earticle

영어

With the development of cloud computing technologies, the demand for cloud services and concerns about security threats have been increased. Accordingly, Republic of Korea has been operating the cloud security certification system named as CSAP to resolve security concerns about cloud services. However, in the case of the domestic cloud service certification system, compared to those of the overseas, items of security domain controls considering the characteristics of software-based control services such as SaaS(Software as a Service) are insufficient. In 2020, Europe published a draft document including security requirements necessary to create the cloud security certification system named as EUCS. In this paper, from SaaS security perspective, cloud architecture and usage scenarios of cloud service are investigated in order to derive security control families necessary for cloud service security certification. In addition, we conduct a comparative study between CSAP and EUCS, and propose a security evaluation model for SaaS.

한국어

클라우드 컴퓨팅 기술의 발전에 따라 클라우드 서비스에 대한 요구와 함께 보안 위협에 대한 우려도 함 께 증가하고 있다. 이에 따라, 한국은 클라우드 서비스에 대한 보안 우려를 해소하기 위해서 클라우드 보안인증제 도(CSAP)를 운영해 오고 있다. 그러나, 국내 클라우드 서비스 인증제도의 경우에는 해외 클라우드 서비스 인증제 도와 비교해 볼 때, SaaS(Software as a Service)와 같은 소프트웨어 기반 클라우드 서비스의 특징을 고려한 보 안 통제항목은 부족한 상황이다. 2020년에 유럽은 EUCS 클라우드 서비스 보안 인증제도를 신설하기 위해 필요한 보안요구사항 초안을 공개하였다. 본 연구에서는 SaaS 보안 관점에서 클라우드 서비스 보안 인증에 필요한 통제 분야를 도출하기 위해 클라우드 아키텍처 및 클라우드 서비스 사용 시나리오에 대한 조사를 수행한다. 또한, 유럽 의 EUCS 클라우드 서비스 인증제도와 국내 CSAP 클라우드 서비스 인증제도에 대한 비교 연구를 수행하고 SaaS에 대한 보안평가 모델을 제안하고자 한다.