정보 센터

FedRAMP 컴플라이언스 해설: 종합 개요

데이터 유출 사고가 갈수록 더 빈번해짐에 따라, 고객은 쉬운 표적이 될 만한 기업을 의심스러운 눈초리로 보게 됩니다. 그 누구도 해킹당할 위험이 더 큰 기업과 거래하길 원치 않습니다. 연방 정부의 경우 더욱 그렇습니다.

연방 정부 기관에는 철통같은 보안이 구현되었다고 생각할 수 있으나, 데이터를 보면 꼭 그렇지 않습니다. 여느 조직과 마찬가지로 취약할 뿐만 아니라 해커의 주요 표적이기도 합니다.

기록에 의하면, 2018년은 사이버 보안 측면에서 미국 정부에 최악의 해입니다. 이 연도에 연방 정부 기관에서 13,107건의 보안 침해가 발생한 것으로 보고되었습니다. 그에 따른 경제적 피해는 총 137억 달러에 달합니다.

연방 정부 기관이 보유한 국가 및 시민에 관한 정보의 중요성을 고려하면, 이러한 위협 요인은 심각하게 우려할 문제입니다.

이런 까닭에 연방 정부는 모든 파트너 조직이 따라야 할 지침을 마련하면서 사이버 보안을 중대한 과제로 받아들입니다. 즉, 파트너가 엄격한 사이버 보안 기준과 권한 체계를 유지하게 함으로써 관련 리스크를 낮추고 있습니다.

FedRAMP(연방 위험 및 인증 관리 프로그램)는 기업이 안전한 클라우드 서비스 및 제품을 제공하도록 지원하는 정부의 이니셔티브 중 하나입니다.

그렇다면 FedRAMP란 무엇이고 무슨 목적으로 언제 개발되었는지, 누구에게 적용되는지, 왜 중요한지, 그리고 FedRAMP 인증 조건 및 그 절차가 무엇인지 등을 개괄적으로 살펴보겠습니다.

FedRamp란?

연방 위험 및 인증 관리 프로그램(Federal Risk and Authorization Management Program), 즉 FedRAMP는 미국 정부가 종합적으로 시행하는 프로그램으로, 클라우드 제품 및 서비스를 대상으로 한 보안 평가, 인증, 상시 모니터링에 표준화된 기법을 도입합니다.

FedRAMP의 목표는 클라우드 제품 및 서비스에서 최소 수준의 보안 요건을 충족함으로써 데이터 유출 위험을 줄이고 중요 정보를 보호하는 것입니다.

FedRAMP의 목표

지난 10년 새 클라우드 기술이 급부상했고, 여기에는 그럴 만한 이유가 있습니다. 훨씬 더 쉽고 빠른 방식으로 서비스를 확장할 수 있게 되었습니다.

그러나 더 빠른 서비스 제공이 가능해지면서 특히 고객 데이터 보호와 관련하여 위험 부담이 커집니다.

FedRAMP는 클라우드 기반 서비스 및 제품의 안정성, 안전성, 보안을 지키기 위한 일련의 보안 표준 및 프로세스를 제공합니다.

FedRAMP는 이러한 배경을 갖고 2011년에 출범했습니다. FedRAMP는 연방 정부 기관에서 연방 정보를 저장, 처리, 공유하는 데 사용하는 클라우드 제품 및 서비스를 대상으로 보안 평가, 인증, 상시 모니터링을 간소화합니다.

FedRAMP의 목표는 다음과 같이 요약할 수 있습니다.

  • 클라우드 서비스 이용 시 연방 정보의 보안 보장
  • 클라우드 서비스를 재사용 가능한 버전으로 만들어 연방 정부의 시간과 비용 절약

FedRAMP는 이러한 목표를 이루기 위해 다음과 같은 분야에 역점을 둡니다.

  • 신뢰할 수 있는 단일 통합 보안 인증 프로세스 개발 - 많은 기관에서 흔히 볼 수 있는, 각종 인증 정보를 대조하고 확인하는 작업이 줄어듭니다.
  • NIST 및 FISMA를 활용하여 클라우드 보안 평가
  • 벤더와 에이전시 간의 협업 증진
  • 베스트 프랙티스를 표준화하여 모든 보안 패키지에서 일관성 유지
  • 중앙에 단일 통합 공유 리소스 저장소를 구축하여 각 기관이 클라우드에 성공적으로 적응하도록 지원

FedRAMP의 역사

FedRAMP는 10여 년 전에 시작되었지만, 그 뿌리는 훨씬 더 오래 전으로 거슬러 올라갑니다. 미 의회는 더 나은 전자정부 서비스를 제공하고자 2002년 전자정부법을 통과시켰습니다. 이 법에 따라 기획예산처(OMB) 내에 연방 최고 정보 책임자 직책이 신설되었습니다.

