“패러다임을 보자니 도입은 해야겠고, 도입을 하자니 보안이 걸림돌이다.” 클라우드 컴퓨팅 도입을 검토하는 기업들 중 대다수가 이러한 입장을 표명하고 있다. 국내의 경우 IT서비스 업체들과 통신사들의 클라우드 서비스 출시가 이미 가열상태로 접어들었지만 기업이 클라우드 컴퓨팅을 도입하기 위한 가이드라인은 마땅히 찾아볼 수 없는 상황이다. 특히 올해는 기업을 대상으로 한 프라이빗 클라우드 컴퓨팅 시장이 급속도로 활성화 될 것으로 예상되면서 보안에 대한 가이드라인 마련이 시급한 실정이다. 기업들이 클라우드 컴퓨팅 도입 시 보안에 대한 고려해야 할 사항들은 무엇인지 살펴봤다. 이지혜 jh_lee@biziton.com 클라우드 컴퓨팅은 IT기업은 물론 시장조사업체들이 뽑는 올해 가장 주목되는 IT이슈다. 클라우드 컴퓨팅 도입바람이 거세짐에 비례해 클라우드 보안에 대한 관심 역시 계속해서 높아지고 있다. 특히 네트워크 환경을 바탕으로 장소와 시간에 구애받지 않고 IT자원을 서비스 받는 환경은 기존에 기업들이 직접 구입하고 설치해왔던 다양한 IT자산을 원하는 만큼 빌려 쓰는 형태라는 점에서 일차적으로 보안에 대한 문제가 발생한다. 또한 동적으로 운영되는 클라우드 인프라가 보안정책 적용의 실패·오류 등으로 인해 데이터 유출, 장애발생으로 인한 데이터 손실 가능성들을 보이면서 기업들은 정보유출과 개인정보보호 등으로 인한 보안문제에 대해 우려를 나타내고 있다. 3가지 측면 보안문제 대비 기업의 클라우드 컴퓨팅 보안은 크게 데이터보호, 시스템·네트워크 보안, 관리적 대응 등 3가지 측면에서 살펴볼 수 있다. 클라우드 데이터의 기밀성 확보는 암호화 기술과 완전한 데이터 삭제의 보장으로 이뤄진다. 이에 따라 기업들은 클라우드 스토리지 이용 시 중요정보 저장은 피해야한다. 클라우드 스토리지 서비스 중 이동식 저장장치 형태로 제공하는 서비스가 대부분이기 때문이다. 또한 클라우드 스토리지의 데이터를 암호화해 안전하게 보호하고 암호화 키 관리 및 암호화된 데이터의 복구방안이 먼저 마련돼야 한다. 개인 및 기업 데이터에 대한 기밀성 보호를 위해서는 기본적으로 암호화 기술이 이용되지만 대용량 데이터 암호화 시 시스템의 가용성이 떨어질 확률이 높다는 것이 그 이유다. 한 업계 관계자는 “스토리지 및 데이터 삭제 시 데이터 보관기간, 파기담당자와 시점, 파기 또는 삭제 검증을 위한 엄격한 정책이 필요하다”라고 말하며 데이터의 완전한 삭제 및 메모리 접근 방어에 대해서 강조했다. 또한 퍼블릭 클라우드 서비스 이용 시에는 사용자별 암호화키에 의한 데이터 암호화를 지원하고, 데이터 전송·저장 시 각 데이터에 대한 전자서명 등으로 고유정보를 관리해 데이터 변조를 방지해야 한다. 시스템, 네트워크 보안에서는 전용백신 프로그램 및 정기적인 취약점 패치 및 업데이트가 수행돼야 하며 침입탐지시스템, 방화벽, 가상사설망, DDoS 방어시스템 등 네트워크 보안기술적용이 시급하다. 또한 통신채널 암호화를 웹기반 서비스와 데스크톱 클라우드 서비스에 적용시켜야 한다는 의견이다. 시스템 내부의 중요행위에 대한 실시간 모니터링으로 악의적인 동작을 탐지해 클라우드 컴퓨팅 시스템 악용위협에 대비해야 하는 감사 기능 역시 요구되고 있다. 마지막으로 클라우드 컴퓨팅 서비스 제공업체 및 솔루션에 대해 주기적으로 외부 보안업체에 의해 점검결과를 확인하는 작업이 필요하다. 이러한 관리적 대응은 클라우드 서비스와 프로세스 표준화 및 보안인증을 주기적으로 확인하면서 가능해진다. 이외에도 기업은 서비스 중단이나 데이터의 손실을 방지하기 위한 발판으로 사고 시 서비스를 지속할 수 있는 데이터 복구 대책을 미리 마련해 놔야한다. 특히 서비스 제공자가 해킹이나 장애에 대한 보안 및 복구 대책을 제공하고 있는지 살펴봐야 한다는게 업계 내 의견이다. 한 관계자는 “아마존의 S3(Simple Storage Service)에서는 내결함성을 제공하기 위해 최소한의 중단시간 또는 중단시간 없이 시스템을 복구 할 수 있도록 설계됐다”며 “99.99%의 가용성을 보장하는 SLA(Service Level Agreement)를 제공하고 있다”고 말했다. 보안패러다임 변화 눈여겨 봐야 업계에서는 향후 클라우드 컴퓨팅과 관련해 기업들 역시 관련 법 제정, SLA, 표준화 동향에 대해 적극적인 관심과 입장을 취해야 한다는 의견이 다수적이다. 또한 IaaS(인프라제공 서비스), PaaS(플랫폼제공 서비스), SaaS(소프트웨어제공 서비스) 3가지 클라우드 모델에 대한 위협수준들이 상이하므로 개별적인 보안 위협 및 대응방안을 연구해야 할 필요성이 커지고 있다고 내다보고 있다. 한편 클라우드 컴퓨팅 서비스 보안 패러다임 역시 계속해서 변화함에 따라 기존 보안솔루션의 호환성 및 새로운 보안솔루션의 보안기능 검증에도 지속적인 노력을 기울여야 한다. 이와 같은 정책적인 고려나 판단뿐 아니라 안전성과 신뢰성을 보장하기 위해서라도 기업 내 클라우드 컴퓨팅 서비스에서 보안기술의 적용은 필수적이라고 할 수 있다.