클라우드라고 하면 많은 분들이 N드라이브나 구글 드라이브 같은
파일 저장 서비스가 먼저 떠오르시죠?
오늘은 조금 더 확장되고 다양한 범위에서의 클라우드란 무엇인지,
클라우드 보안 위협, 클라우드 서비스 제공자 및 이용자의 정보보호 고려사항에 대해서
소프트캠프가 소개해드리겠습니다.
클라우드 컴퓨팅 서비스란?
클라우드는 쉽게 말해 돈 대신 데이터를 취급하는 은행입니다.
은행이 돈을 보관하고 빌려주는 서비스라면,
클라우드는 정보화 시대에서 데이터를 보관하고
인프라와 IT 기술을 빌려주는 서비스라고 할 수 있지요.
즉, 인터넷 상의 서버를 통해 데이터를 저장하거나
네트워크, 콘텐츠 등 IT 관련 서비스를 한번에 사용할 수 있는 컴퓨팅 환경을 말합니다.
기업이 직접 데이터를 보관, 정리, 분석하거나
인프라를 구축하고 IT 기술을 개발하는 방법도 물론 있습니다.
그러나 이 방식은 굉장히 비효율적 입니다.
클라우드 서비스가 기업의 주력 비즈니스는 아니기 때문이죠.
따라서 많은 기업에 데이터 보관, 인프라와 IT 기술 개발 등을
클라우드로 전환하고 있습니다.
클라우드 서비스 모델 및 서비스 유형
클라우드는 크게 서비스 형태에 따라서
IaaS, PaaS, SaaS 세 가지로 분류할 수 있습니다.
서비스 모델 | 제공 서비스 | 구현 기술 |
IaaS | 하드웨어(서버, 스토리지, 네트워크 등) | 가상화 기술 동적 자원할당 기술 |
PaaS | 개발 및 테스트환경 / OS 실행 및 관리환경 | 다중 사용자 지원 기술 표준 프레임 워크 기술 데이터베이스 관리 기술 |
SaaS | 응용SW | 다중 애플리케이션 관리 기술 웹서비스 API 서비스 |
또한 서비스 제공 대상에 따라서
공용 클라우드, 사설 클라우드, 하이브리드 클라우드로 분류할 수 있습니다.
▲ 공용 클라우드
불특정 다수의 개인이나 기업을 대상으로 제공되는 클라우드를 뜻합니다.
일반적으로 회원가입을 한 후 클라우드에서 제공하는 서비스(IaaS, PaaS, SaaS)를 사용한 후,
사용량에 따라서 비용을 지불하는 클라우드로 아마존, 통신사 및 포털이 제공하는 클라우드 서비스가
여기에 속합니다.
▲ 사설 클라우드
특정 기업이나 기관에서 직접 클라우드를 구축하여 내부 사용자들에게만 서비스를 제공하는
폐쇄형 클라우드 입니다.
▲ 하이브리드 클라우드
공용 클라우드와 사설 클라우드가 혼용된 서비스 입니다.
사설 클라우드를 구축하여 사용 중인 특정 기업이 클라우드 서비스 중의 일부분
(백업 저장 장치나, 대외 홍보용 웹 서버 등)은 공용 클라우드 업체에서 서비스를 받으면서
자신들의 사설 클라우드와 연동하여 사용하는 방식을 취합니다.
클라우드 보안 위협
클라우드 컴퓨팅은 사용자가 프로그램을 PC에 설치할 필요 없이
인터넷 환경만 구축되어 있다면 언제든 원하는 서비스를 이용할 수 있고
데이터가 온라인 상에 있기 때문에 여러 기기와 연동이 잘 된다는 장점이 있습니다.
또한 기기마다 설치할 필요가 없이 IT 비용의 절감에도 많은 도움이 됩니다.
반면에 저장 공간이 충분하다고 하더라도 사용자가 모든 애플리케이션을 지원받지는 못하므로
애플리케이션의 설치나 서비스 지원에 어려움이 따를 수 있고,
무엇보다 서버가 공격받으면 개인 정보의 유출이 우려된다는 단점을 안고 있습니다.
때문에 정보의 유출과 개인정보와 같은 보안 문제는
클라우드 컴퓨팅 서비스를 위협하는 가장 심각한 문제로 제기되고 있기 때문에
많은 기업에서 고민하고 있는 부분이기도 하지요.
클라우드 컴퓨팅의 보안은 크게 기술적 보안과 운영적 보안으로 분류할 수 있습니다.
주로 서비스 제공자와 관련된 기술적인 보안에는
인프라, 데이터, 스토리지, 통신이나 애플리케이션에 관련된 보안으로 구성되고
운영적 보안은 서비스의 제공자와 이용자 모두와 관련된 보안으로
서비스 정책 수립이나 조직의 운영 방안, 자사 통제, 사고 관리
서비스의 연속성과 같은 요소들이 포함되어 있습니다.
이러한 클라우드 컴퓨팅의 보안과 관련하여 CSA(Cloud Service Alliance)에서는
클라우드 컴퓨팅 7대 위협을 발표했는데요,
발표된 내용을 토대로 클라우드 컴퓨팅 보안 위협 요소와
이러한 위험을 방지하기 위한 대책에 대하여 알아보도록 하겠습니다.