중요한 변화 중 하나는 2002년 연방 정보 보안 관리법 (FISMA)이었습니다. 이 법에서는 각종 위협으로부터 방어하기 위해 사이버 보안 프레임워크를 사용하는 방법을 지지합니다. 그때부터 클라우드 기술은 연방 정부 기관에서 데이터와 상호 작용하는 방식을 바꿔 놓은 기술 중 하나였습니다.

클라우드 기술을 통해 효율성을 높이고 운영 및 구매 비용을 대폭 감축함으로써 연방 정부의 연간 비용을 수십억 달러 절감합니다. 하지만 이는 새로운 차원의 사이버 리스크를 수반합니다.

2011년에 미국 정부는 연방 정부 기관에 서비스 및 제품을 제공하는 클라우드 서비스 제공업체를 관리하기 위해 FedRAMP를 공식적으로 마련했습니다. 그에 앞서 OMB의 연방 CIO, Steve VanRockel은 클라우드 보안 프레임워크의 필요성을 설명하는 리포트를 각 미국 연방 정부 기관에 전달했습니다.

이 리포트에서는 클라우드 서비스의 보안 리스크를 효과적으로 관리하기 위한 수단으로 FedRAMP 발족을 제안했습니다. 이 프로그램은 2012년에 공식적으로 출범했습니다. 미국 정부는 이 프로그램 운영 및 클라우드 서비스 제공업체 인증을 시작하도록 허가했습니다.

이후로 발전을 거듭한 FedRAMP는 이제 연방 정부 기관에서 사용하는 클라우드 서비스의 보안을 보장하는 클라우드 보안 평가의 연방 표준으로 자리잡았습니다.

FedRAMP의 적용 대상

FedRAMP는 미국 연방 정부에서 사용하는 모든 클라우드 서비스 또는 제품에 적용됩니다. 여기에는 Amazon Web Services(AWS), Microsoft Azure, Google Cloud Platform이 포함됩니다. 정부를 위해 서비스를 제공하는 계약업체 및 벤더에도 적용됩니다.

FedRAMP 프로그램에 따라 클라우드 서비스 제공업체는 보안 통제 필수 요건에 부합하는 효율적으로 안전한 환경을 설계하고 구현해야 합니다.

FedRAMP가 중요한 이유

오늘날 각 정부 기관에서 안전한 클라우드 서비스가 그 어느 때보다 중요한 역할을 하고 있습니다. 모바일 기술이 널리 보급됨에 따라, 각 기업은 경쟁력 유지 차원에서 클라우드 컴퓨팅, IaaS(Infrastructure-as-a-Service), SaaS(Software-as-a-Service) 등의 새로운 기술을 도입해야 했습니다.

FedRAMP는 연방 정부에서 사용하는 클라우드 서비스가 보안 표준을 충족하는지 검증하므로 중요합니다. 이는 연방 정부의 데이터를 보호하고 비용을 절감하며 효율성을 개선하는 데 도움이 됩니다. FedRAMP는 각 기관이 클라우드 서비스의 리스크를 효과적으로 평가하고 관리할 방법을 제공하면서 연방 정부 기관이 사용하는 클라우드 서비스를 식별, 평가, 승인하는 프로세스를 간소화합니다. 자세한 내용은 규정 준수를 참조하십시오.

FedRAMP 인증의 조건

FedRAMP 인증을 취득하려는 클라우드 서비스 제공업체는 엄격한 인증 절차를 거쳐야 합니다. 이 프로세스는 해당 클라우드 서비스 또는 제품에 대한 자체 평가 설문(SAQ)를 작성하는 것으로 시작합니다. SAQ를 마치고 승인받으면, IAB(Impact Assessment Brief) 및 POA&M(Plan of Action & Milestones)을 제출해야 합니다.

IAB는 시스템의 아키텍처 및 보안 제어를 개괄적으로 정리한 것입니다. POA&M에서는 기업이 충족해야 할 보안 요건을 간략히 설명합니다.

