2024년 와탭의 첫 인증 CSA STAR! 과연 무엇일까요?
최근 와탭랩스가 CSA에 등재되었습니다. CSA란 Cloud Security Alliance의 약자입니다. 2013년 영국 표준 협회(British Standards Institution)는 CPS가 CSA 관련 평가를 게시할 수 있도록 STAR(Security, Trust & Assurance Registry)라고 하는 무료 및 공개적으로 액세스할 수 있는 등록 프로그램을 시작했습니다. 클라우드와 관련된 제3자가 보안, 신뢰, 보증, 위험 (Securitym Trust, Assurance, and Risk, STAR) 중심의 객관적 기준에 따라 안전한 클라우드 환경을 심사한 후 부여하는 국제 표준 클라우드 보안 인증입니다.
CSA에서는 총 3가지 레벨의 인증서를 제공합니다. 어떤 레벨이 있는지 확인해 보실까요?
Level 1: Self-Assessment(자체 평가)
와탭랩스가 취득한 레벨로 클라우드 서비스가 위험하지 않은 환경에서 운영되며 시행하고 있는 보안 프로그램의 신뢰와 투명성을 효율적으로 개선하기를 원하는 공급자가 선택할 수 있습니다. 자체 평가는 다양한 클라우드 컴퓨팅 서비스에서 제공하는 보안 제어를 문서화하는 것으로 해당 문서는 현재 사용하고 있거나 사용을 고려하고 있는 클라우드 서비스의 보안을 평가하는 데 참고할 수 있습니다. 다만 자체 평가는 평가 대상 서비스와 관련된 회사 정책의 변경에 따라 수정됩니다. 와탭랩스는 CSA START Level 1 Self-assessment를 진행하였습니다.
레벨 1에는 다음과 같은 종류가 있습니다.
보안 자체 평가 (Security Self-Assessment)
CAIQ (Consensus Assessments Initiative Questionnaire)를 제출하여 CCM (Cloud Controls Matrix) 준수를 문서화하는 방법입니다. 와탭랩스의 CAIQ 문서는 CSA 공식 사이트에서 확인하실 수 있습니다.
GDPR 자체 평가 (GDPR Self-Assessment)
클라우드 서비스의 GDPR 준수를 다루며 CSA에 관련 문서가 게시된 후 1년 동안 유효한 인증 마크를 사용할 수 있습니다.
Level 2: 제3자 인증 (Third-Party Audit)
클라우드 서비스가 중간에서 높은 수준의 환경에서 운영되거나 ISO 27001, SOC 2, GB/T 22090-2008, GDPR을 이미 보유하고 있는 공급자가 클라우드 보안 및 개인 정보 보호를 보장하는 효율적인 방법을 모색할 때 선택할 수 있습니다.
레벨 2에는 다음과 같은 종류가 있습니다.
STAR 증명 (Attestation): SOC 2 용
CSA와 AICPA가 협력하여 CPA가 SOC 2 계약을 수행하는 데 필요한 지침을 제공하는 증명입니다. AICPA(Trust Service Principles, AT 101) 및 CSA Cloud Controls Matrix 기준을 사용하며 클라우드 서비스 공급자에 타사의 독립된 평가를 제공합니다.
STAR 인증 (Certification): ISO/IEC 27001 용
클라우드 서비스 공급자의 보안 체계를 엄격하게 진행하는 타사의 기술 중립적 독립 평가가 이루어지는 인증입니다. CSA Cloud Controls Matrix와 함께 ISO/IEC 27001 관리 시스템 표준의 요구 사항을 활용합니다.
C-STAR: 중화권 시장용
CSA 모범 사례와 중국 국가 표준을 고려하여 강력한 제3자가 중화권 시장용 클라우드 서비스의 보안을 독립 평가하는 인증입니다. C-STAR는 CSA Cloud Controls Matrix와 함께 GB/T 22080-2008 관리 시스템 표준의 요구 사항과 GB/T 22239-2008 및 GB/Z 28828-2012에서 선택한 29개의 관련 컨트롤을 활용합니다.
Level 3: 지속적인 심사 (Monitoring)
CSA에서 심사 기준을 확정하지 않고 지속적으로 정의하고 있기에 명확한 준수 여부를 판단할 인증은 존재하지 않습니다. 하지만 클라우드 서비스 공급자는 제공 서비스의 보안 및 제어 관련 항목에 대한 정기 감사를 제공할 수 있도록 프로그램을 설계하고 운영해야 하며 이는 여러 산업과 워크 로드 전체에 걸쳐 일반적인 감사 요구 사항을 충족할 수 있습니다.
CSA STAR Level 1을 취득하기 위해서는 보안 자체 평가 문서인 CAIQ를 작성해야 합니다. 해당 문서는 CSA STAR 공식 홈페이지에서 다운로드 가능하며 현재는 2021년 9월 13일에 발행된 v4.0.2 버전이 최신 버전입니다.
해당 문서의 순서, 형식 등을 변경할 수 없으며 오직 C, D, E, F 열만 수정할 수 있습니다. C, D 열은 필수로 입력해야 하며 E, F 열은 선택사항으로 일부만 입력해도 무방합니다.
작성된 CAIQ 문서는 CSA STAR Registry에 올라가는 문서로 전 세계 모든 사람이 열람할 수 있습니다. 이는 영어로만 작성해야 하며, 자체 평가 내용을 기준으로 정확하게 작성해야 합니다.
해당 문서를 제출하기 위해선 CSA 조직 생성이 필요합니다. 조직 생성을 위해선 아래 내용이 필요하며, 이는 모두 영어로 작성되어야 합니다.
- STAR 레지스트리 목록에 등재될 조직 및 클라우드 서비스의 이름
- 조직 및 클라우드 서비스의 URL
- 조직 및 클라우드 서비스에 대한 설명
해당 정보로 조직 등록 후 승인이 나면 자체 평가 등록이 가능합니다.
작성된 CAIQ 문서 제출 후 조직과 서비스를 등록하면 CSA STAR에 게시됩니다.
일반적인 상황에선 영업일 기준 1일 이내에 게시가 되나 제출한 CAIQ 문서를 수동으로 검토하기 때문에 영업일 기준 최대 5일이 걸릴 수 있습니다. 등록된 CSA STAR는 STAR Registry에서 확인하실 수 있습니다.
와탭랩스는 이외에도 ISO27001, 27017, 27018을 취득하였으며, 국내 CSAP 인증도 가지고 있습니다. 앞으로도 와탭랩스는 고객 여러분이 안전하게 이용하실 수 있는 서비스를 만들기 위해 최선을 다하겠습니다.
