[알아봅시다] 클라우드 컴퓨팅 보안 핫이슈

사이버공격 노출땐 IT자산 피해 치명적

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[알아봅시다] 클라우드 컴퓨팅 보안 핫이슈
개인ㆍ기업 정보유출 훼손 등 쟁점
서비스 업체들 기술적 조치 만전


IT 트렌드로 떠오른 클라우드 컴퓨팅의 마지막 핫 이슈는 단연 `보안'이라 할 수 있습니다. 자원을 공유하는 클라우드 컴퓨팅과 같은 시스템들은 악성코드나 외부 사이버 공격에 취약할 뿐만 아니라 데이터가 자신만의 PC가 아닌 대여 서비스 업체에 분산 및 저장되기 때문에 해킹의 위험에 노출될 경우 그 파급효과가 더욱 큽니다.

만약 보안 사고가 터지면 고객들은 클라우드의 최대 장점인 `원하는 시간에 원하는 양만큼' 안정적으로 IT 인프라를 지원받을 수 없게 됩니다. 이런 점에서 클라우드 컴퓨팅 보안은 클라우드 컴퓨팅 확산이 가속화되면서 더욱 중요한 문제로 부상하고 있습니다.

◇클라우드 컴퓨팅 보안 취약 찬반 엇갈려=하지만 클라우드 컴퓨팅이 다른 컴퓨팅 방식에 비해 보안이 얼마나 취약한 지에 대해서는 전문가들 사이에서도 찬반이 엇갈립니다. 보안 문제는 실제 사고가 터지기 전에는 가능성만으로 위험을 예측할 수 밖에 없기 때문인데요.

일반 이용자들이 느끼는 위험은 클라우드 컴퓨팅 전문 업체(아마존, 구글 등)을 100% 믿을 수 없다는 데서 시작된다고 할 수 있습니다. 이러한 우려는 시장조사기관인 IDC가 IT 관련 임원 244명을 대상으로 `IT 클라우드 서비스에 관한 견해와 활용'에 대한 조사를 보면 `보안'을 해결해야 할 첫 번째 과제로 꼽았습니다. 문제는 클라우드 컴퓨팅 서비스를 이용하는 한 아마존이나 구글이 직접 나서서 시스템을 점검할 때까지 고객들이 할 수 있는 일이 거의 없다는 사실입니다. 클라우드 컴퓨팅 서비스에 보안 문제가 발생한다 하더라도 이를 도입한 기업에서는 보안 사고로 인한 피해를 감수한 채 업무를 수행할 수 밖에 없습니다.

◇개인과 소비자 관점에 따라 상이한 보안 이슈=클라우드 컴퓨팅의 보안 이슈는 소비자 관점에서 크게 두 영역으로 나눠 생각해 볼 수 있습니다. 첫째는 개인 사용자 관점의 보안입니다. 개인 사용자들이 우려하는 보안 문제는 전자우편, 블로그, 동호회, 사진 및 파일 저장과 같은 공유 서비스를 통해 이뤄지는 개인정보 노출이나 감시, 개인 정보를 상업적으로 이용한다는 점입니다.

둘째는 기업 사용자 관점에서의 보안입니다. 기업 사용자는 자신이 소유하던 IT 자산을 클라우드 형태로 제공받기를 원하지만, 자신의 데이터가 타인과 공유되기를 원하지는 않습니다. 즉, 기업 사용자들은 서비스 중단과 기업정보 훼손 및 유출, 고객정보 유출, 법 규제 문제, 디지털증거 개시 대응 등을 걱정하는 것입니다.

이처럼 개인과 기업 사용자가 클라우드 컴퓨팅에 요구하는 보안 사항은 차이를 보이기 마련인데요. 개인 사용자는 `익명성 보장'에 중점을 두는 반면 기업 사용자는 `규제'에 중점을 두는 경향이 있다는 것입니다.

◇클라우드 컴퓨팅 보안을 위한 기업들의 노력=그러나 클라우드 컴퓨팅에서의 보안 기술은 아직 확립된 내용은 없습니다. 클라우드 컴퓨팅은 완전히 새로운 기술도 아니고, 기존 IT의 연장선상에 있기 때문에 보안도 이와 같은 맥락에서 기존 보안기술 중 클라우드 구성 요소인 플랫폼, 스토리지, 네트워크, 단말기 등으로 구분해 적용할 수 있을 것입니다.

클라우드 컴퓨팅 서비스 업체들은 보안 위협을 막을 수 있는 기술적 조치를 위해 다각적인 노력을 기울이고 있습니다. 아마존의 EC2 보안은 데이터 센터 내에서 실행되는 모든 인스턴스(객체)에 대해 각기 다른 방화벽 구성 규칙을 적용ㆍ도입했습니다. 이용자가 신뢰하는 그룹에 대해서만 접근을 허용하기 위한 조치입니다.

이들은 직접 실행되는 객체에 대한 접근을 제한하는 방화벽 작동 규칙을 만들 수 있습니다. IP 주소나 CIDR(인터넷 주소의 고갈 문제가 대두되면서 생겨난 새로운 인터넷 주소방식) 규칙에 따라서도 접근 권한을 제어할 수 있습니다. 지정된 보안 그룹의 접근 권한도 조율할 수 있습니다.

`보안키 쌍'도 중요한 포인트인데요. 보안키 쌍은 공용 또는 개인용 키 쌍이라 할 수 있습니다. 보안키는 객체를 시작할 때 지정되는데, 일종의 제어판이라 할 수 있는 인스턴스의 콘솔에 실제로 로그인하려면 반드시 가지고 있어야 합니다.

이밖에도 아마존 웹 서비스는 다양한 방법으로 보안을 구체화하고 있는데요. 우선 자격과 인정 항목은 법률이나 규정, 규격에 부합한다는 인정으로 미국의 회계법인(SOX)과 기업 내부 제어에 대한 인증(SAS70 Type ), 그리고 의료 법률(HIPPA) 지원을 목표로 하고 있습니다. 또한 물리적 보안 부분은 시설물 보호를 위해 경비원, CCTV 및 침입감지 시스템을 두고 있습니다. 이에 따라 모든 직원은 데이터 센터에 들어갈 때까지 3번 이상의 인증을 거치게 됩니다. 이와 함께 백업 분야에서는 데이터의 안전을 위해 모든 데이터를 여러 곳에 저장해 두고 운영하고 있습니다.

대전=이준기기자bongchu@

자료제공=한국전자통신연구원(ETRI)




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사