TOP
보안·인증

클라우드 서비스의 보안과 개인 정보 보호의 서비스 환경이 궁금하세요?
안전하고 강력한 KT ucloud biz 에 관련된 보안 기능과 인증획득 내역을 확인하세요!

개요
ucloud biz 서비스는 고객이 다양한 서비스를 구축할 수 있도록 높은 가용성과 안정성 및 유연성까지 갖춘 확장성이 우수한 클라우드 컴퓨팅 플랫폼을 제공합니다. End to End 보안 및 개인 정보 보호를 위해 적절한 보안 기능을 도입하고 제 3자 검증을 통한 인증을 지속적으로 진행하고 있으며, ucloud biz 고객은 이러한 보안 기능 활용하여 보안에 문제 없는 서비스 환경을 구축할 수 있습니다. ucloud biz는 기본적으로 다음과 같은 방법을 통해 높은 보안 수준을 유지하고 있습니다.
01. 인증
ucloud biz는 현재 ISAE 3402 프로페셔널 표준에 의거하여 Service Organization Controls 1(SOC 1) Type II 인증보고서와 미국공인회계사회 지침(AICPA)에 따른 보안성, 가용성, 처리무결성과 관련한 서비스조직 통제(SOC 2) Type II 인증보고서를 받았습니다.
또한, ISO 27001 인증을 획득하였고, 방송통신위원회가 제정한 클라우드서비스 인증을 국내 최초로 획득하였으며, 99.5% 이상의 가용성과 글로벌 수준의 SLA 손해배상 제공을 통해 우수한 SLA클라우드서비스를 국내1호 인증을 획득하였습니다. ucloud biz는 계속적으로 적합한 보안 인증을 획득하고 감사를 수행하여 당사 인프라와 서비스 보안을 입증할 것입니다.
02. 물리적 보안
kt는 대규모 데이터 센터를 설계, 구축 및 운영하는 데 있어 유구한 경험을 자랑합니다. ucloud biz 인프라는 kt가 운용하는 클라우드 데이터 센터 내에서 안전하게 관리됩니다. 클라우드 데이터 센터는 기존의 데이터 센터와 달리 고객이 물리적인 서버에 직접 접근할 필요가 없습니다. 때문에 클라우드 데이터 센터의 출입 인원은 운영에 반드시 필요한 인원만 장비에 직접 접근할 수 있도록 엄격히 통제하고 있기에 물리적으로 보다 안전하게 보호할 수 있습니다. 또한 국내에서 가장 많은 데이터 센터를 오랜 시간 운영해 온 경험이 있는 kt만의 노하우로 복수의 출입 인증 방식, 감지 센서를 활용하여 중앙 통제를 수행함으로써 완벽한 물리적 보안을 유지하고 있습니다.
03. 안전한 서비스
ucloud biz의 서비스는 보안을 고려하여 안전하게 설계되었으며, 보안성 검토 절차를 두어 비정상적인 방법을 사용하여 서비스를 악용할 수 없는지 확인 후 고객에게 서비스를 제공하고 있습니다. ucloud biz는 DDoS방어에 국내 최고 수준인 kt의 클린존 서비스와 자체 방어 장비를 연계하여 cloud시설로 유입되는 대량의 유해 트래픽을 효율적으로 차단함으로써 cloud인프라를 안전하게 보호하고 있으며 ucloud biz server상품 이용 고객은 자신의 VR(Virtual Router)에서 기본 제공되는 Firewal, Port forwarding기능을 활용하여 서버에 대한 접근 제한을 설정하여 서버를 안전하게 보호하실 수 있습니다.
04. 데이터 개인 정보 보호
ucloud biz 사용자의 데이터는 여러 노드에 분산 저장되어 있어 데이터 유출에 있어 안전합니다. 고객의 데이터는 원본과 같은 방식으로 복사본을 유지하여 의도하지 않은 분실에 대비하고 있으며 모든 스토리지 장치는 정비, 폐기시 degaussing처리하여 고객의 데이터가 노출되는 것을 방지하고 있습니다.
ucloud biz 포탈에서는 기본적으로 입력하는 아이디와 비밀번호 이외에 OTP 서비스(SMS로 수신된 일회용 비밀번호를 입력해야만 로그인이 가능한 보안서비스) 제공으로 보다 안전하게 계정을 관리할 수 있습니다.
