2020.06.09

강은성의 보안 아키텍트 | 클라우드 서비스(SaaS) 개발사가 알아야 할 보안

강은성 | CIO KR
최근 몇 년간 스타트업이 활성화되는 것에 정부와 투자기관의 자금 지원이 큰 역할을 하고 있지만, 공유 오피스와 다양한 서비스형 소프트웨어(SaaS: Software as a Service)의 기여 또한 무시할 수 없다. 특히 SaaS 덕분에 필요한 소프트웨어를 인터넷에서 쉽게 찾을 수 있고, 신청 즉시 사용할 수 있으며, 사용한 만큼 비용을 지불할 수 있게 되어, 이제 스타트업은 사업모델, 서비스 개발, 마케팅, 팀 구성 등 사업의 핵심 요소에 집중할 수 있게 되었다. 

필자가 지난 3년 정도 직간접적으로 참여한 스타트업 역시 클라우드 서비스를 많이 이용하였다. 메시징, 협업, 문서 공유, 이슈 처리, 인사, 회계, 보안 등 다양한 SaaS를 사용하였고, 개발팀 역시 개발과 서비스 운영을 모두 IaaS(Infrastructure as a Service)에서 진행하였다. 1980년 후반의 1차 벤처기업 붐과 1990년대 후반~2000년대 초반까지 있었던 2차 벤처기업 붐 시기를 되돌아보면, 클라우드 덕분에 이제는 업무환경(MIS), 개발환경, 서비스 운영환경이 사업의 장애물이 되지 못한다. 

클라우드 사용이 대중화되면서 클라우드 보안 문제에 대한 우려 또한 계속 제기되고 있다. 클라우드 사업자(CSP)나 보안전문가들은 일반 기업보다 클라우드 사업자가 전문성, 투자, 관리 측면에서 보안이 우수하다고 설명한다.
 
ⓒLG CNS Blog(2019.11)
*출처 : LG CNS 블로그(2019.11)

하지만 위 자료를 보면 지난 5년간 서비스 중단, 데이터 파일 삭제, 개인정보 유출 등의 정보보안 사고가 꾸준히 발생하였다. 흥미로운 점은 클라우드 서비스 초기에는 클라우드 사업자의 귀책 사유로 사고가 발생했다면, 최근에는 주로 클라우드 이용기업(CSC)의 귀책 사유로 사고가 발생한다는 점이다. 

이용기업 귀책 사유의 사고가 발생하는 것은 이용기업이 ‘책임 공유제’라는 클라우드의 특성과 그것이 제공하는 보안서비스를 제대로 이해하지 못하기 때문이 아닐까 싶다. 클라우드 사업자는 자신의 책임 범위와 이용자의 책임 범위를 명시하고 있다. 예를 들어 사업자가 무료로 제공하는 보안서비스에서 그것의 세부 룰을 설정하는 것은 이용자의 몫이라는 식이다.

클라우드 서비스 보안에서 가장 중요한 것은 역시 계정 및 권한 관리(IAM)이다. 전통적인 온프레미스 IT 환경에서도 IAM은 중요하다. 반드시 필요한 사람에게만 최소한의 권한을 부여한 계정을 발급하고, 개인의 책임성과 추적성을 높이기 위해 공용 계정이 아니라 개인 계정을 사용한다. 관리자(root 또는 admin) 계정은 사용하지 말고 개인 계정에 관리자 권한을 부여한다. 퇴사나 부서 이동이 발생한 경우 계정 차단 등 적절한 조치를 취한다. 이 모든 것이 제대로 운영되는지 주기적 또는 필요할 때 점검한다. 서버, DB, 네트워크, 애플리케이션, 보안솔루션 등 모든 IT 자원에 해당되는 철칙이다. 이게 흔들리면 아무리 훌륭한 보안솔루션을 도입했다 하더라도 보안에 큰 구멍이 생긴다.

클라우드에서 IAM은 그 의미가 배가된다. 가상 자원을 생성, 삭제하는 것은 물리 세계에서 서버, 스토리지, 서비스 같은 IT 자원을 구매, 폐기하는 것과 동일한 효과가 있기 때문이다. 구매팀, IT 운영팀의 역할이 해당 계정에 부여된 셈이다. 클라우드는 가용성을 극대화하는 서비스인데, IAM이 잘못되면 물리적인 IT 장비를 이용한 서비스보다 가용성에 더 큰 문제가 생긴다. 특히 클라우드 환경에서는 개발팀이나 IT 운영팀이 주도권을 갖는 경우가 많으므로 보안팀에서 권한 관리에 좀 더 세밀하게 관여할 필요가 있다.

클라우드 사업자는 다양한 보안 기능을 제공한다. 네트워크 방화벽, 웹 방화벽, 디도스 공격대응, 서버존 분리 등 네트워크 보안 관련 기능뿐 아니라 데이터 암호화, 키 관리, 하드웨어 보안모듈(HSM)도 제공한다. 거기에 각종 로깅과 이벤트 감지 등 온프레미스에서 솔루션을 자체 도입하려면 비용뿐 아니라 인력과 시간이 많이 필요한 보안솔루션을 몇 번의 클릭으로 편리하게 사용할 수 있도록 제공한다. 

