[박춘식 교수의 보안이야기] 후지쯔가 클라우드 컴퓨팅으로 제공하는 지방자치제용 전자신청서비스가 사이버 공격을 받았다. 네트워크를 통해서 시스템 기능을 제공하는 클라우드 서비스를 제공하는 IT 기업이 공격받으면 고객의 피해가 일시에 확대되는 위험이 표면화되었다.
 
후지쯔에 의하면 자사 데이터센터에 있는 전자신청시스템의 서버를 대상으로 30여개 IP주소로부터 처리할 수 없는 대량 접근이 반복되는 DoS공격이 있었다. 후지쯔 서비스를 이용해서 전자신청사이트를 제공하고 있는 후쿠시마, 지바, 시즈오까, 후쿠오카 등 각 지역에서 지난 9일 오후부터 10일 아침까지 일시 서비스가 사용되지 않는 장해가 발생했다. 정보 유출은 없었다고 한다.
 
클라우드형 전자신청서비스는 2006년 5월에 시작했다. 직접 정보시스템을 운용하는 경우에 비해서 비용이 1/3에서 반으로 줄어든다는 운용비의 절감이 평가되어 10개 현 200개 자치제가 이용하고 있다.　
 
클라우드는 항상 최신의 바이러스 대책이 실시되어 있어 직접 관리하는 시스템의 운용에 비해서 시큐리티가 강화되고 있다. 그러나 한번 서비스가 정지하면 다수의 고객에 피해가 확대되는 클라우드의 약점 때문에 후지쯔는 이에 대응할 수 밖에 없다. 그래서 “서버의 증강이나 방화벽의 강화 등을 검토하겠다”고 밝혔다.
 
DoS공격을 막기 위해 공격 의도를 가지 통신신호를 순식간에 판단해 제외하는 등 기술적 대응은 가능하다. 단지 클라우드 서비스 업체는 “서비스 가격이 오르게 되며 저비용이라는 클라우드의 매력은 줄어든다”라고 말하고 있다.
 
운용비 절감 등에서 기업이나 자치제가 직접 관리하는 시스템을 클라우드로 전환하는 움직임이 가속화되고 있지만 IT 기업은 안전 대책 강화와 가격의 균형을 어떻게 취해야 하는지 연구가 요구된다.
 
직원의 채용시험 신청 등을 접수하는 서비스 이용이 일시적으로 차단된 시바현은 10일, 후지쯔에 대해서 감시를 강화하도록 요청했다.
 
시스템 장애 등으로 서비스 사용이 불가할 경우, 계약에 의해 고객이 손해 배상 청구를 할 수 있는 경우가 있다. 후쿠오카현은 “이번에는 면책사항에 해당하는 것으로 배상청구는 생각하고 있지 않다”라고 말하고 있다. [박춘식 서울여자대학교 정보보호학과 교수]