IAB와 POA&M이 승인되면, 클라우드 서비스 제공업체는 공식 FedRAMP 인증 프로세스를 시작할 수 있습니다.

FedRAMP 인증은 다음 두 가지 방법으로 취득할 수 있습니다.

1. JAB(Joint Authorization Board)의 임시 운영 승인

이 과정을 진행하는 동안 JAB에서 임시 인증을 주고 정부 기관에 리스크 검토가 완료되었음을 알립니다. JAB 인증은 중요한 1차 승인 절차이며, 이제 클라우드 서비스 제공업체는 전체 기관 검토에 이를 제출해야 합니다.

리스크 수준이 높음 또는 중간인 클라우드 서비스 제공업체의 경우, 이 프로세스가 매우 유용합니다.

2. 기관 인증

각 기관은 FedRAMP 표준을 적용한 클라우드 서비스 및 제품을 인증할 책임이 있습니다. 전반적인 리스크를 평가하고 해당 시스템이 모든 보안 요구 사항을 준수하는지를 판단한 다음 인증합니다.

FedRAMP 컴플라이언스 카테고리

미국 정부는 FedRAMP 컴플라이언스와 관련하여 Low(낮음), Moderate(중간), High(높음), Not Authorized(미인증)의 여러 카테고리를 설정했습니다. 각 카테고리에는 해당 정보의 중요도에 따라 충족해야 하는 보안 요구 사항이 있습니다.

아울러 보안 위반이 다음 3가지 핵심 영역에 미칠 수 있는 영향도 기준으로 삼습니다.

  • 기밀성 - 개인 정보 및 독점적 정보 보호
  • 무결성 - 데이터 정확성과 완전성 보장
  • 가용성 - 필요한 시점에 권한 있는 사용자의 액세스 보장

1. FedRAMP Low Impact(낮은 영향) 레벨

Low-impact 레벨 보안은 클라우드 시스템 및 데이터의 기준선입니다. 리스크가 적으며, 일반인이 사용할 서비스 및 제품을 지원하도록 설계되었습니다. 이 레벨의 시스템과 정보는 기관의 사명, 운영, 재정, 평판, 인력에 그다지 중요하지 않습니다. 따라서 기밀성 및 가용성 손실이 큰 영향을 미치지 않습니다.

이 레벨에서는 125가지의 제어 기능이 시스템을 보호합니다. 이는 클라우드 서비스 제공업체가 클라우드에 저장된 정부 데이터를 보호하는 데 사용하는 기술과 프로세스입니다.

2. FedRAMP Moderate Impact(중간 영향) 레벨

이 레벨의 데이터는 관리 대상 미분류 정보라고 부릅니다. 공개적으로 사용할 수 없으며, 개인 식별 정보를 포함합니다. 이러한 데이터 유형에는 FedRAMP Moderate Impact 레벨의 325가지 제어 기능이 적용됩니다.

이러한 제어 기능이 없으면, 해당 기관의 주요 목적에 직접적인 영향을 미칠 수 있습니다. 일상적인 활동에 지장이 있고, 자원 손실이 일어나며, 사람들의 개인 정보가 유출될 수 있습니다.

3. FedRAMP High Impact(높은 영향) 레벨

FedRAMP에서 이 상위 수준 보안 기준선을 공표한 2016년 6월 이전까지는 정부 기관에서 기본(basic) 및 중간(moderate) 레벨 업무에만 클라우드 서비스 제공업체를 고용할 수 있었습니다. 그러나 이 상위 수준 보안 기준선이 마련되면서 기관에서는 더 중요한 성격의 업무에도 클라우드 서비스 제공업체를 이용할 수 있게 되었습니다.

고위험군(high-risk) 시스템은 고가치(high-value) 자산으로 분류된 데이터를 보호하도록 마련된 421가지의 제어 기능을 갖춰야 합니다. 일반적으로 정부 기관에서는 이러한 데이터를 소유하고 있습니다. 여기에는 국가 보안 정보, 영업 비밀, 금융 기록 등이 포함될 수 있습니다.

이 421종의 제어 기능은 포괄적이며, 클라우드에 저장되는 중요 정부 데이터에 대해 최고 수준의 보호를 제공합니다.

