[박춘식 교수의 보안이야기] Google、Microsoft、Intel、McAfee、Verizon 및 Savvis가 Cloud Security Alliance(CSA)에 의해 만들어진 자발적 프로그램에 참가하게 되었다.
 
이 프로그램은 멤버인 조직이 CSA가 추천하는 클라우드 시큐리티 지침에 따르는지 따르지 않는 지에 관한 정보를 공개하는 것이다. CSA의 Security Trust and Assurance Registry(STAR)에 제출된 보고서에 의하면, 프로그램에 참가하고 있는 제공업자의 잠재 고객은 이들의 제공업자의 제품 또는 서비스가 자신의 시큐리티 요구를 만족하고 있는지 어떤지를 간단하게 평가하는 것이 가능하다.
 
다른 멤버의 적극적인 참여를 독려하기 위해, CSA는 기업에 대해서 거래가 있는 모든 클라우드 벤더에게 CSA STAR에 보고서를 제출하도록 요청해주면 좋겠다고 말하고 있다. 예를 들면, 이베이(eBay)는 이러한 대처를 실제로 행하고 있으며, 협업하고 있는 모든 클라우드 벤더에게 보고서의 제출을 요구하고 있다고 CISO（Chief Information Security Officer）인 Dave Cullinane씨는 말하였다.
 
이러한 정보가、eBay의 시큐리티나 고객의 프라이버시 확보에 도움이 된다고 말하고 있다. eBay와 동일하게 교육 론 회사인 Sallie Mae도 클라우드 벤더들이 CSA STAR에 보고서 제출을 통해서 자사의 안전성을 보여줄 것을 기대하고 있다.
 
CSA STAR는 각 참가 조직에 CSA의 Best Practice에 대한 컴플라이언스 상황을 기재한 자기 평가 보고서를 제출하도록 하고 있다. 게다가 「GRC」（governance,risk management and compliance）소프트웨어의 컴플라이언스 상황을 측정함에 있어서、CSA STAR 보고서를 고려하고 있는 벤더 리스트도 작성할 예정이다.
 
이것은 고객이 GRC에 의한 모니터링 및 평가를 제휴하는 클라우드 제공업자에게도 적용할 수 있도록 하기 위한 대책이라고 CSA는 설명하고 있다. Google、Microsoft、Verizon、Savvis는 자체 서비스에 관한 정보를, Intel과 McAfee는 시큐리티 제품에 관한 정보를 보고서로 정리하여 제출할 예정이다. CSA는 더욱이 클라우드 기반의 시큐리티 서비스 제공업자에 대해서도 동 단체의 감사를 실시할것으로 분명히 하였다. 대상이 되는 것은 클라우드 플랫폼으로 시큐리티 서비스를 제공하고 있는 기업이다.
 
CSA의 최신 가이드 「Guidance for Critical Areas of Focus in Cloud Computing」에는 “아주 엄격한 규제하에 있는 업계나 환경에서 『Security as a Service』를 도입하는 경우, 규제 목표를 달성하는 데 필요한 서비스 레벨을 정의하는 지표를 교섭에 의해서 결정하지 않으면 안 된다. 서비스를 정의하는 SLA 문서도 동일하다”라고 기재되어 있다.
 
클라우드 기반 시큐리티 서비스와 Identity부터 Access 관리, 데이터 유실 보호, 웹 및 전자 메일시큐리티, 암호화부터 침입방지에 이르기까지 다양한 것을 포함하고 있다고 CSA는 설명하고 있다. [박춘식 서울여자대학교 정보보호학과 교수]