클라우드 환경에서 보안의 중요성은 더욱 커지고 있다. 21일 마이크로소프트 이건복 이사는 ‘클라우드 환경에서 보안의 중요성’이란 주제로 클라우드 보안에 대해 기자들과 간담회 시간을 가졌다.
 
이건복 이사는 “클라우드 기반 보안 장점으로 가장 큰 것은 온프레미스에서 구축하기 어려웠던 보안표준 장점을 활용할 수 있다는 것이다. 다음은 클라우드로 이전하면서 전보다 향상된 데이터 프라이버시 보호 시스템을 운영할 수 있다는 점”이라고 들었다. 즉 클라우드 활용시 보안과 프라이버시, 표준인증에서 각 기관이 별도로 준비하는 것 보다 유리하다고 강조했다.
 
장점을 좀더 상세히 살펴보면, 클라우드 데이터 센터에는 일반 데이터 센터에 비해 보다 강화된 물리적 보안이 적용되며 인프라 보호를 위해 24시간 모니터링, 안티바이러스, 침입탐지 체계, DDoS 공격 등에 대한 대비가 더 우수하다는 것.
 
또 네트워크 보호를 위해 분리된 네트워크, 암호화된 연결, 가상 네트워크, 별도의 인터넷 연결성 등을 들었다. 이외 계정 인증과 접근 모니터링 강화, 암호화된 데이터 전송, 데이터 저장시 암호화 옵션, 데이터 저장 위치 선택, 데이터 파기 등에 대한 계약에 의해 강화된 보안이 적용될 수 있다고 설명했다.
 
이건복 이사는 클라우드에서 데이터 프라이버시에 대한 이슈도 설명했다. “디자인 단계에서 프라이버시 적용이 가능하고 EU 고객 데이터보호 규정, HIPAA BAA 등 규제인증을 통해 데이터 프라이버시 보호가 가능하다”며 또 “광고목적의 데이터 접근 차단, 공객 데이터의 공유 차단 등 제한된 사용과 접근에 대해 통제할 수 있다”고 덧붙였다.

 
클라우드 보안 관련 컴플라이언스에 대해, 정보보안 표준으로는 ISO 27001, ISO 27002, ISO 27018, 보안제어에 대해서는 SOC 1, SOC 2 Type 2 그리고 정부 및 산업표준으로는 FedRAMP/FISMA, PCI DSS Level 1, UK G-Cloud, HIPAA/HITECH 등이 있다고 설명했다. 특히 ISO/IEC 27018은 2014년 7월에 발표된 표준으로 클라우드에 저장된 민감한 고객정보 특히 개인식별정보, PII 등에 대한 보호, 보안리스크 실행방안의 평가 및 가이드라인이라고 덧붙였다.
 
한편 퍼블릭 클라우드의 책임구분에 대해서는 일반적인 운영원칙으로 국가별 법률요건 및 산업의법률요건에 공통적으로 적용할 수 있는 일반 운영원칙하에 서비스를 제공하며 클라우드 사업자의책임은 고객의 보안, 개인정보 및 규정 준수 등이고 고객서비스의 보안준수 책임으로는 응용프로그램, 데이터 콘텐츠, 가상컴퓨터, 액세스자격증명 등을 포함한 특정 환경에 대한 책임이라고 설명했다. 더불어 마이크로소프트 클라우드 서비스에서 고객과 자사간 책임 영역에 대해서도 소개했다.
 
이건복 이사는 “마이크로소프트 클라우드 컴퓨팅 플랫폼 애저(Azure) 도입 기업은 개별 기업들이 구축하는 보안 시스템 보다 강력한 보안 서비스를 제공받게 되고 보안관련 각종 국제 인증에서 글로벌 표준을 준수하게 된다”고 설명했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com