[출처: 보안뉴스 / 2014.11.10]

클라우드 서비스 제공자는 인프라 보안 제공

서비스 이용자는 보안범위 스스로 결정해 적용해야

[보안뉴스 김태형] 지난 9월 초 헐리우드 스타들의 애플 ‘아이클라우드’ 정보유출 사건으로 클라우드 서비스의 보안문제에 대한 관심이 높아지고 있다. 현재 국내에서 제공되고 있는 클라우드 서비스의 보안도 예외는 아니다.

▲ 클라우드 서비스를 이용하는 기업과 개인 이용자들이 크게 증가하고 있지만 클라우드에 올려놓은 시스템이나 데이터 보안은 미흡하다.
지난달 미래창조과학방송통신위원회 장병완 의원은 한국인터넷진흥원(KISA)에서 제출받은 자료를 토대로 국내 상위 클라우드 서비스 10개 중 5개가 아이클라우드 정보유출로 이어진 ‘브루트포스’ 공격에 대한 보안조치가 미흡하다고 밝혔다.

이렇듯 국내에서 클라우드 서비스를 이용하는 기업과 개인 이용자들이 크게 증가하고 있지만 클라우드에 올려놓은 시스템이나 데이터 보안에 대해서는 미흡한 것이 사실이다. 클라우드 서비스를 이용하려면 보안은 필수다. 특히 기업 사용자들은 자사의 클라우드 서비스 사용 환경이나 시스템에 적절한 클라우드 보안은 스스로 적용해야 한다.

개인 사용자들은 기업 사용자들처럼 많은 비용을 들여 보안 서비스를 적용할 수 없기 때문에 서비스 제공자의 기본적인 보안관리와 자신의 ID와 비밀번호 등 철저한 계정관리를 통해 클라우드에 올려놓은 자신의 사생활 정보 및 개인정보가 외부로 노출되지 않도록 각별히 신경을 써야 한다.

이러한 퍼블릭 클라우드 서비스를 제공하는 기업은 애플을 비롯해 구글, 마이크로소프트, 아마존 등 글로벌 IT 기업들이 대표적이다. 그리고 국내에서도 포털사이트 네이버·다음카카오, 이동통신 3사 등이 무료 클라우드 서비스를 제공하고 있다.

기존 국내 클라우드 서비스 제공업체들은 고객 확보를 위해 보안보다는 편리성만 강조해 왔다. 이에 개인 및 기업 사용자들의 보안성 강화를 위해 많은 노력과 홍보가 필요하다.

최근 한 클라우드 서비스 제공업체는 보안폴더에서 모든 데이터를 암호화해 클라우드 서버로 전송되도록 하고, 사용자가 접속한 클라이언트 이외에는 관리자를 포함한 누구도 접근할 수 없을 뿐더러 암호화된 파일을 해독할 수 없는 보안이 강화된 클라우드 서비스를 발표하기도 했다.

아마존이나 구글은 기본적인 인프라 보안관리 외에 나머지는 이용자가 자사의 시스템이나 환경에 적절한 보안서비스를 선택해서 이용하는 방식으로 운영하고 있다. 특히 아마존은 고객들에게 처음부터 ‘보안 상호 책임제(Shared Responsibility Environment)’를 통해 고객들의 보안은 스스로 관리책임이 있다는 것을 알려주고 있다.

이와 관련 트렌드마이크로 박상현 대표(한국클라우드보안협회 회장)은 “아마존은 이와 같은 보안 상호 책임 정책을 적용해 서비스 제공자가 최소한의 보안 및 관리를 제공하고 이용자들도 보안에 책임을 지도록 했다”면서 “보안업체들에게 마켓 플레이스를 열어줘서 고객들이 필요한 보안 솔루션을 선택해 서비스 받을 수 있도록 했고 아마존은 입점하는 보안업체들에게 수수료를 받아 수익을 얻고 있다”고 설명했다.

그는 또 “클라우드에 올라가 있는 고객의 시스템은 해당 고객의 정보를 가지고 있기 때문에 클라우드 서비스 사업자가 마음대로 고객의 시스템을 들여다보거나 통제할 수 없다. 때문에 이에 대한 보안은 고객 스스로 결정하는 것이 맞다. 그리고 서비스 제공자는 기본적인 인프라에 대한 보안과 관리를 제공해야 한다”고 덧붙였다.

이처럼 클라우드 서비스를 이용하는 기업 고객들은 호스트 기반의 보안이 적절하다는 것이 박 대표의 설명이다. 이를 바탕으로 각 호스트별로 다르게 보안정책 적용이 가능하다. 예를 들면, VM을 10개 사용하는 기업들이 호스트 기반 보안을 적용하면 다양한 레벨의 VM을 각각의 환경이 사용에 맞게 보안정책을 적용할 수 있다는 것.

박 대표는 “트랜드마이크로의 클라우드 보안 솔루션 ‘딥시큐리티’는 기본적인 보안 구성 요소들을 하나로 통합한 솔루션으로 클라우드로 제공하고 있는 호스트 기반의 클라우드 보안 솔루션”이라면서 “방화벽·침입탐지·멀웨어방지·파일 무결성 감사·로그 감사 등의 기본적인 보안 솔루션들을 클라우드 환경에 알맞게 구성할 수 있도록 한 것이 장점”이라고 설명했다.

국내에서도 이러한 보안 서비스가 가능한 아마존 웹 서비스를 사용하고 있는 기업들이 상당히 많다. 자사의 클라우드 시스템에 있는 데이터를 보호하고 시스템 권한 관리를 위해 적절한 보안 솔루션을 선택해 적용할 수 있기 때문이다.

이에 최근에는 국내 통신사나 IT서비스 기업에서 제공하는 클라우드 서비스 제공 사업자들도 아마존의 형태를 따라가고 있다.

그동안 국내 클라우드 서비스 제공자들은 클라우드 시장 확대와 고객 유치를 위해 보안은 소홀히 한 경우가 대부분이었다. 하지만 앞으로는 클라우드 보안에 대한 인식 제고를 통해 고객들이 안전하고 편리한 클라우드 서비스를 이용하도록 많은 노력이 필요하다.   [김태형 기자(boan@boannews.com)]