개인정보를 취급함에 있어 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 않도록 안전성 확보를 위하여 비밀번호 암호화와 개인정보의 훼손에 대비해서 자료를 수시로 백업하고 있고, 이용자들의 개인정보나 자료가 누출되거나 손상되지 않도록 기술적/관리적 대책을 강구하고 있습니다. 시스템적으로 보안성을 확보하기 위한 가능한 모든 기술적 장치를 갖추려 노력하고 있습니다.
인증 및 인가
ucloud biz는 아래와 같은 인증을 통해 서비스의 품질을 보증하고 있습니다.
01. SOC1 (ISAE 3402) 인증보고서 (舊, SAS 70 인증)
  • • 국제감사인증위원회의 국제인증업무기준(ISAE3402)에 따른 인증보고서 발행
  • • 글로벌 클라우드 서비스 업체와 동일 수준의 서비스 신뢰도 제공
ucloud biz는 ISAE 3402(International Standards for Assurance Engagements No. 3402) 프로페셔널표준에 따라 SOC1 (Service Organization Controls 1) Type 2 보고서를 받았습니다. SOC 1 보고서는 ucloud biz의 통제목적이 적절하게 설계되어 있고, 고객 데이터를 보호하도록 정의되어 있는 개별 통제 기능들이 효과적으로 작동하고 있다는 점을 증명하고 있습니다. 독립된 감사인의 인증보고서로 고객들은 이를 통해 서비스를 신뢰할 수 있고, 특히, 재무시스템을 ucloud biz에 구축한 고객사는 회계감사 시 본 인증보고서를 감사인에게 제출함으로써 감사 대응이 가능합니다.
* 국제감사인증기준위원회(IAASB-International Auditing and Assurance Standards Boards)
국제회계사연맹(IFAC) (www.ifac.org) 은 한국공인회계사회를 포함한 세계 124 국가의 159개 공인회계사 단체가 가입을 하고 있는 국제기구로 연계된 공인회계사는 250만명 이상의 조직이다 IFAC산하 IAASB(www.ifac.org/IAASB)는 세계의 모든 공인회계사들이 사용하기 위한 감사인증기준 및 지침을 개발하고 있으며, 이러한 기준 및 지침은 글로벌 하게 최고의 공신력을 갖고 있다. IFRS 가 세계의 회계기준을 통일했듯이 IAASB 기준이 세계의 감사기준을 통일하고 있다.
* 국제인증업무기준(ISAE 3402, International Standard on Assuance Engagement 3402)
국제감사인증기준위원회(IAASB)에서 제정한 국제인증업무기준으로 “ 서비스조직의 통제에 대한 인증보고서”이다. 아웃 소싱 업무 통제에 대한 글로벌 인증으로 과거 국가별로 운영되던 인증들을 통합한 것으로 미국형 기준인 SSAE16과 글로벌 인증인 ISAE3402가 통용되고 있다.
02. SOC2 Type2 인증보고서
  • • 미국공인회계사회 지침 (The AICPA Guide Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy) 에 따른 인증보고서 발행
  • • 보안성, 가용성, 처리무결성과 관련한 서비스조직 통제의 설계 적합성 및 운용효과성 인증
ucloud biz는 미국공인회계사회의 “보안성, 가용성, 처리무결성, 기밀성 또는 개인정보보호 관련 서비스조직 통제 보고” 지침에 따라 서비스조직의 시스템기술서와 동 기술서에 언급된 보안성, 가용성, 처리무결성과 관련 있는 서비스조직 통제의 설계 적합성 및 운영효과성에 대한 테스트를 포함하는 보고서입니다.SOC 2보고서는 ucloud biz의 통제목적이 적절하게 설계되어 있고, 고객 데이터를 보호하도록 정의되어 있는 개별 통제 기능들이 효과적으로 작동하고 있다는 점을 증명하고 있습니다. ucloud biz는 2011년 4월부터 8개월간 ucloud biz 서비스에 대한 업무체계 및 내부통제 기준 등을 보완하고 글로벌 회계법인인 언스트앤영으로 부터 천안 및 목동 클라우드 데이터센터에 대한 실사와 평가를 통하여 인증을 획득하여 국내 최초로 클라우드 서비스에 대하여 SOC2 국제인증을 확보하고 글로벌 수준의 서비스 신뢰도를 제공하고 있습니다.
