IT Solutions/Cloud

클라우드 도입 전 꼭 알아야 할 '클라우드 보안' ①

2020. 6. 2. 09:30


'한비자(韓非子)'에 나오는 이야기 중에, 매독환주(買櫝還珠), 즉 상자만 사고 구슬은 돌려준다는 말이 있습니다. 초나라 사람이 정(鄭)나라로 진주를 팔러 갔는데 값을 비싸게 받으려고, 목란(木蘭)으로 상자를 만들어 좋은 향기가 나도록 한 다음, 온갖 주옥으로 화려하게 꾸며 장식했다고 합니다. 지나가던 정나라 사람이 시장에서 초나라 상인의 물건을 보고 마음에 들어 그 자리에서 상자를 사고 상자 속에 들어 있던 옥을 돌려줬다고 합니다. 이 고사는 화려한 겉모습에 현혹되어 중요한 본질은 놓침을 이르는 이야기입니다.


최근 기업에서 클라우드 환경을 사용하는 모습은 더는 낯선 모습은 아닐 것입니다. 그만큼 클라우드 환경으로의 이동은 거스를 수 없는 흐름이 된 것인데요. 하지만, 최근 몇 년 동안 글로벌 Research 기관들의 발표 내용을 보면 퍼블릭 클라우드 전환에 대한 이야기보다는 하이브리드 클라우드 가속화를 지속해서 언급하고 있습니다.



‘다 같은 클라우드 전환 아냐?’라고 생각하시는 분들이 있으실 수 있겠지만, 이것은 ‘Public Only’가 아닌 ‘Public & Private’라는 변화된 클라우드 흐름이라고 볼 수 있습니다.


Nutanix Enterprise Cloud Index에서 발표된 자료에 의하면, 24개국에서 조사된 2,650명의 IT 의사 결정권자 중 73%가 퍼블릭 클라우드에서 프라이빗 클라우드 또는 기존 데이터 센터로 일부 애플리케이션을 마이그레이션한다고 응답했습니다. 그리고 기업이 핵심 데이터와 애플리케이션을 온 프레미스 데이터 센터로 이전하는 주된 이유는 보안•통제, 비용, 성능 등이라고 언급하고 있습니다.


l 퍼블릭 클라우드에서 온프레미스로의 회귀 (출처: The Nutanix Enterprise Cloud Index 2019)


또한 응답자의 절반 이상(60%)은 클라우드 간의 보안 상태가 향후 클라우드 구축 계획에 가장 큰 영향을 줄 것이라고 응답했으며 마찬가지로, 데이터 보안 및 규정 준수는 기업이 특정 워크 로드를 실행하는 위치를 결정할 때 최고 변수(26%)라고 답변했습니다.


이는 클라우드의 본질을 명확하게 파악하지 못하고 무작정 퍼블릭 클라우드를 도입한 많은 기업이 도입 이후 클라우드 전환 전략의 부재, 특히 보안 체계 미흡으로 많은 어려움을 겪고 결국 일부를 프라이빗 클라우드 또는 온프레미스 환경으로 재전환하는 ‘매독환주’의 우를 범하고 있다고 이야기할 수 있습니다.


 클라우드 전환의 가장 큰 장벽 보안


앞서 설문에서 나타난 바와 같이 클라우드 전환 전략에서 많은 고객이 힘들어하는 것이 보안과 관련된 사항입니다. 이는 클라우드 도입 초기에서 현재에 이르기까지 10여 년 동안 진행된 많은 설문에서 클라우드 도입 장벽 요소로 보안을 1위로 뽑았던 사실을 보면 쉽게 알 수 있습니다.


l 클라우드 도입의 Challenges Survey (출처: Cisco Blog (좌), RightScale 2018 State of the Cloud Report(우))


이러한 의견들의 내용을 세밀히 살펴보면 크게 기업 데이터를 외부에 맡기는 것에 대한 불안감과 그로 인한 데이터 유출이 크게 작용하고 있다고 봅니다. 실제 많은 IT 관계자와 인터뷰를 해보면 클라우드가 인터넷을 통해 컴퓨터 하드웨어와 소프트웨어의 기능을 이용할 수 있도록 하는 서비스이기에 사이버 침해에 대한 막연한 두려움이 가지고 ‘클라우드는 안전하지 않다.’라는 인식이 강하게 자리 잡고 있음을 확인할 수 있었습니다.


 온프레미스 환경과 클라우드 서비스에 대한 환경적 차이 이해


이러한 불안을 해소하기 위해서는 자체 전산실에 시스템을 구축하고 직접 시스템을 이용하는 온프레미스 환경과 클라우드 서비스를 이용하는 것에 대한 차이를 명확히 이해하는 것이 중요합니다. 이해를 돕기 위해 금융 자산의 보관을 생각해보고자 합니다. 여러 가지 보관 방법이 있겠으나, 크게 자신의 집에 보관하거나 은행에 맡기는 것 두 가지만을 고려하고자 합니다.



먼저 자신의 집 금고에 보관할 경우 남들에게 내가 얼마의 금액을 가졌는지 감추기 쉽고, 내가 원할 때 편하게 꺼내고 넣을 수 있습니다. 단, 집이라는 제한된 공간에서 말이죠. 대신 누군가에게 돈을 전달하거나, 외부에서 돈을 꺼내 쓸 때는 불편함이 존재하며, 누군가 돈을 훔치려고 한다면, 직접 집에 들어와 금고를 따고 돈을 가져가야 할 것입니다.


