[알아봅시다] 자원공유로 위협 노출 … 암호화·데이터보호 기술로 방어

입력 2017-12-31 18:00

공유 데이터 외부유출 가능성 우려
국내기업 클라우드 도입 4.1% 그쳐
AWS 가상서버 해킹 등 대표적 사례
중복 모니터링·가상머신 독립화 등
기존 보안 재구성 방어체계로 해결
인증·법제도 등 기술 외적인 대응도

최근 서버, 네트워크, 스토리지, 애플리케이션 등 컴퓨팅 자원을 구입하지 않고 서비스 업체를 통해 사용한 만큼 비용을 내는 클라우드가 주목받고 있습니다. 2016년 기준 경제협력개발기구(OECD)에 따르면 미국 기업의 클라우드 서비스 도입률은 40%, 일본은 33.1%를 기록하고 있으나 국내 기업의 클라우드 도입률은 4.1%에 그치고 있습니다. 한국에서 클라우드 도입을 꺼리는 이유는 단 하나 '보안'입니다. 기밀 데이터의 외부 유출, 클라우드 사업자에 대한 불신 등 컴퓨팅 자원의 공유에 따른 중요 데이터의 외부 유출 가능성 때문에 클라우드 도입을 망설이게 하고 있습니다. 클라우드는 과연 신뢰할 수 있는 서비스인지 클라우드 보안 이슈와 대응책을 알아보겠습니다.

◇컴퓨팅 자원 공유로 인한 보안 위협=클라우드 컴퓨팅은 필요할 때 컴퓨팅 자원에 접속해 데이터를 처리하고 연산을 수행할 수 있는 서비스입니다. 지난 2006년 구글 직원이 사용하지 않는 컴퓨팅 자원을 재활용하기 위한 아이디어를 제안하면서 시작됐고 같은 해 아마존이 아마존웹서비스(AWS)를 개시했습니다.

클라우드는 서비스 모델에 따라 SW형(SaaS), 플랫폼형(PaaS), 인프라형(IaaS)이 있고 컴퓨팅 자원의 배치 장소에 따라 퍼블릭(Public)과 프라이빗(Private), 이를 합친 하이브리드 방식이 있습니다. 서비스 기업은 컴퓨팅 자원을 효율적으로 재사용할 수 있고, 이용자는 필요한 시점에 필요한 만큼만 빌려 쓰고 그에 맞는 비용을 내면 돼 컴퓨팅 자원 구매와 유지보수에 들어가는 비용을 줄이고 인력, 공간 등 고정비용은 들지 않습니다.
그러나 기업은 클라우드에 저장된 데이터의 정확한 위치를 가늠할 수 없고 민감한 데이터를 다른 기업과 함께 퍼블릭에서 사용하는 것에 대한 신뢰성과 안정성에 물음표를 제기합니다. 여기에는 클라우드와 일반 보안에 대한 우려가 섞여 있어 클라우드 보안에 대한 정확한 정보를 제공해 부정적인 인식을 개선할 필요가 있습니다. 먼저 클라우드 보안위협인 '공유자원' 문제는 서버 운영체제(OS)를 공유하기 위해 가상영역으로 분리해주는 가상화 기술과 응용SW를 여러 기업이 공유해 사용하는 멀티 테넌시가 클라우드를 가능하게 하는 핵심기술로 보안 문제가 발생할 수 있습니다.

클라우드 보안사고로는 2010년 마이크로소프트(MS)가 서비스 환경설정 오류로 클라우드의 기업 정보가 타인에게 열람된 것을 비롯해 2011년 AWS가 가상서버를 임대하고 가명 가입 후 가상서버를 좀비PC화해 소니플레이스테이션 네트워킹을 해킹한 사례가 대표적입니다. 또 2010년 구글에서는 태국의 인터넷서비스제공사업자(ISP)를 이용한 세션 납치 공격이 발생했고, 드롭박스는 2012년 직원계정의 해킹으로 이메일 명단 유출과 스팸 전송, 세일즈포스는 2012년 스토리지 저장 실패로 인한 서비스 중단 등이 있습니다.

