Offcanvas
2015.09.24 강은성  |  CIO KR
당장 코 앞에 닥친 보안 현실도 녹록치 않은데 미래의 보안위협을 논하는 것은 좀 한가해 보이기도 한다. 관심이 있다 하더라도 ‘지적 호기심’에 가까울 수도 있다. 우리가 미래의 보안을 생각할 때는 다음 2가지 경우가 있다. 우선 새로운 사업을 고려하고 있을 때다. 예를 들어 사물인터넷 관련 사업을 추진하려고 한다면 자연히 해당 단말기나 서비스의 보안 위협과 취약점, 그에 따른 위험을 살펴보게 된다. 클라우드 기반의 서비스를 하기 위해 클라우드 서비스의 보안 점검 포인트나 해당 클라우드 서비스 제공자(CSP, Cloud Service Provider)가 제공하는 보안 서비스 종류를 들여다 본다. 다른 하나는 트렌드와 연관된 보안위협이다. 이러한 위협은 당장 우리 회사와 관련이 없어 보이더라도 어느 순간 우리가 그 환경에 포함될 수 있으므로 봐 둘 필요가 있다. 어떤 것들은 조직에서의 ‘나’가 아닌 개인과 가정에서의 ‘나’와 연관될 수도 있다. 여기에서는 주요 IT 트렌드인 클라우드, 빅데이터, 사물인터넷과 그것의 주요 보안 이슈, 그에 대한 대응 방안을 검토하려고 한다.

->Digital Mook CSO vol.1 차세대 위협과 대응

1. 클라우드 서비스와 클라우드 보안
우리는 어느새 클라우드의 시대에 살고 있다. 개인으로 보면 휴대폰, 태블릿, 컴퓨터의 데이터를 구글 드라이브나 네이버 N드라이브에 올려 놓는 게 자연스러워졌고, 문서 편집은 아예 구글 문서도구(google docs)나 드롭박스에 하는 경우도 많다, 내가 의식하지 못한 사이에 아이폰이나 아이패드의 사진이 아이클라우드(i-cloud)로 올라가는 것이 이제 낯설지 않다. 기업 측면에서는, 게임 개발을 하는 소규모 업체들이 클라우드의 원조 격인 아마존의 AWS를 사용하면서 개발 및 운영 비용을 크게 줄였고, 글로벌 서비스를 제공하는 업체들 역시 클라우드를 적극적으로 활용하고 있다.
사실 클라우드 서비스는 초기부터 보안 이슈를 많이 다뤘다. 내 데이터를 남에게 맡긴다는 개념 자체가 데이터 열람, 위·변조, 유출 같은 정보보호의 가장 기본적인 이슈를 제기할 만한 환경이었기 때문이다. 우리가 흔히 ‘클라우드 보안’이라고 하는 말에는 크게 (1) CSP 측면의 보안 (2) 클라우드 서비스 사용자(CSC, Cloud Service Customer) 측면의 보안 (3) 클라우드를 활용한 보안 서비스가 포함되어 있다.

첫째, CSP 측면의 보안문제를 보면, CSP가 IT 서비스(IaaS, PaaS, SaaS)를 제공하므로 일반적인 기밀성, 무결성, 가용성의 문제가 모두 발생할 수 있다. 실제로 클라우드 서비스에는 크고 작은 보안사고가 있었다. CSP의 운영 미숙으로 고객의 데이터가 손실되거나 몇 시간씩 서비스 장애가 발생한 경우도 있었고, 해킹을 통해 고객의 데이터가 유출되는 사고도 발생했다. 그것도 이름 없는 CSP가 아니라 아마존, 구글, 드롭박스, 에버노트, 애플 등 손꼽는 글로벌 업체에서 발생한 사고들이어서 클라우드의 보안성 확보가 그리 단순한 일이 아님을 알게 해 줬다. 이후 각 CSP들은 보안성 강화에 공을 많이 들이고 있다.

또 다른 서비스와 달리 클라우드 서비스에서는 CSC에게 신뢰를 주는 일이 특히 중요하다. 아무래도 내 데이터를 내가 갖고 있지 못하니 CSC 입장에서는 뭔가 불안한 게 당연하다. CSP는 데이터가 어디에 어떤 방식으로 저장, 관리되고 있는지 알 수 있도록 해 주고 사용자와 소통해 나감으로써 투명성과 가시성을 제공할 수 있어야 한다. 기술적으로 보면, 클라우드는 가상화를 기반으로 구축되어 있는데 최근 가상화의 취약점이 이따금 발견되고 있어서 이에 대응하는 것 역시 CSP의 작지 않은 과제다.

국제 표준에서도 클라우드 서비스의 보안 중요성을 크게 강조하고 있다. ISO에서는 ISO 27002(Code of practice for information security controls)를 기반으로 클라우드 보안에 필요한 보안통제와 구현 지침을 추가하여 별도의 표준인 ISO 27017을 만들었고, ISO 27018에서는 공용(Public) 클라우드에서의 개인정보 보호를 다뤘다. 또 국제단체인 클라우드보안협회(CSA, Cloud Security Alliance)에서 클라우드 통제 매트릭스(CCM, Cloud Control Matrix)를 내는 등 클라우드 서비스의 보안성과 신뢰성을 높이기 위한 노력을 경주하고 있다.
 


