퍼블릭 클라우드로의 전환…문제는 보안?
상태바
퍼블릭 클라우드로의 전환…문제는 보안?
  • 신동훈 기자
  • 승인 2018.04.12 09:27
  • 댓글 0
이 기사를 공유합니다

최정현 베스핀글로벌 클라우드 보안 컨설턴트

[CCTV뉴스=신동훈 기자] 금융보안원과 한국정보보학회에서 공동 발표한 2018년 10대 금융 IT 10대 이슈 전망에 따르면, 4차 산업을 위한 신기술 분야에 인공지능, 빅데이터 증가 분석, 블록체인이 포함되어 있으며 언급한 기술들은 막대한 컴퓨팅 파워와 저장 능력을 필요로 한다. 현재 이런 필요 요구에 힘입어 클라우드 시장은 높은 성장률을 보이고 있다.

최정현 베스핀글로벌 클라우드 보안 컨설턴트

글로벌 클라우드 시장의 동향을 살펴보면 2016년부터 최근까지 약 17%의 성장률을 보이고 있으며, 2020년까지 매년 거의 동일한 성장세가 예측되고 있다. 그러나 국내 시장의 경우 많은 관심과는 다르게 시장 점유율에서 아직도 걸음마 단계에서 머물러 있음을 부인하기 어려운 상황이다. 최근 비용절감과 자원 확장성의 장점들이 알려지면서 인프라 투자로 인한 위험을 회피하고 사용량에 따른 과금을 통해 운영비를 절감하고자, 기존 레거시 시스템에서 퍼블릭 클라우드로 전환을 고려하는 기업이 점차 늘어나고 있다.

기업들의 클라우드 구축·전환 컨설팅이나 PoC 문의들이 예년에 비해 2배 이상 증가했으며, 실제로 To-Be 아키텍쳐 구성과 비용 검토를 위한 PoC 컨설팅을 진행하는 경우 대부분의 고객들이 비용절감과 효율성에서 만족을 표시하고 있다.

그럼에도 불구하고 많은 고객들이 실제 구축에 대한 결정에서는 망설이시는 경우가 종종 있다. 다양한 이슈들에 대해 충분한 대안을 제시하지만, 가장 접근이 어려운 부분은 역시 보안 이었다. 보안에 대한 이해부족이나, 지나치게 보수적인 접근으로 인해 프로젝트를 연기하거나, 포기하시는 경우들을 종종 보게 된다.

CSA 연구 자료에 따르면, 클라우드 서비스와 관련된 위협의 종류는 꾸준히 증가하고 있으며, 실제로 2013년 어도비(Adobe) 시스템즈가 공격을 받아 다량의 고객정보가 유출되는 사고가 발생하기도 했다. 데이터 암호화를 통해 대규모 2차 피해로 확산되지는 않았다고는 하지만 이용자 입장에서는 불안할 수 밖에 없다. 또한 중요 데이터들이 집중돼 있다는 것 만으로도, 악의적의 해커들에게 주요 공격 표적이 될 수 밖에 없는 상황이다.

그러나 위의 표에서 보이는 바와 같이 위협 유형이 온-프레미스 환경에서의 위협과 사실 크게 다르지 않다. 구성과 환경에 차이로 보안을 구현함에 있어 특이성은 존재할 수 있으나 퍼블릭 클라우드 환경이기 때문에 온-프레미스에서 구현하는 보안 사항을 적용하지 못하는 경우는 거의 없다.

그럼에도 불구하고 클라우드의 전환을 보안상에 이유로 고민하는 기업과 운영자들을 위해 구축·전환 시 고려해야 할 보안 사항들을 몇가지 전달한다.

첫째, 구축·전환하고자 하는 서비스의 내용과 구성이 퍼블릭 클라우드 환경에 적합한지를 검토해야 한다. 적용되는 법규나 인증을 위한 컴플라이언스(Compliance) 준수에 어려움이 있는 경우, 저장 데이터의 민감도와 중요도가 높아 스토리지의 물리적인 관리가 반드시 필요한 경우 등 퍼블릭 클라우드에서 서비스하는 기업 비즈니스에 높은 위험 수용을 강요 받게 되는 서비스들은 가급적 기업 내부에서 관리하는 경우가 더 나을 수 있다.

최근에는 이런 경우의 대안으로 저장 데이터(또는 DBMS 서버)는 기업의 IDC에서 관리하고 서비스는 클라우드 서비스를 이용하는 하이브리드 형태를 고려하기도 한다.

