클라우드가 빠르게 확산되면서 업무환경이 크게 바뀌고 있습니다.
구축형 소프트웨어를 구입하기 보다 SaaS 형태의 애플리케이션을 사용하는 방식을 택하는 기업들이 늘어나고 있습니다.
SaaS는 복잡한 구축 과정 없이 필요에 따라 언제든 구입해 사용할 수 있고,
근무하는 장소와 시간에 관계없이 사용할 수 있어서 글로벌 단위로 분산된 조직에서도
아무 제약 없이 업무를 진행하고 다양하고 유연하게 협업할 수 있는 장점이 있습니다.
또한, SaaS 데이터를 분석해 사용자에게 최적의 콘텐츠를 제안하거나
사용자가 작성한 콘텐츠를 다른 사람에게 추천하는 등의 서비스를 이용할 수도 있습니다.
이를 이용하면 여러 사람이 반복하는 일을 줄일 수 있으며, 업무에 도움 되는 다양한 데이터를 확보할 수 있습니다.
여러 SaaS를 연결해 다양한 애플리케이션을 자유롭게 사용하면서 업무 생산성을 더욱 높일 수도 있습니다.
여러 서비스에 흩어진 정보를 통합하기도 용이해서 데이터 통합과 분석을 통한
정확한 비즈니스 인사이트를 얻을 수도 있습니다.
책임 공유 모델에 따른 클라우드 리스크 관리
클라우드는 비즈니스의 민첩성과 유연성을 높일 수 있으며, 업무 생산성을 높여줍니다.
업무의 자율성을 보장하고 글로벌 조직에서도 효과적으로 협업할 수 있으며,
실시간으로 시장의 요구에 대응할 수 있습니다.
하지만, 클라우드는 사용이 편한 만큼 리스크가 높습니다.
클릭 몇 번 만으로 즉시 사용할 수 있고, 데이터를 쉽게 이관할 수 있습니다.
이로 인해 중요한 정보가 클라우드에 저장될 때 사용자의 실수 혹은 클라우드 장애로
데이터가 유출되거나 공개되는 등의 피해도 종종 발생될 수 있습니다.
그래서, 클라우드는 사업자와 사용자의 책임 공유 모델(Shared Responsibility Model)을 채택하고 있습니다.
클라우드 서비스를 운영하는 데이터센터가 해킹을 당하거나 클라우드 서비스 취약점으로 인한 사고 등
사업자의 귀책사유로 인한 피해는 사업자가 책임집니다.
그러나, 사용자의 실수로 데이터가 유출되거나 사용자 귀책사유로 공격을 당해 피해를 입었다면 사업자가 책임지지 않습니다.
즉, 클라우드에 보관된 데이터가 유럽개인정보보호법(EU GDPR), PCI-DSS, HIPPA, 우리나라 개인정보보호법과 같은
규제 준수 요건을 위반했을 때에도 클라우드 사업자는 자사 귀책사유가 아니라면 책임을 지지 않습니다.
클라우드에서 가장 많이 발생하는 침해사고는 계정 탈취입니다.
클라우드는 ID/PW 및 추가 인증을 통한 계정 인증을 통해 접속하기 때문에
그간 발생한 수많은 개인정보유출 사고로 인해 클라우드 접속 가능한 계정정보가 다량으로 지하시장에서 판매되고 있습니다. 이중 비즈니스 클리티컬 애플리케이션으로 접속할 수 있는 계정정보도 있습니다.
공격자들은 탈취한 계정정보를 웹 서비스 클라우드 서비스에 대입해보는 방법으로 계정을 탈취하고 중요 정보에 접근합니다.
예를 들어, 금융정보를 탈취하는 뱅킹 트로이목마 다이어(Dyre)는 세일즈포스 계정정보를 훔쳐서
세일즈포스에 저장된 금융정보를 빼냅니다. SSL을 이용한 피싱 기반 드로이목마를 이용하면
보안 시스템의 탐지를 피해 세일즈포스에서 암호화되지 않은 금융정보를 유출 할 수 있습니다.
공격자들은 세일즈포스에서 복호화된 평문 상태의 데이터를 가져가기 때문에
금융정보는 서버에 암호화되어 안전하게 보호되고 있다고 안심해서는 안 됩니다.
실수로 인한 정보 유출도 심각합니다.
가장 대표적으로, 페이스북 사용자 정보 5억4000만 여건이 암호화되지 않은 채
아마존 클라우드 서버에 무방비로 공개된 사실이 발견되기도 했으며,
클라우드 데이터 관리 기업 루브릭은 개인정보 DB를 암호화하지 않고 클라우드에 공개하는 사고를 일으켰습니다.
클라우드의 모든 데이터, 암호화 필요
데이터를 보호하는 가장 안전한 방법은 암호화 입니다.
