2022-01-29 21:35 (토)
클라우드 보안이슈는 이것이다
상태바
클라우드 보안이슈는 이것이다
  • 길민권
  • 승인 2011.06.27 16:36
이 기사를 공유합니다

클라우드 서비스 중간과정에서 어떻게 개인정보 보호하냐가 관건

전세계 IT의 화두는 클라우드 컴퓨팅이다. 클라우드 컴퓨팅은 하드웨어, 소프트웨어, 데이터 등의 IT자원이 웹을 통해 표준화된 서비스의 형태로 제공되는 모델이다. 클라우드로 제공되는 서비스에 대해 사용자는 언제, 어떤 장비를 통해서든 원하는 만큼의 서비스를 골라서 사용할 수 있으며 사용량에 기반해 비용을 지불하는 비즈니스 모델이다.(사진출처. www.flickr.com / akakumo)
 

클라우드 인프라는 기존 인프라의 통합과 고도의 가상화를 통해 사용률의 극대화를 지향한다. 따라서 인프라의 단순화를 실현하며 궁극적으로 비용절감에 기여하게 된다.
 

국내 클라우드 시장 규모를 보면 2010년 1,067억원 규모에서 2011년은 1,639억원, 2014년에는 2조 5,480억원 규모로 커질 전망이다. 또 2011년 IDC 조사 결과에 따르면 매출액 3,000억원 이상 대기업을 대상으로 조사한 결과, 56.3%가 클라우드 시장 동향에 주목하고 있으며 6.9%가 1~2년내 도입예정, 5.2%가 도입 혹은 도입중인 것으로 나타났다.
 

또 IBM 조사결과에서도 클라우드 컴퓨팅 도입에 있어 기업이 가장 크게 우려하고 있는 문제는 데이터 및 개인정보 보호 관련 위험성이 커진다는 점이다. 77%의 기업이 개인정보보호가 더욱 어려워 질 것이라고 답고 44%의 기업이 전용 클라우드가 기존 IT 서비스보다 위험성이 더 클 것이라고 답했다.  2011년 오픈그룹에서 서베이 한 결과를 봐도 가장 큰 이슈는 시큐리티 문제다. 두번째가 통합문제, 세번째가 거버넌스 문제로 나타났다.
 

즉 기존 전산센터는 특정 위치에 존재하고 있고 서버의 수량과 종류를 알고 있다. 그래서 주기적인 백업과 관리자에 의해 접근통제를 수행할 수 있고 가동시간도 충분하며 보안팀을 운영하면서 정해진 시간에 검사를 받을 수 있다. 하지만 클라우드 컴퓨팅은 우리 정보가 어디에 있고 어디에 저장되며 누가 백업을 하고 누가 접근하는지, 어떻게 서비스 지속성을 확보하고 어떻게 감사하고 우리 보안팀이 어떻게 관여할 수 있는지 불확실할 수 있다. 그래서 불안한 것이다. 클라우드 컴퓨팅 위험을 분류해보면 다음과 같다.
 

지난 23일 정보보호학회에서 열린 모바일보안연구회 발표에서 한국IBM 시큐리티 보안팀 기술리더인 박형근 차장은 클라우드 컴퓨팅 위험에 대해 "많은 기업과 공공기관들은 자신들이 정보를 통제하지 않는 시스템 상에 중요정보를 위치시키는 것을 원치 않는다. 또 공유된 네트워크와 컴퓨팅 인프라에서 워크로드를 이전하는 것은 권한없는 이용자들에게 정보가 노출될 수 있다는 우려가 크다"고 밝히고 또한 "높은 의존성은 중요한 이슈가 될 것이다. IT부서들은 서비스의 손실이 비즈니스의 단절로 이어질 것을 우려하고 있으며 보안관리의 어려움과 국내외 법과 규제에 대한 적용이 확실하게 이루어질 수 있는지 우려하고 있다"고 설명했다.
 

