2024-03-29 22:15 (금)
클라우드 컴퓨팅 보안은..?
상태바
클라우드 컴퓨팅 보안은..?
  • 박영준
  • 승인 2011.06.03 16:22
이 기사를 공유합니다

새로운 기술의 등장은 우리의 삶을 빠르게 변화시키고 있다. 스마트폰, 클라우드 컴퓨팅, SNS(Social Network Service)와 같은 기술은 등장하자마자 빠르게 일상생활에 파고들고 있다. 이 가운데서도 가장 주목 받는 기술 가운데 하나가 클라우드 컴퓨팅이다.
 
그림 1 Hype Cycle for Emerging Technologies 2010.

클라우드 컴퓨팅 관련 항목 3개가 정상 부근에 올라와 있다.

가트너는 ‘Hype Cycle for Emerging Technologies 2010’에서 클라우드 관련 기술을 빠르게 확산될 기대 기술로 뽑았다. 클라우드 컴퓨팅은 웹 기반의 프로세싱이며, 공유되는 자원, 소프트웨어, 정보를 사용자의 요구에 따라 인터넷을 통해 제공한다. 다양한 단말이 인터넷을 통해 이러한 서비스를 이용하게 되므로, 필연적으로 IP 기반 통신, HTTP, SOAP과 같은 웹 기반 프로토콜을 이용한 인터페이스, OS 독립적인 웹 브라우저 사용이라는 특징을 갖게 된다.

클라우드 컴퓨팅은 클라이언트/서버와 같은 기존의 패러다임과 다르기 때문에 다양한 이슈를 포함하고 있으며, 이 가운데 보안과 컴플라이언스가 가장 중요한 이슈로 부각되고 있다. 2009년에 있었던 트위터/구글 해킹 사건은 클라우드 컴퓨팅에서 보안이 얼마나 큰 영향을 끼칠 수 있는지 보여준 대표적인 사례이다. 해커 Croll은 먼저 트위터 임직원의 Gmail 계정 수집부터 시작했다.

끈기 있는 이 공격자는 메일 계정을 수집, 각각에 대해 패스워드 분실 신고를 하고, 새로운 패스워드 갱신을 위한 두번째 메일 계정으로 장기 미사용으로 없어진 계정을 이용, 자신의 것으로 만들었다. 하나의 메일 계정이 열린 후, 그는 mail box 내용 검색을 통해 원래 패스워드를 복구하여 원래 주인이 알아채지 못하게 했을 뿐만 아니라, 트위터가 가입한 다른 웹 서비스를 파악할 수 있었다.

직원의 트위터 메일 계정과 이를 ID로 같은 패스워드를 사용하는 Google Apps에 접속했고, CEO를 비롯한 임직원의 메일 계정과 이 계정들에 보내진 첨부파일을 통해 ‘민감한’ 정보들을 입수했다. 여기에는 트위터의 성장 목표, 삼성을 비롯한 전세계 주요 기업과의 계약 등이 포함되어 있었으며, 이 모든 과정을 한 블로그에 전달해 공개했다. 이 사건은 보안업계의 오스카상이라 할 수 있는 퍼니 어워드(Pwnie Award)에서 2009년 올해의 실패 대상(Pwnie for Most Epic FAIL)으로 선정되었다.

클라우드 컴퓨팅 보안은 서비스 제공자와 사용자 측면에서 여러가지 화두를 던진다. 공급자 측면에서는 전통적인 물리적, 운영상의 관리 개념이 파괴된 클라우드 컴퓨팅 환경에서 애플리케이션 보안을 어떻게 구분할 것인가에 대한 문제가 있다. 보안에 대한 책임이 공급자 혹은 소비자 중 누구에게 있는가에 대한 정책은 SaaS, PaaS, IaaS의 서비스 방식과 공급자에 따라 제각각이다.

참고로 세계 최대의 클라우드 컴퓨팅 제공자 가운데 하나인 이베이는 보안에 대해 보장하지 않고 있다. 게다가 서버 가상화 환경에서는 애플리케이션, DB 등이 가상 머신에서 동작하여 기존의 물리적 구분이 무의미 하고, 하이퍼바이저(hypervisors)에 대한 공격이나 악의적인 서비스 이용이 일어날 때 이를 어떻게 막아야 하는가 등 다양한 이슈가 존재한다. 소비자 측면에서는, 사용자 인증의 주체, 안전한 저장 장치 및 키관리, 서비스 공급자에 대한 신뢰 문제 등이 존재하며, 다양한 서비스가 클라우드 환경으로 전환될수록 각종 보안 문제가 제기될 것으로 예상된다.

그림 2 클라우드 컴퓨팅에 대한 유명한 짤방 가운데 하나

이러한 이슈 해결을 위한 클라우드 컴퓨팅 보안 요소는 다음과 같다.

  • Data protection : 안전한 데이터 저장 및 전송 방법 제공, 접근제어 및 데이터 유출 방지, 감사 및 모니터링
  • Identity Management : 고객이 사용 중인 인증 체계와의 통합, 독자적인 SSO 체계 제공
  • Application Security : 애플리케이션에 대한 정기적인 보안 검사, 애플리케이션 방화벽의 구현
  • Availability : 데이터 및 애플리케이션에 대한 정상적이고 예측 가능한 접속 보장
  • Physical and Personnel Security : 물리적으로 안전한 시스템 운영
  • Privacy : 개인정보의 마스킹 및 허가된 사용자에 대한 접근 허용, 클라우드 내에서 수집, 가공되는 개인정보의 안전한 보호

[펜타시큐리티시스템=박영준]