | RTO(복구목표시간), RPO |
| 위반 시 보상 | 가용성 미달 시 이용료 감면 또는 위약금 규정 | 가동률 미달 시 당월 요금 10% 감면 |
5. 기술사적 제언: 공공 SaaS 생태계 활성화를 위한 제언
SaaS First에서 SaaS Native로: 단순한 소프트웨어 도입을 넘어, 공공 업무 프로세스를 SaaS 표준 기능에 맞추는 **BPR(Business Process Reengineering)**이 병행되어야 합니다.
제로 트러스트(Zero Trust) 연계: 경계 보안이 무의미한 SaaS 환경에서는 "결코 신뢰하지 말고 항상 검증하라"는 제로 트러스트 보안 모델을 가이드라인에 적극 반영해야 합니다.
멀티 클라우드 거버넌스: 특정 SaaS 벤더에 종속되는 현상(Lock-in)을 방지하기 위해 데이터 이관 편의성 및 표준 API 준수 여부를 도입 심사의 핵심 지표로 관리해야 합니다.
댓글 없음:
댓글 쓰기