암호된 데이터는 복호화 키가 없으면 열어 볼 수 없기 때문에 데이터 탈취 사고로 인한 피해를 예방할 수 있으며,
주요 컴플라이언스도 만족할 수 있습니다.
아마존 CTO인 버너 보겔스(Werner Vogels)는 2017년 AWS Re: Invent 기조연설에서
클라우드의 모든 데이터를 암호화해야 한다고 주장했습니다.
암호화를 사용하지 않을 이유가 없으며, 최소한 고객정보와 중요한 비즈니스 데이터를 암호화해서 보호해야 한다며
암호화는 데이터 대한 엑세스를 제어하는 유일한 도구라고 거듭 강조했습니다.
대부분의 클라우드 서비스는 전송 중 데이터를 암호화하며,
저장된 데이터를 암호화하는 서비스를 부가적으로 판매하고 있습니다.
클라우드 데이터 탈취 우려가 높아지면서 많은 기업들이 클라우드 데이터 암호화를 고려하고 있으며,
고객정보, 금융정보 등 민감한 정보에 대한 암호화는 필수로 여기고 있는 추세입니다.
그러나, 문서에 대한 보안 정책은 간과하고 있습니다.
문서와 같은 비정형 데이터는 정형 데이터에 비해 상대적으로 중요도가 낮은 데이터가 있다고 여길 뿐 아니라,
문서 암호화는 쉽지 않고 협업이 어렵다는 등의 한계를 들어 문서 암호화에 적극적이지 않은 상황입니다.
중요 정보가 집결된 문서, 암호화 중요
문서는 매우 중요한 데이터입니다.
모든 업무는 문서를 통해 진행되며, 업무 결과 역시 문서로 남깁니다.
사람이 이해할 수 있는 업무는 거의 대부분 문서로 유통되고 저장됩니다.
여기에 고객정보, 금융정보, 의료정보, 기업 기밀정보 등 외부로 유출되어서는 안되는 내용이 모두 들어있습니다.
이처럼 중요한 정보가 아무런 보호 장치도 없이 클라우드에 저장되면 기업에 심각한 위협이 될 수 있습니다.
예를 들어, 클라우드 협업 플랫폼 중 협업 효과를 높이고 업무 생산성을 제고하기 위해
문서를 암호화하지 않은 상태로 클라우드에 저장할 것을 권고하는 곳이 있는데,
이렇게 공유되는 문서에 기밀정보가 있다면, 또 이 문서가 다른 사용자 혹은 클라우드 애플리케이션과 공유됐다면,
해당 기업은 돌이킬 수 없는 피해를 입을 수 있습니다.
수많은 클라우드를 사용하는 환경에서 완벽한 통제는 불가능합니다.
시만텍 조사에 따르면, 기업이 실제 사용하는 클라우드 애플리케이션의 규모는 IT 관리 조직이 파악하는 것의
20배 이상인 것으로 나타났습니다. 관리조직이 파악하지 못한 섀도 클라우드는 매우 심한 보안 홀이 될 수 있으며,
여기에 저장된 섀도 데이터는 기업을 위기에 빠뜨릴 수 있습니다.
클라우드 확산 속도가 빨라지면서 클라우드로 문서를 자유롭게 공유하면서 협업 효과를 높이고,
업무 생산성을 높여야 한다는 요구가 많아지고 있습니다.
그러나, 보안 정책을 제대로 적용하지 않은 상태에서 문서를 유통하는 것은 매우 위험합니다.
디지털 자산의 특징 상 외부로 공유된 문서는 수정과 복제가 자유로워져서 잘못된 정보가 유통되거나
기밀정보가 통제할 수 없는 속도로 퍼져나갈 수 있습니다.
이와 같은 문제를 해결하기 위해서는 반드시 모든 문서를 암호화한 후에 클라우드로 공유해야 하며,
암호화된 문서는 권한을 가진 사람마이 접근할 수 있도록 해야 하고,
정책에 따라 열람횟수와 기간을 제한하거나, 수정/변경 금지 등의 조건을 적용해야 합니다.
'제품 이야기' 카테고리의 다른 글
클라우드 문서보안의 첫 걸음, 보안사고를 막는 키(key) 관리 방안 (0) | 2020.01.08 |
---|---|
공급망 공격 증가, 악성코드 감염 예방을 위한 '게이트엑스캐너(GateXcanner)' (0) | 2020.01.08 |
외부 보안위협 대응 방안 보안관리_패치파일 보안관리, 외부유입 파일 검증 (0) | 2018.11.27 |
사이버보안 이슈, 공급망 공격(Supply Chain Attack)의 대응 방안_게이트엑스캐너 (0) | 2018.11.19 |
외부 보안위협 대응 격리기술_브라우저, 인터넷 사용환경 격리 (0) | 2018.10.22 |