클라우드의 효율적 활용위해 보안은 필요가 아닌 필수 요소

기사승인 2019.05.08  09:18:07

공유

- 클라우드 보안 사고 발생 시 기업 이미지 하락과 금전적 피해 발생할 수 있어

[CCTV뉴스=이승윤 기자]4차 산업혁명과 함께 등장한 인공지능(AI), 사물인터넷(IoT), 빅데이터 등 신기술로 인해 ICT 산업의 패러다임이 변화하고 있다. 특히 새로운 ICT 산업의 기반인 클라우드가 성장하면서 이 변화의 속도가 더 빨라지고 있는 상황이다. 클라우드는 향후 ICT 산업에 큰 영향을 끼칠 것으로 예상돼 이에 많은 IT 기업들은 클라우드 도입을 준비하고 있으며, 최대의 효율을 누리기 위한 전략을 수립하고 있다. 그러나, 이 전략 중 기업은 잊지 말아야 할 것이 있다. 클라우드 성장과 함께 이를 타깃으로 한 보안 위협도 꾸준히 증가하고 있어 안전하고 효율적인 클라우드 활용을 위해 보안은 필요가 아닌 필수로 갖춰야 하는 것으로 인지하고 준비해야 한다는 것을 말이다.

클라우드가 IT 환경에 필요한 이유

클라우드 컴퓨팅은 인터넷 기반 컴퓨팅의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술이다. 클라우드는 컴퓨터 네트워크, 서버, 스토리지 등 컴퓨팅 자원에 대해 어디서나 접근이 가능하다는 특징을 가지고 있으며, 주로 인터넷을 통해 클라우드 서비스 공급자가 제공하는 IT 인프라를 사용자가 원하는 만큼 사용하고, 사용한 만큼 지불하는 서비스 형태로 운영되고 있다.

클라우드는 기업 IT 환경을 구성할 때 다양성과 유연성을 지원해 기존 온프레미스 시스템 형태로 구성된 기업 환경보다 많은 장점을 가지고 있다. 먼저, 기업 운영의 효율성을 증가시킨다. 클라우드는 모든 데이터를 중앙으로 수집해서 운영하기 때문에 이전의 개별 시스템에서 직접 데이터를 수집하고 관리하는 방식보다 기업 운영의 편리함과 효율성을 함께 개선하는 효과를 얻을 수 있다.

두 번째로, 초기 투자 비용과 시간을 아낄 수 있다. 기존의 레거시 시스템(서버 호스팅, 코로케이션, 전산실 구축)은 빠르게 구축한다고 해도 최대 몇 주의 시간이 소요되는 반면, 클라우드는 몇 번 클릭만으로 설정이 가능하다. 또한, 필요한 만큼만 구입해서 활용하면 되기 때문에 기업은 다른 사업 영역에 자본을 투자할 수 있다.

세 번째로, 비즈니스 연속성의 향상을 지원한다. 클라우드 컴퓨팅의 고유한 인프라의 특성을 통해 데이터와 운영체제를 백업하고 장애 조치 절차를 시작하는 작업을 자동화할 수 있어 온프레미스 시스템보다 데이터 보호와 가용성을 크게 향상할 수 있다. 이외에도 클라우드는 공유된 인프라를 지원하므로 이를 활용해 IT 직원 비용을 줄일 수 있어 직원 인건비 절감 효과를 볼 수 있으며, 클라우드 컴퓨팅으로 리소스와 업데이트를 자동화 또는 표준화된 방식으로 배포 가능해 접근성이 향상되는 장점이 있다.

이처럼 기존 온프레미스 시스템 대비 효율성 증가, 가용성 향상 등의 장점을 지닌 클라우드는 4차 산업시대의 핵심 요소로 주목을 받으면서 시장 규모가 빠르게 성장하고 있다. 올해 4월에 가트너가 발표한 2019년 전세계 퍼블릭 클라우드 서비스 시장 전망에 따르면, 2019년 클라우드 시장의 규모는 2018년 1824억 달러에서 17.5% 증가한 2143억 달러에 이를 것으로 전망했다. 가트너는 국내 퍼블릭 클라우드 서비스 시장의 경우 클라우드 애플리케이션 서비스(SaaS)의 강세가 이어질 것으로 예상했으며, 국내 SaaS 최종 사용자 지출액은 지속적으로 증가해 2022년에는 약 1조 5745억 원에 이를 것으로 전망했다.

가트너의 리서치 디렉터인 시드 내그(Sid Nag)는 “클라우드 서비스는 분명히 업계의 판도를 뒤흔들고 있다”며, “모든 업체들의 비즈니스 모델과 매출 성장세는 기업들의 클라우드 우선 전략 채택이 증가하는 현상에 따른 영향을 받고 있으며, 지금 우리가 보고 있는 것은 그저 시작에 불과하다”고 말했다 또 “가트너는 2022년까지 클라우드 서비스 시장 규모와 성장세가 전체 IT 서비스 성장세의 약 3배에 이를 것으로 예상한다”고 덧붙였다.