이에 박 차장은 "서비스 제공자들은 반드시 고객들이 신뢰할 수 있도록 높은 수준의 보안 투명성을 제시해야 하고 인증과 접근제어, 암호화 및 안전한 데이터 전송 기술을 제공해야 한다. 또 가용성에 대한 강력한 보증없이 미션 크리티컬한 어플리케이션을 클라우드 환경 내에서 운영하지 않아야 하고 서비스 제공자는 어플리케이션과 런타임환경을 위한 보안 구성을 관리할 수 있는 쉬운 통제를 제공해야 한다. 또 이해할 수 있는 감사능력도 필수적"이라고 말했다.
 

◇클라우드 컴퓨팅의 보안위험성
통제가 필요할 때 통제할 수 없는 위험성
=악의적인 사용자가 이용할 수 있다는 위험성이 크다. 경쟁자, 해커, 악성코드 호스팅, 봇넷과 디도스 인프라로 악용될 수 있기 때문이다. 또 서비스 품질과 SLA 계약과 보증, 계약의 수정이 용이하지 않다는 단점도 있다.
 

보안관리의 불안함=공유 인프라에 대한 취약점과 보안이 문제가 될 수 있고 가상머신과 하이퍼바이저의 패치, 안전하지 못한 클라우드 인프라 및 서비스의 취약점, 계정, 서비스 및 트래픽 하이재킹 등에 대한 위협이 있을 수 있다.
 

데이터 유출 위험=가상머신의 동적 재배치로 데이터의 위치를 보증하지 않으며 불안정한 미디어로 인한 데이터 손실 우려가 있고 다중역할의 특성으로 인한 인프라와 서비스 공유로 데이터 유출이 발생할 수 있다.
 

서비스 가용성을 침해 받을 위험=공격 목표로 선정되기 쉬우며 동적 서비스 및 인프라 운영으로 서비스 가용성 침해 가능성이 존재한다.
 

컴플라이언스 문제점=위치에 따른 법규 및 규제 적용 논란의 여지가 높고 수색 영장 등 해당 국가의 수사력에 따른 정보 유출 우려가 있다.
 

박 차장은 "클라우드 컴퓨팅에 있어 가장 이슈는 보안이다. 최근 드롭박스의 보안문제점이 제기된 것처럼 보안위협은 이제 가능한 위협이 아니라 현실적인 보안문제점을 드러나고 있다"고 설명하고 "반면 기술 종속성도 논의가 되고 있는데 이를 극복하려면 한국도 표준화 작업에 적극 참여하고 표준화를 기반으로 클라우드 환경을 개발해야 한다"고 강조했다.
 

또 그는 "실제 클라우드 환경에서 모바일 비즈니스를 완성한 기업들을 보면 이용자가 모바일폰을 이용해 제품을 구매할 때 페이스북의 소셜 클라우드를 거치고 아마존이라는 퍼블릭 클라우드를 거쳐 배송업체인 Fedex나 UPS가 사용하는 비즈니스 클라우드 환경 등을 거치게 된다"며 "이럴 경우 최초 이용자의 아이디와 패스워드, 결제정보 등이 여러 중간층의 클라우드 환경을 거쳐 배송업체나 결제사이트에 도달하게 되는데 최근 클라우드의 첨예한 이슈는 이들 개인정보들이 어떻게 중간단계에서 노출이나 유출이 되지 않고 안전하게 최종단계까지 보낼 수 있느냐가 관건"이라고 말했다.
 

즉 중간단계의 클라우드 환경들을 너무 많이 거치기 때문에 그 사이에 민감한 개인정보들이 안전하게 최종 목적지까지 도달 할 수 있느냐가 이슈다.
 

박 차장은 "이용자의 개인정보가 중간에 노출이나 유출되지 않고 최종 목적지까지 안전하게 전달되기 위해서는 웹서비스 기술을 사용해야 한다. 웹서비스 표준을 사용해 데이터 액세스 표준을 가지고 권한자만 데이터를 볼 수 있도록 해야하고 이를 해결할 수 있는 새로운 클라우드 기술이 나와야 한다"고 강조했다. [데일리시큐=길민권 기자]