둘째, CSC 입장에서의 보안성이 있다. 공용 클라우드를 고려하는 기업들에게는 클라우드에 저장된 데이터가 의도적, 또는 비의도적으로 타사에 유출되지 않을까 하는 것이 가장 큰 고민이다. CSP에서 보안을 충분히 잘 해서 외부에서의 침입을 막는다 하더라도 CSP가 (잠재적) 경쟁자일 때 회사 차원에서 의도적으로 데이터를 유출할 수 있지 않을까 의심한다. 정당한 권한을 가진 CSP 관리자가 돈을 받고 데이터를 유출할 수도 있다. 혹시 기술적 또는 관리적 문제로 가상 환경에 저장된 우리 기업의 데이터 공간을 다른 업체에서 접근할 수 있는 상황이 (일시적이라도) 발생할 수 있지 않을까 하는 염려도 있다. 국내 굴지의 재벌그룹인 S그룹과 C그룹 오너들 사이에 분쟁이 있을 때에 C그룹이 물리보안 회사를 S그룹 계열사에서 다른 회사로 바꾼 것은 단지 물리보안에 해당하는 문제만은 아니다.

이런 고민으로 인해 일부 그룹사들은 아예 계열사용 사설(Private) 클라우드를 구축하여 사용하기도 하지만, 그런 규모가 되지 않는 회사들은 아예 모든 공용 클라우드를 차단하거나 그리로 나가는 모든 길목을 모니터링하고 그에 대한 통제 정책을 적용하여 내부 정보 유출을 막고자 한다. 기존의 접근통제 솔루션도 있지만, 공용 클라우드 서비스가 워낙 많기 때문에 아예 공용 클라우드에 대한 접근, 관리, 통제를 전담하는 솔루션도 나와 있다.

공용 클라우드를 선택할 때 CSC는 CSP의 서비스가 우리나라의 법과 규제를 충족하는지, 자신의 정보보호 정책과 지침에 CSP의 서비스가 적합한지 살펴봐야 한다. 또 실질적인 보안 수준을 갖추기 위해 각 CSP가 제공하는 보안서비스를 세밀하게 검토하여 적합한 CSP를 선택해야 한다. CSP가 제공하지 않는 보안서비스가 필요한 경우에는 어떤 식으로 적용할 수 있을지 CSP와 협의할 필요가 있다.

기업의 일부 서비스나 백엔드 시스템을 클라우드에 놓는다 하더라도 웬만한 회사들은 기업 내부에 존재하는 중요한 레거시 시스템이 많이 있다. 이 때에 기업 내부 시스템과 클라우드에 있는 시스템을 어떻게 잘 연동하는지가 중요하게 된다. 인터페이스와 커뮤니케이션에서 인증과 암호화가 잘 되고, 불필요한 정보가 오가지 않도록 살펴야 한다. 또 통신이 많아지는 만큼 장애 지점이 늘어난다는 점도 염두에 둬야 한다. 네트워크 장비나 인증서, DNS 등 하찮게 생각하는 문제로 가용성의 문제가 크게 불거질 수 있다.

국제 표준에서는 앞서 언급한 ISO 27017에서 CSC의 보안 쪽을 다루고 있는데, 이것과 함께 볼 수 있는 표준이 ISO 27036 파트4이다. ISO 27036은 ‘공급자 관계를 위한 정보보호’를 다룬 표준인데, 대부분의 IT 인프라를 외부에서 공급받는 IT 환경에서 일부 네트워크 장비에서 백도어가 발견되었다거나 심지어 암호 라이브러리에도 백도어가 있었다는 사실은, 인프라의 도입과 운영 과정에서 필연적으로 발생하는 공급자 관계에서도 보안성을 유지하기 위한 조치가 있어야 한다는 것을 뜻한다. 특히 이 표준의 파트4에서는 별도로 ‘클라우드 서비스 보안 가이드라인’을 다루고 있는데, 이것은 클라우드 서비스가 매우 중요한 공급자 중의 하나이고, IT인프라를 책임진다는 점에서 다른 공급자보다 보안 이슈가 더욱 크다는 점을 반영한 것으로 보인다. 이러한 표준들을 참고하면, 꼭 거기에서 정의한 기준이나 프로세스를 따르지 않더라도 지금 내가 하고 있는 방식에서 혹시 빠진 게 없는지 살펴 볼 수 있고, 새롭게 구축해야 한다면 필요한 전체를 조망하고 나의 환경에 맞는 것은 갖다 쓸 수 있다.

셋째, 클라우드 기반의 보안 서비스(SECurity as a Service)를 활용하는 일이다. 즉 SECaaS는 다른 SaaS와 마찬가지로 노드 수나 사용량에 따라 비용을 지불하므로 비용을 크게 절감할 수 있고, 해당 솔루션의 내부 운영 인력이 필요 없다는 장점이 있다. 특히 기존 제품을 SaaS로 변환한 수준이 아니라 클라우드의 컴퓨팅 능력을 충분히 활용한 보안솔루션이 있다면 탁월한 성능을 이용할 수 있다. 이런 서비스를 개발, 제공하는 것은 온전히 보안업체의 몫이지만 말이다. 시장에 나와 있는 클라우드 기반의 SECaaS로는 안티바이러스, 안티스팸, 이메일 보안, 암호화, 웹 방화벽, 디도스 방어 등이 있다.

 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.