최근에 SaaS를 개발하는 스타트업을 만나보면 개인정보 보호에 관한 걱정은 많으나 어떻게 보호해야 할지, 클라우드에서 어떤 보안서비스를 제공하는지 제대로 알지 못하는 곳이 많다. 보안과 IT 분야에서 오래 일한 필자도 클라우드를 처음 사용하면서 보안서비스를 이용하는 데 어려움을 겪었으니, SaaS 개발 인력들이 클라우드 보안을 이해하기가 쉽지 않을 것 같다. 사업자가 책임의 범위에 선을 그었다고 하더라도, 자신이 제공하는 서비스를 보안 전문성이 떨어지는 이용기업이 안전하게 이용할 수 있도록 보안서비스에 대한 교육, 이해하기 쉬운 온라인 매뉴얼, 헬프 데스크, 안전한 기본 보안 설정(default setting) 등을 제공하고, 무료 제공 서비스를 확대하는 등 더 노력을 기울여야 할 것으로 보인다.

스타트업이나 중소기업은 정부·공공이 제공하는 보안서비스를 활용할 수 있다. 먼저 한국인터넷진흥원(KISA)에서 제공하는 중소기업을 위한 보안서비스가 있다. KISA에서는 웹 취약점 점검(원격 자동점검), 웹 방화벽(캐슬), DDoS 사이버대피소, webshell 차단 서비스(휘슬)를 중소기업에 무료로 제공한다. 중소벤처기업부에서는 중소기업의 기술보호를 위한 기술지킴서비스(안티바이러스, 내부정보유출방지, 보안관제 서비스)를 무료로 제공한다. 안티바이러스와 내부정보유출방지는 해당 보안소프트웨어를 제공해 주므로, 사무실 IT 보안에 손쉽게 활용할 수 있다. 좀더 나아가면 KISA에서 제공하는 SaaS 보안인증에 도전해 보는 것도 좋다. 표준 등급과 간편 등급이 있는데, 특히 간편 등급은 SaaS 스타트업을 위해 만들었기 때문에 SaaS 개발사에 상당한 도움이 된다. 
 
아무쪼록 SaaS 개발사들이 클라우드 보안에 대한 이해, 정부·공공에서 제공하는 보안서비스의 활용 등을 통해 보안 문제없이 좋은 서비스를 많이 제공할 수 있기를 바란다.

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 



2020.06.09

강은성의 보안 아키텍트 | 클라우드 서비스(SaaS) 개발사가 알아야 할 보안

강은성 | CIO KR
최근 몇 년간 스타트업이 활성화되는 것에 정부와 투자기관의 자금 지원이 큰 역할을 하고 있지만, 공유 오피스와 다양한 서비스형 소프트웨어(SaaS: Software as a Service)의 기여 또한 무시할 수 없다. 특히 SaaS 덕분에 필요한 소프트웨어를 인터넷에서 쉽게 찾을 수 있고, 신청 즉시 사용할 수 있으며, 사용한 만큼 비용을 지불할 수 있게 되어, 이제 스타트업은 사업모델, 서비스 개발, 마케팅, 팀 구성 등 사업의 핵심 요소에 집중할 수 있게 되었다. 

필자가 지난 3년 정도 직간접적으로 참여한 스타트업 역시 클라우드 서비스를 많이 이용하였다. 메시징, 협업, 문서 공유, 이슈 처리, 인사, 회계, 보안 등 다양한 SaaS를 사용하였고, 개발팀 역시 개발과 서비스 운영을 모두 IaaS(Infrastructure as a Service)에서 진행하였다. 1980년 후반의 1차 벤처기업 붐과 1990년대 후반~2000년대 초반까지 있었던 2차 벤처기업 붐 시기를 되돌아보면, 클라우드 덕분에 이제는 업무환경(MIS), 개발환경, 서비스 운영환경이 사업의 장애물이 되지 못한다. 

클라우드 사용이 대중화되면서 클라우드 보안 문제에 대한 우려 또한 계속 제기되고 있다. 클라우드 사업자(CSP)나 보안전문가들은 일반 기업보다 클라우드 사업자가 전문성, 투자, 관리 측면에서 보안이 우수하다고 설명한다.
 
ⓒLG CNS Blog(2019.11)
*출처 : LG CNS 블로그(2019.11)

하지만 위 자료를 보면 지난 5년간 서비스 중단, 데이터 파일 삭제, 개인정보 유출 등의 정보보안 사고가 꾸준히 발생하였다. 흥미로운 점은 클라우드 서비스 초기에는 클라우드 사업자의 귀책 사유로 사고가 발생했다면, 최근에는 주로 클라우드 이용기업(CSC)의 귀책 사유로 사고가 발생한다는 점이다. 