High Impact(높은 영향) 레벨은 연방 정부가 보유한 가장 중요한 미분류 정보에 적용해야 합니다. 즉, 보안 위반이 해당 기관에 타격을 주거나 재정적 파탄 또는 인명 손실을 야기하는 등 심각한 결과를 초래할 수 있는 영역이 해당합니다. 여기에는 법 집행, 비상 운영, 금융 서비스, 의료 시스템 등이 포함됩니다.

FedRAMP 거버넌스

FedRAMP 프로그램은 행정 부처의 기구에서 감독합니다. 이들이 상호 협력하면서 프로그램을 개발, 관리, 운영합니다. FedRAMP 관할 기구는 다음과 같습니다.

  • JAB(Joint Authorization Board) - FedRAMP의 주 관리 감독/의사 결정 기구입니다. 국토안보부(DHS), 총무청(GSA), 국방부(DOD)의 최고 정보 책임자(CIO)로 구성됩니다.
  • 기획예산처(OMB)- OMB에서는 연방 정보 기술에 관한 지침, 방향, 정책을 제공합니다.
  • FedRAMP PMO(Program Management Office)- 프로그램의 프레임워크를 개발하고 컴플라이언스 활동을 관리하며 서비스 제공업체를 관리 감독하는 책임을 맡습니다.
  • CIO 협의회(CIO Council) - 클라우드 컴퓨팅 활동과 관련하여 각 기관에 방향을 제시하고 조언하는 위원회입니다.
  • 국토안보부(DHS) - '운영 승인' 프로세스를 통해 클라우드 서비스 제공업체에 대한 기술 및 사이버 보안 평가를 수행합니다.

FedRAMP 인증 프로그램의 예

FedRAMP 프로그램에서는 다음과 같이 몇 가지 클라우드 기반 서비스를 인증했습니다.

  • Amazon Web Services(AWS)
  • Microsoft Azure Government Cloud
  • Google Cloud Platform for Government
  • Salesforce
  • Oracle Cloud Infrastructure for Government

이러한 클라우드 기반 서비스는 FedRAMP 보안 요건을 준수하며, 필요한 인증을 취득했습니다. 따라서 연방 정부 기관은 이러한 서비스를 사용하여 보안 문제 없이 클라우드에 중요 정부 데이터를 저장할 수 있습니다.

FedRAMP 인증

인증을 받으려는 클라우드 서비스 제공업체는 FedRAMP 프레임워크에 명시된 보안 요건을 충족해야 합니다. 여기에는 제안된 서비스와 관련된 리스크를 설명하는 리스크 평가 리포트(RAR), 리스크를 줄일 방법을 설명하는 보안 평가 계획(SAP), 제어 기능을 통해 컴플라이언스를 입증하는 인증 패키지(Authorization Package)가 포함됩니다.

이 모든 요구 사항을 충족한 클라우드 서비스 제공업체는 정부 환경에서 서비스를 운영하기 위한 인증을 신청할 수 있습니다. 승인 시 JAB로부터 3년간 유효한 임시 운영 인증(P-ATO)을 받습니다.

FedRAMP 인증 단계

FedRAMP 인증 프로세스는 취득하려는 인증 유형에 관계없이 일반적인 4단계로 구성됩니다.

  1. 패키지 개발 - 인증 킥오프 미팅을 갖고, 이어서 제공업체는 시스템 보안 계획을 작성합니다. 그런 다음 FedRAMP가 승인한 외부 평가 기관에서 보안 평가 계획을 마련합니다.
  2. 평가 - 보안 평가 조직에서 평가 결과 및 권장 사항을 자세히 기술하는 리포트를 제출합니다. 서비스 제공업체는 리포트에 제시된 문제점을 시정하기 위해 주요 일정이 포함된 문제 해결 계획을 마련합니다.
  3. 인증 - JAB 또는 승인 기관에서 리스크가 낮은 수준이라고 판단하면 FedRAMP PMO에 운영 승인서를 보냅니다. 그런 다음 제공업체의 이름이 FedRAMP 마켓플레이스에 등재됩니다.
  4. 모니터링- 보안 서비스를 이용하는 각 기관은 월별 모니터링 리포트를 받게 됩니다.

FedRAMP 인증 베스트 프랙티스

FedRAMP 인증 취득이 결코 쉽지 않지만, 클라우드 서비스 제공업체가 이 프로세스를 시작했다면 반드시 성공해야 모든 관계자에게 유익합니다.