* 회계법인 언스트앤영(Ernst & Young)
100년이 넘는 전통을 가진 회계법인인 Arthur Young과 Ernst & Whinney의 발전적인 합병을 통하여 1989년 10월 1일자로 설립된 세계 최고 수준의 국제적인 회계법인이다. Ernst & Young은 2008년 4월, 140여 개 국가에서 약 114,000명이 넘는 공인회계사, 세무사 및 경영자문가들이 업무를 수행하고 있으며 우리나라는 41개 이사국의 구성원으로 1,200여명의 전문가가 활동하고 있다.
03. ISO 27001 국제정보보호 인증 획득
  • • 글로벌 정보보호관리체계 인증획득으로 서비스 안전성 및 고객신뢰 강화
  • • 세계 수준의 보안역량 확보로 해외 사업 협력 및 고객 유치 가능
ISO 27001은 정보보호 경영시스템에 대한 국제 인증으로 위험관리, 보안정책, 접근통제, 보안사고 대응 등 11개 영역 133개 통제항목에 관한 엄격한 검증을 거쳐, 조직에서 구현한 정보보호 관리체계가 국제 규격에 적합함을 인정 받아야만 획득할 수 있습니다.
ISO 27001 인증은 ucloud biz 서비스 및 인프라에 대한 기획, 개발, 운영, 유지보수 등의 활동 전반에 대한 정보보호 관리체계를 대상으로 엄격히 심사되며 특히 정보보호 규정의 정비, 관리적 • 물리적 • 기술적 영역의 보안진단 및 대책수립과 가상환경 아키텍처 취약성 진단을 통하여 안전성 검증 등이 체계적으로 진행됩니다.
04. 클라우드서비스 최초 인증 획득
  • • 국내 최초 민간 클라우드 서비스 인증 획득
  • • 안정성 강화를 위해 시스템을 대폭 업그레이드, 가용성 99.95%로 약관을 강화
클라우드서비스 인증 제는 방송통신위원회가 클라우드 업체가 제공하는 서비스를 평가하여, 품질/정보보안/고객 서비스가 일정 수준의 이상의 체계와 절차를 확보하고 있는 경우에 클라우드 제공사업자에게 인증을 부여하는 제도입니다.
kt는 이번 인증 평가단의 심사에 대비하여 품질(가용성, 확장성, 성능)와 정보보안(데이터관리, 보안) 및 기반(서비스지속성, 서비스지원) 분야의 105개 인증항목에 대하여 5개월간 정책수립, 업무프로세스 개선 및 서비스 고도화 작업을 진행해 왔으며 클라우드 서비스 장애로 인한 서비스 중단되는 우려를 최소화 하기 위해 가용성 99.95%보장을 약관에 반영했습니다.
이러한 손해배상 SLA 제시가 가능한 것은 전체 시스템이 이중화 구성 되었고 서비스가 안정화가 마무리 되었기 때문에 가능했습니다. 또한 고객의 손해배상 청구에 대비하여 E-BIZ@배상책임보험에 가입하는 등 고객서비스 지원도 대폭 강화했습니다. 특히, 국내 클라우드서비스 인증까지 획득함으로써 유일하게 글로벌 및 국내 클라우드서비스 우수인증을 동시에 획득하는 최초 서비스 사업자가 되었습니다.
05. 클라우드서비스 우수SLA인증 국내1호 획득
우수SLA 클라우드서비스 인증 제는 방송통신위원회가 제정한 국내 클라우드 최우수 인증으로 일반 클라우드 서비스 인증에 가용성과 보안, 손해배상 등의 추가 요건을 만족해야 부여하는 인증입니다.즉 우수SLA 인증은 인증신청 대상 서비스의 6개월간 월별 가용성 자료를 검토하여 기준(고객별 가용률 평균이 99.5% 이상)을 만족하는 경우 부여하기 때문에 신뢰성측면에서 보다 강화된 요건을 만족하고 있습니다.