둘째, CSP(Cloud Service Provider)의 보안 수준 평가가 필요하다. 대부분의 서비스 업체는 보안상을 이유로 IDC의 정확한 위치 정보를 제공하지 않으며, 이용자의 데이터 센터 방문이나 실사 등도 허용하지 않고 있다. 대신 제3의 독립이고 권한이 있는 감사 기관에서 수행한 평가 보고서를 제공하고 있다. 이를 통해 서비스 업체의 적절한 보안 관리 통제가 이루어지고 있는지, 기술적 보안 조치는 안전하게 이뤄지고 있는지 여부를 확인 할 수 있다. 대표적으로 AICPA SOC 보고서, ISO27001, PCI DSS 등 있으며, 최근에는 국내 평가 기준의 인증을 진행하여 획득한 업체들도 생겨나고 있다.

셋째, 클라우드 자원의 속성을 이해하고 그에 따른 보안 사항을 검토해야 한다. 대부분의 CSP는 서비스 안전성과 보안성 및 책임범위를 명확히 정의하기 위해 고객과 서비스 수준 계약(SLA)를 체결하게 되는데 보안성 측면에서 고객이 관리해야 할 보안 항목을 확인해 적절한 대응을 검토해야 한다.

인프라 자원 서비스의 경우 온-프레미스 보안 영역 중 물리적 관리 조치 영역을 제외한 영역에 대한 보안 책임은 고객에게 있으며, 고객의 책임 범위는 일반적으로 SaaS < PaaS < IaaS 순으로 증가한다.

넷째, 적절한 써드 파티(Third Party) 솔루션의 사용을 통해 퍼블릭 클라우드에서 제공하는 보안 기능의 한계를 보완해야 한다. 개인정보보호법이나 정통망법에서 요구되는 수준의 기술적 보호조치가 필요한 경우 클라우드 서비스에서 제공하는 기능만으로는 분명 한계가 있다. 써드 파티 솔루션의 경우 기존 온-프레미스 환경에서 검증된 솔루션들은 대부분 클라우드 제품들이 존재하며, 정책이나 기능면에서 기존의 보안 요구사항들을 대부분 충족하고 있다. 다만 구축 방식에 있어서 발생할 수 있는 이슈들은 추가적으로 검토가 필요하다.

다섯째, 자원 관리 계정의 인증을 강화해야 한다. 퍼블릭 클라우드 자원을 사용하기 위해서는 일반적으로 별도의 계정을 생성하게 된다. 이 계정을 통해 서비스에 필요한 자원들을 생성하고 생성된 자원을 필요에 따라 구성할 수 있도록 되어 있다. 자원 관리 계정들은 자원의 생성, 변경, 삭제가 용이해 유출 시 서비스에 막대한 영향을 행사할 수 있게 된다. 서비스 중인 자원의 중단, 삭제로 인한 피해뿐만 아니라 금전을 목적으로 하는 악의적인 구성을 통해 자원 실 이용자에게 과도한 요금을 유발 시킬 수 도 있다.

이를 예방하기 위해서는 관리 계정에 대한 접근 IP 설정과 더불어 OTP 등의 안전한 추가 인증을 통해 로그인 제한 및 인증을 강화해야 한다. 또한 여러 관리 계정이 존재하는 경우 자원에 대한 사용 권한을 차등 부여해 가급적 주요 기능에 대해서 최소한의 권한만 실행 될 수 있도록 하여야 한다.

요즘은 아마존 웹 서비스(AWS), 마이크로소프트 애저(Azure)와 같은 CSP(Cloud Service Provider) 업체들이 일정기간 무료로 자원을 제공하거나, 기술자료들을 제공하고 있어 개별적으로 테스트와 구축을 진행하시는 경우도 있다. 그러나 기술적 한계로 혹은 인력의 부족으로 검토가 어려운 경우 CSP 외에 클라우드 전문 매니지드 서비스 공급업체(MSP, Managed Service Provider) 가 구축 및 컨설팅 서비스를 제공하고 있으니 이러한 업체에 문의하시는 것도 한가지 방법이 될 수 있다.

클라우드 서비스가 보안에 있어서 안전한지에 대한 문의를 하시는 고객들이 많이 있다. 현재 퍼블릭 클라우드 서비스를 컨설팅 하고 있는 입장에서 솔직하게 말씀드린다면 80~90%의 기업들에게는 분명 보안에 있어 안전하다고 말씀 드릴 수 있을 것 같다. 대부분의 중소기업들은 보안 인력과 관리 비용에 많은 비용을 지불하기 어려운 것이 현실이며, 이런 기업들에게는 몇몇 필수적인 보안기능을 제공하고 물리적인 보안 관리를 지원해주는 퍼블릭 클라우드가 기업 내 레가시 환경보다 더 안전할 수 있다.

그러나 비지니스 목적 상 법규나 컴플라이언스 또는 필수 보안 인증을 위해 IT서비스 보안에 많은 비용을 지출하고 있는 기업들은 인프라 자원에 대한 비용절감 차원에서의 구축을 검토하고, 보안 비용은 온-프레미스 환경과 동일하게 예상하는 것이 바람직하며, 퍼블릭 클라우드 환경이라고 해서 보안에 대한 지속적인 관리와 대응이 감소되지 않기를 당부드린다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.