FedRAMP에서는 몇몇 소기업 및 스타트업을 인터뷰하여 인증 과정에서 어떤 교훈을 얻었는지 알아봤습니다. 이 내용은 다른 기업에도 도움이 될 것입니다. 이들이 인증 절차를 성공적으로 마치는 데 특히 유익했던 7가지 팁을 소개합니다.

  • FedRAMP가 제품에 어떻게 적용되는지 확인하고 격차 분석을 수행합니다.
  • 기술 팀과 경영진을 비롯하여 조직 전체에서 지지를 확보합니다.
  • 이미 제품을 사용하고 있거나 적극적으로 사용할 의향이 있는 에이전시 파트너를 찾습니다.
  • 내부 구성 요소는 물론 외부 서비스와의 연결, 정보 및 메타데이터가 전달되는 방식까지 모든 것을 포함하여 경계를 명확하게 정의합니다.
  • FedRAMP를 종착점이 있는 프로젝트가 아닌, 상시 서비스를 모니터링하는 진행형의 프로그램으로 간주합니다.
  • 서로 다른 제품을 대상으로 여러 건의 인증이 필요할 수 있으므로, 인증 방식을 신중하게 고려하십시오.
  • FedRAMP PMO는 기술적 문제 해결 및 장기 계획 수립에 모두 도움을 줄 수 있는 중요한 자산입니다.

FedRAMP 컴플라이언스를 통해 누릴 수 있는 혜택

FedRAMP 컴플라이언스는 필수 조건이지만, 이를 의무보다는 투자로 간주해야 합니다. 인증을 취득하면 다음과 같이 큰 이점을 누릴 수 있기 때문입니다.

  • 정부 기밀 데이터 저장에 관한 신뢰도 및 보안 강화
  • 인프라스트럭처 및 데이터 센터를 유지할 필요성이 감소한 데 따르는 비용 절감
  • 각 기관에서 클라우드 서비스를 빠르게 이용하게 해주는 간소화된 인증 프로세스
  • 정부 기관에서 미인증 업체보다 FedRAMP 컴플라이언스 공급자를 선정할 가능성이 높아 시장 점유율 상승
  • HIPAA 및 SOX와 같은 다른 보안 표준에 대한 컴플라이언스 향상
  • 강력한 시스템을 구축함으로써 데이터 유출 및 기타 악의적인 공격 리스크 감소
  • FedRAMP 컴플라이언스 기능으로 더 신속하게 서비스 출시
  • 연방 정부 기관과 클라우드 제공업체 간의 신뢰 강화

결론

FedRAMP는 정부 기관과 클라우드 서비스 제공업체 모두에 중요한 사이버 보안 프로그램입니다. 중요 데이터의 안전을 강력하게 보장하면서 기업의 시장 점유율 상승을 뒷받침합니다.

지금 베리타스에 문의하여 시작하십시오. FedRAMP 컴플라이언스의 복잡한 절차를 효과적으로 다루면서 데이터를 안전하게 보호하도록 도와드리겠습니다.

 

베리타스 고객 중에는 Fortune지 선정 100대 기업의 95%가 포함되어 있으며 NetBackup™은 방대한 데이터를 백업하려는 기업에 선택 1순위의 제품입니다.

 

베리타스 데이터 보호 솔루션이 가상 워크로드, 물리적 워크로드, 클라우드 워크로드, 레거시 워크로드를 어떻게 완벽하게 보호하는지 궁금하다면 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.

 

FAQ

FedRAMP(Federal Risk and Authorization Management Program)는 미국 정부 산하의 모든 조직을 위한 사이버 보안 프로그램입니다. 연방 정부 기관에 서비스를 제공하는 클라우드 서비스 제공업체에 대한 표준화된 보안 요건을 마련하기 위해 개발되었습니다.

FedRAMP는 모든 연방 정부 기관 및 이러한 기관에 서비스를 제공하는 클라우드 서비스 제공업체에 적용됩니다.

FedRAMP 인증을 취득하려는 클라우드 서비스 제공업체는 엄격한 보안 요건을 충족하고 컴플라이언스를 입증해야 합니다. 여기에는 취약점 검사, 구성 감사, 정책 개발을 비롯한 여러 단계가 포함됩니다.

FedRAMP는 중요 데이터를 보호하고 정부 규정을 준수하며 시장 점유율을 높이는 데 중요한 역할을 합니다.