06. ISMS(Information Security Management System, 정보보호관리체계) 인증 획득
정보보호관리체계(ISMS) 인증은 클라우드서비스의 안정성 확보(정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성 실현 등)를 위하여 수립 • 운영하고 있는 기술적 • 물리적 보호조치 등 종합적인 관리체계(조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호 관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계)에 대한 인증 제도로 정보보호관리체계의 적정성을 객관적 • 전문적인 제3자의 심사를 거쳐 발급되는 인증입니다.
ucloud biz는 데이터센터 물리적 보안, cloud 운용관리 보안, 보안 정책 등' 체계적인 정보보호관리체계에 대해 제3자 인증기관(한국인터넷진흥원)으로부터 정보보호관리 기준에 적합함을 인증 받아 객관적 보안 신뢰성을 확보했습니다.
ucloud biz 보안 상품
cloud의 가장 큰 장점 중 하나로 자원 운용 효율성을 꼽을 수 있지만 가상화된 서버들은 논리적으로 분리가 된 것이기에 기존의 보안 장비들을 통하여 적절한 보안 서비스를 제공하기 어렵습니다. 때문에 ucloud biz는 고객의 사용 환경에 맞추어 가상화/비가상화 솔루션을 적절히 활용함으로써 고객이 자신의 서버를 보다 안전하게 보호할 수 있도록 부가적인 보안 상품들을 준비하였습니다.
01. Enterprise Cloud
일반 클라우드 서비스에 비해 더욱 강화된 보안을 요구하는 기업, 공공기관, 금융기관 등이 사용하기에 적합한 상품으로 고객사의 시스템을 public zone과 Private zone에 나누어 수용할 수 있으며, IPS(침입방지시스템), Firewall, VPN, 보안관제 서비스를 기본으로 제공합니다. 서비스 이용을 위해서는 “상품소개 > 보안 > Enterprise Cloud”의 내용을 참고해 주십시오. 상품신청을 위해서는 Enterprise전문 컨설턴트에게 문의해 주시기 바랍니다.
02. Secure Zone
ucloud biz는 Secure Zone이라는 별도의 존을 두어 kt ucloud 인프라에 정보 보안/금융IT서비스 전문 기업인 이니텍의 보안 솔루션을 클라우드에 최적화하여 적용함으로써 고객별로 높은 수준의 맞춤 보안 정책을 설정하여 클라우드 서비스를 이용할 수 있게 하였습니다. 서비스 이용을 위해서는 '상품소개 > 보안 > Secure Zone'의 내용을 참고해주십시오. 고객이 원하는 별도의 보안 장비가 필요한 경우에는 VPC(Virtual Private Cloud)형태로 매니지드 Security를 통해 신청하실 수 있으니 VPC 전문 컨설턴트에게 문의해주시기 바랍니다.
03. 웹 방화벽
웹 서비스가 점차 증가하면서, 이와 함께 웹 공격의 형태가 다양해 지고 그 빈도 또한 증가하고 있습니다. ucloud biz 고객들은 웹 방화벽 서비스를 통하여 다양한 웹 공격으로부터 고객의 서버를 보호할 수 있습니다. 웹 방화벽은 펜타시큐리티의 제품으로 고객 VR과 웹 서버 사이에 proxy방식으로 구성되며 다수의 웹 서버 보호가 가능하며, VPX를 사용할 경우에도 Dual상품을 이용하여 웹 서버들을 보호하는 것이 가능합니다. proxy모드로 구성이 되어 있어 HTTP트래픽만 우회 처리하기에 웹과 관련이 없는 트래픽은 웹 방화벽의 성능에 영향을 미치지 않습니다. 쉽게 정책을 설정하여 운영할 수 있는 인터페이스가 적용되어 있고, 게시판을 통하여 운용에 관련한 문의를 할 수 있으나 직접적인(방문/원격) 지원이 필요할 경우 유상으로 펜타시큐리티의 기술 지원을 받는 것이 가능합니다. 서비스 이용을 위해서는 '상품소개 > 보안 > 웹 방화벽'의 내용을 참고해주십시오.
04. 매니지드 Security
고객들은 매니지드 Security 서비스를 받기 위해 VPC(Virtual Private Cloud)환경에서 컨설팅을 통해 F/W, IDS, IPS, WAF를 고객 맞춤으로 구성하고 전문 인력에게 운영 및 관리를 맡길 수 있습니다. Secure Zone을 이용하는 public cloud 고객과는 달리 VPC고객들은 별도 랙을 사용하므로 선택할 수 있는 보안 장비의 폭이 넓고 appliance장비를 사용할 수 있습니다. 또한 별도로 웹쉘 탐지, 서버 백신을 구입하여 사용하는 것이 가능합니다. 서비스 이용을 위해서는 '상품소개 > Management > 매니지드 Security'의 내용을 참고해주십시오.