클라우드 컴퓨팅 7대 위협 | 문제점 | 위험 방지 대책 |
클라우드 컴퓨팅 남용 및 불손한 사용 | 악의적인 의도를 가진 사람들이 클라우드를 도입하게 되면 기준의 봇넷보다 더 찾아내기 힘들고 위험한 존재가 될 수 있음 | 사용자 신원 검증 프로세스 자체적 네트워크 블록을 위한 블랙리스트 모니터링 |
안전하지 않은 애플리케이션 프로그램 인터페이스 | 애플리케이션 구축 시 코드 재사용 또는 합성 사용 시 보안에 취약할 수 있음 | 익명 접근 시 보호 기능 설계 필요 |
악의를 가지고 있는 내부 관계자 | 도덕적으로 적합하지 않은 사람을 고용 시 문제 발생할 수 있음 | 명확한 인사 관리 요건을 규정하고 직원들에게 전반적인 정보 보안에 관한 문제와 관리 운영 방식에 대한 투명성 및 규정 준수 요구 |
공유기술의 취약점 | 가상 머신을 적절히 관리하지 못하면, 전체가 위협받을 수 있음 | 무단 변경이나 활동에 대한 환경을 모니터링 강력한 인증 및 액세스 제어 장려 패치 적용 및 취약성 개선을 위한 서비스 수전 계약 시행 취약성 검사 및 구성 감시를 시행 |
데이터 손실 및 유출 | ||
계정, 서비스 및 트래픽 하이재킹 | 클라우드 컴퓨팅은 하이재킹 기법에 취약함 | 계정 공유 금지 강력한 이중 인증 기술 사용 무단 접근 탐지를 위한 사전 모니터링 |
공개되지 않은 위협 | 시스템의 구성이나 소프트웨어의 패치 실행에 어려움이 증가 | 해당 로그, 데이터의 공개 인프라 세부 정보의 공개 |
클라우드 서비스 제공자 및 이용자의 정보보호 고려사항
클라우드 서비스 제공자가 안전한 서비스를 이용자에게 제공하고
이용자는 안전하게 이용하려면 어떻게 해야 할까요?
제공자, 이용자 구분 없이 클라우드 서비스는 안전하게 사용해야 하기 때문에
아래 고려사항을 꼭 숙지하시기 바랍니다!
▲ 클라우드 서비스 제공자의 고려사항
구분 | 고려사항 |
관리적 대책 도입 준비 | 모든 부서가 클라우드 서비스 도입 여부 및 범위 등 의사결정에 참여하기 |
클라우드 서비스 담당자 및 담당부서 지정하기 | |
내부 IT 자산을 파악하고 보안요구수준 정의하기 | |
클라우드 서비스 도입 형태 및 범위 순서 결정하기 | |
클라우드 서비스 도입에 따른 기관 관련 법/규정의 위배사항 발생여부를 파악하고 기 취득한 인증제도의 재수검 필요성 확인하기 | |
서비스 선택 | 클라우드 서비스 제공자와 계약사항, 협의 확인하기 |
클라우드 서비스 정보공유 및 접근통제 등 이용기준에 따라 자체 정보보호정책 개정하기 | |
공신력 있는 기관으로부터 정보보호 및 개인정보 인증 취득 여부 확인하기 | |
안전한 이용 | 내부 정보보호정책에 따라 클라우드 서비스 이용현황을 정기적으로 자체 보안감사 실시하기 |
PC, 무선 단말기 등 클라우드 서비스에 접속하는 IT 자원을 안전하게 관리하기 | |
기업 기밀정보 등 중요 정보는 사전에 암호화하여 저장, 전송하기 | |
시스템 계정 관리는 자체 관리하며 안전한 패스워드 설정 및 주기적 변경 유도하기 | |
클라우드 서비스 장애 및 정보손실 등에 대비하여 중요 정보는 정기적으로 백업하기 | |
변경 및 해지 | 서비스 변경 시 호환성을 유지해야 하는 기능을 파악하고 호환성을 보장하는 서비스 선택하기 |
계약 해지 시 자사 정보를 회수하고 정보의 완전 삭제에 대한 확인서 받기 |
▲ 클라우드 서비스 이용자의 고려사항
구분 | 고려사항 |
서비스 선택 | 클라우드 서비스 이용약관 확인하기 |
공신력 있는 기관으로부터 정보보호 및 개인정보 인증 취득 여부 확인하기 | |
안전한 이용 | 클라우드 서비스에 접속하는 단말기 안전하게 관리하기 |
클라우드 서비스 이용 전 중요 정보 암호화하여 저장하기 | |
안전한 패스워드를 설정하고 주기적으로 변경하기 | |
공유 기능과 정보접근 권한 등을 정확하게 확인하고 이용하기 | |
저작권 위반 자료는 이용하지 않기 | |
클라우드 서비스 장애에 대비하여 정기적으로 백업하기 | |
변경 및 해지 | 다른 클라우드 서비스로 변경 시 상이한 이용조건을 확인하기 |
클라우드 서비스 해지 시 중요 정보는 완전히 삭제하고 삭제 여부 확인하기 |
'보안 이야기' 카테고리의 다른 글
양자보안의 이해와 전망 (0) | 2018.06.12 |
---|---|
국내 개인정보 비식별 조치 현황과 대응 방안 (0) | 2017.10.30 |
랜섬웨어의 유형과 예방수칙 5 (0) | 2017.09.08 |
소프트캠프가 추천하는 국내/해외 정보보안 자격증 7 (0) | 2017.08.30 |
유럽 개인정보보호법(EU GDPR) 바로 알기 (0) | 2017.08.25 |