이용기업 귀책 사유의 사고가 발생하는 것은 이용기업이 ‘책임 공유제’라는 클라우드의 특성과 그것이 제공하는 보안서비스를 제대로 이해하지 못하기 때문이 아닐까 싶다. 클라우드 사업자는 자신의 책임 범위와 이용자의 책임 범위를 명시하고 있다. 예를 들어 사업자가 무료로 제공하는 보안서비스에서 그것의 세부 룰을 설정하는 것은 이용자의 몫이라는 식이다.

클라우드 서비스 보안에서 가장 중요한 것은 역시 계정 및 권한 관리(IAM)이다. 전통적인 온프레미스 IT 환경에서도 IAM은 중요하다. 반드시 필요한 사람에게만 최소한의 권한을 부여한 계정을 발급하고, 개인의 책임성과 추적성을 높이기 위해 공용 계정이 아니라 개인 계정을 사용한다. 관리자(root 또는 admin) 계정은 사용하지 말고 개인 계정에 관리자 권한을 부여한다. 퇴사나 부서 이동이 발생한 경우 계정 차단 등 적절한 조치를 취한다. 이 모든 것이 제대로 운영되는지 주기적 또는 필요할 때 점검한다. 서버, DB, 네트워크, 애플리케이션, 보안솔루션 등 모든 IT 자원에 해당되는 철칙이다. 이게 흔들리면 아무리 훌륭한 보안솔루션을 도입했다 하더라도 보안에 큰 구멍이 생긴다.

클라우드에서 IAM은 그 의미가 배가된다. 가상 자원을 생성, 삭제하는 것은 물리 세계에서 서버, 스토리지, 서비스 같은 IT 자원을 구매, 폐기하는 것과 동일한 효과가 있기 때문이다. 구매팀, IT 운영팀의 역할이 해당 계정에 부여된 셈이다. 클라우드는 가용성을 극대화하는 서비스인데, IAM이 잘못되면 물리적인 IT 장비를 이용한 서비스보다 가용성에 더 큰 문제가 생긴다. 특히 클라우드 환경에서는 개발팀이나 IT 운영팀이 주도권을 갖는 경우가 많으므로 보안팀에서 권한 관리에 좀 더 세밀하게 관여할 필요가 있다.

클라우드 사업자는 다양한 보안 기능을 제공한다. 네트워크 방화벽, 웹 방화벽, 디도스 공격대응, 서버존 분리 등 네트워크 보안 관련 기능뿐 아니라 데이터 암호화, 키 관리, 하드웨어 보안모듈(HSM)도 제공한다. 거기에 각종 로깅과 이벤트 감지 등 온프레미스에서 솔루션을 자체 도입하려면 비용뿐 아니라 인력과 시간이 많이 필요한 보안솔루션을 몇 번의 클릭으로 편리하게 사용할 수 있도록 제공한다. 

최근에 SaaS를 개발하는 스타트업을 만나보면 개인정보 보호에 관한 걱정은 많으나 어떻게 보호해야 할지, 클라우드에서 어떤 보안서비스를 제공하는지 제대로 알지 못하는 곳이 많다. 보안과 IT 분야에서 오래 일한 필자도 클라우드를 처음 사용하면서 보안서비스를 이용하는 데 어려움을 겪었으니, SaaS 개발 인력들이 클라우드 보안을 이해하기가 쉽지 않을 것 같다. 사업자가 책임의 범위에 선을 그었다고 하더라도, 자신이 제공하는 서비스를 보안 전문성이 떨어지는 이용기업이 안전하게 이용할 수 있도록 보안서비스에 대한 교육, 이해하기 쉬운 온라인 매뉴얼, 헬프 데스크, 안전한 기본 보안 설정(default setting) 등을 제공하고, 무료 제공 서비스를 확대하는 등 더 노력을 기울여야 할 것으로 보인다.

스타트업이나 중소기업은 정부·공공이 제공하는 보안서비스를 활용할 수 있다. 먼저 한국인터넷진흥원(KISA)에서 제공하는 중소기업을 위한 보안서비스가 있다. KISA에서는 웹 취약점 점검(원격 자동점검), 웹 방화벽(캐슬), DDoS 사이버대피소, webshell 차단 서비스(휘슬)를 중소기업에 무료로 제공한다. 중소벤처기업부에서는 중소기업의 기술보호를 위한 기술지킴서비스(안티바이러스, 내부정보유출방지, 보안관제 서비스)를 무료로 제공한다. 안티바이러스와 내부정보유출방지는 해당 보안소프트웨어를 제공해 주므로, 사무실 IT 보안에 손쉽게 활용할 수 있다. 좀더 나아가면 KISA에서 제공하는 SaaS 보안인증에 도전해 보는 것도 좋다. 표준 등급과 간편 등급이 있는데, 특히 간편 등급은 SaaS 스타트업을 위해 만들었기 때문에 SaaS 개발사에 상당한 도움이 된다. 
 
아무쪼록 SaaS 개발사들이 클라우드 보안에 대한 이해, 정부·공공에서 제공하는 보안서비스의 활용 등을 통해 보안 문제없이 좋은 서비스를 많이 제공할 수 있기를 바란다.

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 

X