05. Deep Security
Deep Security는 kt ucloud biz에 있는 시스템에 적용할 수 있는 통합 클라우드 보안 서비스 이며, kt ucloud 상에서 보다 편리 하게 적용 할 수 있도록 하였습니다. Anit-Malware, Web Reputation, Firewall, Intrusion Prevention, Integrity Monitoring, Log Inspection 기능을 제공합니다. 서비스 이용을 위해서는 “상품소개 > Cloud Marketplace > Security Tools > Deep Security” 의 내용을 참고해 주십시오.
06. ShellMonitor
웹서버 악성코드(웹쉘)는 대상 웹 서버에 명령을 수행 할 수 있도록 작성한 웹스크립트(asp, jsp, php, cgi) 파일로, 웹 브라우저를 이용하여 원격에서 대상 웹 서버(WAS포함) 공격하며, 홈페이지 위변조, 데이타베이스 개인정보 탈취, 웹 서버 파일 시스템 공격 등의 심각한 피해를 줄 수 있는 악성코드 입니다. 이러한 악성코드를 실시간 탐지, 웹쉘 패턴 분석, 서버자원(CPU/Memory)제어 기능을 제공합니다. 서비스 이용을 위해서는 “상품소개 > Cloud Marketplace > Security Tools > ShellMonitor” 의 내용을 참고해 주십시오.
07. D’Amo
지식정보사회가 점차 고도화됨에 따라 개인정보 등 각종 데이터 보호의 중요성이 점점 더 부각되고 있습니다. 데이터 보호를 위해 필요한 여러 기술적 조치 중에서도, 암호화는 기술적 안정성 측면에서 가장 중요한 그리고 근본적인 방법입니다. 완벽한 데이터 암호화를 위한 상품인 D’Amo는 안정성, 사용자별 접근제어, 암호화 기술, 엄격한 키관리 시스템, 국내외 인증/특허를 확보하고 있습니다. 서비스 이용을 위해서는 “상품소개 > Cloud Marketplace > Security Tools > D’Amo” 의 내용을 참고해 주십시오.
취약성 보고 및 침투 테스트
01. 취약성 보고
ucloud biz는 Secure Zone이라는 별도의 존을 두어 kt ucloud 인프라에 정보 보안/금융IT서비스 전문 기업인 이니텍의 보안 솔루션을 클라우드에 최적화하여 적용함으로써 고객별로 높은 수준의 맞춤 보안 정책을 설정하여 클라우드 서비스를 이용할 수 있게 하였습니다. 서비스 이용을 위해서는 '상품소개 > 보안 > Secure Zone'의 내용을 참고해주십시오. 고객이 원하는 별도의 보안 장비가 필요한 경우에는 VPC(Virtual Private Cloud)형태로 매니지드 Security를 통해 신청하실 수 있으니 VPC 전문 컨설턴트에게 문의해주시기 바랍니다.
02. 부하 테스트 및 관제모니터
ucloud biz는 cloud보안 전문 인력을 통하여 365일(24시간) 인프라에 대한 관제를 수행하여 고객에게 안정적인 서비스를 제공하기 위해 최선을 다하고 있습니다. cloud시설에 대한 위해가 될 수 있는 행위는 본인 소유의 서버에 대한 테스트 목적이라 할지라도 금지되어 있으며, 부하 테스트와 같이 사전 검증이 필요한 경우 고객 센터를 통해 사전 문의를 해주신 후 관리자의 승인을 받아 진행해 주시기 바랍니다. 정상적인 서비스라 할지라도 전체 인프라에 영향을 줄 수 있는 경우에는 약관에 반영된 내용과 같이 고객의 동의 없이 서비스를 차단 될 수 있으니 과다한 자원 사용이 예상되는 경우 반드시 사전에 고객 센터를 통해 관리자에게 연락 부탁 드립니다.
  • • kt는 cloud 전체 인프라에 대한 관제 업무만을 수행하고 있으며, 개별 고객의 트래픽은 모니터 하지 않습니다.
  • • 타 고객에게 피해를 줄 가능성이 있는 경우에만 서비스를 차단하고 있습니다.
  • • 개별 고객을 위한 맞춤 보안 서비스를 원하시는 경우 secure zone이나 Managed Security Service 상품을 이용해 주시기 바랍니다.