◇클라우드 보안위협은 대응 가능= 클라우드 시스템에서의 보안은 기업, 기관의 클라우드 도입을 저해하는 불안 요소임은 틀림없습니다. 그러나 클라우드의 다양한 보안 문제에 대한 기술·기술 외적인 보안책도 다양하게 존재합니다. 기본적으로 클라우드는 일반 보안과 같은 문제를 가지고 있어 해결 방안도 유사합니다. 가상화 기술로 인한 공유자원 환경으로 복잡해졌을 뿐 기존의 보안 방식을 재구성한 방어체계로 해결할 수 있습니다.
예컨대 기술적 위협요소 중 하나인 네트워크 트래픽 도청과 위·변조, 인증 및 접근권한 탈취에 따른 데이터 유출 손실, 디도스 공격에 따른 서비스 거부 공격, 시스템 설계상의 오류 등 기존 보안위협은 데이터 송수신 암호화, 디지털 서명, 중복 모니터링을 통해 해결할 수 있습니다. 하이퍼바이저 감염, 쉬운 가상머신(VM) 내부공격, 공격자 익명성 등 가상화를 통한 위협은 암호화를 통한 전송데이터 보호, 접근 권한에 대한 해시 검사, 가상머신 간의 독립성 보장으로 해결할 수 있습니다. 기술 외적 위협요소인 관리자 문제, 국가별 다른 법체계, 내부자 문제, 해커 타깃, 피해 규모 확산, 물리적인 저장소 관리, 자연재해 등은 교육과 인재 검증 채용, 국제 클라우드 보안 표준 인증 획득 등을 통해 대응할 수 있다는 반응입니다.

SW·보안 전문가들은 기본적으로 어떤 HW, SW도 보안 위협에는 항상 노출돼 있고 보안 문제는 컴퓨터 시스템이 존재하는 한 끊임없이 고려해야 할 문제라고 말합니다. 해커의 공격 유형은 계속 진화했고 이에 맞춘 보안 기술도 발전해 왔습니다. 모든 시스템의 100% 보안은 보장할 수 없고 100%에 가깝도록 발전해 나가고 있습니다. 완벽한 보안보다는 피해의 방지와 최소화에 역점을 두고 있는 것이 정답일 것입니다.

클라우드 보안 문제는 상존하고 이를 해결하기 위한 솔루션도 있습니다. 인증, 보험 등 기술 외적인 해결책도 있습니다. 기술적인 부분은 보안 솔루션으로 위협을 방지하고, 기술 외적인 부분은 법·제도와 인식 전환을 통해 풀 수 있습니다. SW정책연구소에 따르면 클라우드는 다양한 활용성과 비용 절감 등 많은 장점을 가지고 있고 안전한 활용을 위한 다양한 보안 솔루션도 속속 등장하고 있어 도입과 활용에 있어 보안위협을 심각히 우려할 필요가 없다는 입장입니다.

허우영기자 yenny@
자료 : SW정책연구소

[ 저작권자 ⓒ디지털타임스, 무단 전재 및 재배포 금지 ]

가장 많이 본 기사

공유 데이터 외부유출 가능성 우려 국내기업 클라우드 도입 4.1% 그쳐 AWS 가상서버 해킹 등 대표적 사례 중복 모니터링·가상머신 독립화 등 기존 보안 재구성 방어체계로 해결 인증·법제도 등 기술 외적인 대응도

공유 데이터 외부유출 가능성 우려
국내기업 클라우드 도입 4.1% 그쳐
AWS 가상서버 해킹 등 대표적 사례
중복 모니터링·가상머신 독립화 등
기존 보안 재구성 방어체계로 해결
인증·법제도 등 기술 외적인 대응도