두 번째 은행에 보관할 경우, 내가 넣은 금액이 얼마인지를 본인 외 은행도 알 수 있습니다. 하지만 해당 정보에 대한 접근을 은행에서는 통제하고 있습니다. 인출할 때는 집 금고와는 달리 인증 절차를 거쳐야 가능하지만, 온•오프라인 장소의 제약이 크지 않습니다. 도난에 대한 보안은 은행이 책임지고, 일반 가정보다는 훨씬 안전하지만 다양한 접근 채널들이 있어 해킹에 대한 위험이 다소 크고 개인의 철저한 계정 관리가 필요합니다.


반면 물리적 보안은 은행이 훨씬 뛰어나리라는 것에는 모두가 동의하실 것입니다. 정리해보면 어느 것이 보안 측면에서 더 안전한가를 판단하기는 어려우나 은행에 보관하는 것이 개인 보관보다 보안 측면에서 취약하다고 이야기하기는 어려울 것입니다.


위 내용을 온프레미스 환경과 클라우드 환경에 비교해 설명하면 거의 유사합니다. 두 환경 간의 보안은 어떠한 측면에서는 한쪽이 우수하고 다른 한 측면에서는 반대쪽이 우수하다고 볼 수 있습니다.



하지만 많은 보안 기관에서 클라우드 보안을 기존 환경과의 차이에 기반하기보다 기존 환경에서 있는 보안 문제를 마치 클라우드 보안 이슈인 것으로 이야기하고 있어 클라우드 보안 이슈를 확대해 해석하게끔 하는 경우가 많습니다. 일례로 클라우드 보안 이슈로 많이 언급되는 DoS(Denial of Service), 내부자 위협, 계정 하이재킹 등은 클라우드가 아닌 어떠한 IT 인프라 환경에서도 발생할 수 있는 보안 위협입니다.


이번 연재에서는 많은 클라우드 보안 요소가 있겠지만, 가장 중요하게 생각될 세 가지만 언급하고자 합니다. 오늘 1편에서는 중요하게 생각될 클라우드 보안 요소 세 가지 중 첫 번째를 알아본 후 다음 편에 두 번째와 마지막 요소를 함께 알아보겠습니다.


1. 클라우드 서비스 제공자의 보안 서비스 제공 영역과 그렇지 않은 영역을 구분해야만 한다.

클라우드 보안과 관련한 오해 중 앞서 ‘클라우드는 안전하지 않다.’라면, 또 다른 오해는 정반대로 ‘클라우드 서비스 제공자(이하 CSP – Cloud Service Provider)가 모든 보안을 책임져줄 것이다.’라는 막연한 긍정론입니다. 대부분의 CSP가 월등한 보안과 안정성을 전면에 내세움에 따라 많은 기업에서는 CSP에서 보안까지 책임져 주는 것으로 알고 있는 경우가 많습니다.


하지만 계약 내용은 ‘보안 상호 책임제(Shared Responsibility Environment)’가 명시되어 있고 이는 클라우드 사용 기업이 그에 맞는 보안 정책을 수립•운용해야 함을 의미합니다.


l AWS 책임 공유 모델 (출처: AWS 홈페이지)


윤광택 시만텍 이사가 언론사 인터뷰에서 언급했던 ‘아마존이나 구글, 대형 통신사 데이터 센터는 국제적으로 공인받은 안전한 보안 플랫폼을 갖추고 있으며, 일반 전산실보다 훨씬 강력한 물리적 보안과 출입 통제까지 이뤄지고 있습니다. 하지만 이는 해당 센터에 대한 자체 보안일 뿐 가상으로 연결된 고객 시스템에 대한 보안이 아닙니다.’라고 강조한 것이 이를 잘 표현한 부분이라고 할 수 있습니다.


가트너에 따르면 2023년까지 최소 99%의 클라우드 보안 실패는 고객사 잘못에 의할 것이라고 내다봤으며, 2021년까지 기업 50%는 관리자 실수로 인해 중요 정보가 인터넷에 노출되리라 전망했습니다. 즉 클라우드 보안은 CSP의 보안과는 별도로 보안 담당자가 관리해야 할 영역이 존재한다는 것입니다.


그렇다면 사용자가 관리해야 할 보안 영역은 어떻게 하면 될까요?

클라우드 서비스 모델별로 책임 범위가 다른데 기본적으로 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 보안(SaaS) 순으로 CSP의 책임이 커집니다.


IaaS의 경우, CSP는 데이터, 스토리지 등 클라우드 인프라 보안을 책임지고, 사용자는 가상 환경 위에서 구동되는 Host OS, 암호화, 보안 F/W 관리, 데이터, 애플리케이션 등의 보안을 책임져야 합니다. SaaS의 경우는, 클라우드 서비스 제공자는 인프라뿐만 아니라 소프트웨어(S/W) 스택 보안을 모두 책임져야만 합니다. 반드시 명심해야 하는 것은 클라우드에 있는 데이터에 대한 기본 책임은 사용자에게 있다는 점입니다.



특히, 기업의 보안 담당자는 CSP에서 제공하는 보안 서비스를 누구보다 잘 이해하고 보안을 보다 강화할 수 있는 요소들을 찾아 3rd Party 제품들로 보완한 설계를 해야만 합니다. 예를 들어, 정보 유출 모니터링 영역에서의 서버•DB 접근 제어나 해킹•바이러스 대응을 위한 악성코드 대응, 유해 사이트 차단, IPS는 CSP 영역이 아닌 보안 전문가의 설계가 필요한 영역이라고 하겠습니다.


지금까지 클라우드의 성공적 전환을 위해 고려해야 할 클라우드 보안 요소 첫 번째를 알아보았습니다. 다음 편에는 이번 편에 이어서 클라우드 보안 요소 나머지 두 가지를 알아보겠습니다.


글 l LG CNS Entrue Consulting 클라우드그룹


 

* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로