클라우드 겨냥한 보안위협 지속해서 발생하고 있어

클라우드는 향후 지속적인 성장을 할 것으로 예상되며, 약 10~20년 뒤에는 모든 소프트웨어와 인프라가 클라우드로 통해 운영되는 클라우드-온리(cloud-only)로 전환될 것으로 보인다. 그러나, 클라우드의 성장과 함께 클라우드를 겨냥한 정보보안 위협도 꾸준히 증가하고 있어 보안에 대한 필요성이 높아지고 있는 상황이다.

클라우드 보안위협 사례로 2010년 마이크로소프트 BPOS 서비스 환경설정 오류로 인해 기업정보가 유출된 사건과 2011년 소니플레이스테이션 네트워크 해킹을 목적으로 아마존의 가상서버를 임대해 가명으로 가입 후 가상 서버를 좀비 PC로 만들어 해킹한 사건이 있다. 국내의 경우 2012년 KT가 운영하는 유클라우드(uCloud)서버 스위치와 스토리지 오작동으로 인한 서비스 장애가 발생한 사건이 있었다. 많은 클라우드 보안 위협 사례 중 가장 주목해서 봐야할 사건은 지난해 11월에 발생한 글로벌 클라우드 업체인 아마존 웹서비스(AWS)의 대규모 접속장애 사건이다.

2018년 11월 22일 오전 아마존웹서비스(AWS)에서 접속 장애가 발생해 AWS에 기반을 둔 국내 IT 서비스가 동시에 마비됐다. 당시 오류가 발생한 이유는 AWS의 주요 서비스인 EC2(Elastic Compute Cloud)의 서울 리전(Region)에서 내부DNS(Domain Name System)변환에 실패해 외부 접속이 불가능한 DNS 오류가 발생했으며, 이후 아마존의 다른 클라우드 서비스로 장애가 확산된 것으로 확인됐다.

특히 해당 장애로 AWS 서울 리전만 단독으로 이용하는 국내 기업들의 피해가 크게 나타났다. 국내 기업인 배달의민족, 쿠팡, 야놀자, 여기어때, 푹 등의 인터넷 서비스와 KB금융지주 ‘클래온(Clayon)’ 사이트와 신한은행 ‘쿱’ 등 금융사 서비스가 당시 2시간 이상 정상적인 서비스를 제공하지 못했다. 당시 데이터 유출 등의 사고는 발생하지 않았지만, 클라우드 보안과 안정성에 문제 발생할 경우 금전적 피해와 기업 이미지 하락 등의 치명적인 피해가 나타날 수 있다는 것을 여실히 보여준 사례이다.

아카마이 백용기 상무는 “클라우드 위협 발생 시 기본적으로 데이터 유출 피해가 나타날 수 있으며, 해커 최종적인 목표라고 볼 수 있는 클라우드 가용성이 중단되는 사고가 발생할 수 있다”며, “클라우드 서비스 기업은 클라우드 공격 발생 시 클라우드 속도가 하락하면서, 고객 불만이 증가하고 고객 이탈 등 문제가 발생하면서 큰 손실을 입을 수 있다”고 말했다.

클라우드 100% 활용 위해 보안은 필수!

앞서 살펴본 보안위협 사례처럼 보안과 안정성이 갖춰지지 않을 경우 기업 이미지 손실, 금전적인 피해 등이 발생하기 때문에 클라우드 보안은 필수적으로 갖춰져야 한다. 특히 높은 가용성과 활용성이 특징인 클라우드를 100% 활용하려면 기업은 보안을 가장 높은 우선 순위에 놓고 검토해야 한다.

많은 보안 기업들도 클라우드를 사용하는데 있어 보안이 중요하다고 설명하고 있다. 글로벌 보안기업 맥아피는 “클라우드 환경을 통해 데이터를 주고 받고, 중요 데이터를 저장하는 경우도 있어 이에 대한 보안 해결책이 마련되지 않으면 클라우드를 이용하는데 제한적일 수밖에 없다”며, “제한적인 환경은 클라우드 본연의 특징을 훼손하는 것이고, 클라우드 확산에 가장 큰 저해 요인이 될 수 있으므로 클라우드에서 적합한 정보 보안의 필요성이 특히 중요하게 부각된다”고 말했다.

국내 보안기업 펜타시큐리티는 “클라우드가 취급되는 데이터는 물리적 서버에 저장된다. 따라서 클라우드 환경도 기존 IT 보안에서 나타날 수 있는 위협에 대응하기 위한 데이터 암호화, 웹 보안, 인증보안이 필요하다”며, “여기에 클라우드의 환경적 특수성에 대응하는 보안이 추가 돼야 한다”고 말했다.

탈레스는 안전한 클라우드 환경 유지를 위해 ▲강력한 내·외부 인증 프로세스 ▲간결한 접근 통제 ▲저장 데이터 암호화 ▲강력한 암호화 키 관리 ▲간편한 데이터 삭제 ▲데이터 주권과 자율성획득 등의 정책을 시행할 필요가 있다고 제시하고 있다.

탈레스가 제시한 클라우드 보안 정책 세부 내용

강력한 내·외부 인증 프로세스

데이터 보안 규제를 지키고 효율적으로 데이터 보안을 구현하기 위해서는 각 조직의 보안팀이 민감 데이터 접근 권한을 강력하게 통제해야한다. 이때, 포함되는 사람들은 직원, 외주 업체, 파트너사, 고객 등이며,이들을 위한 강력한 인증 매커니즘이 필요하다.

간결한 접근 통제

적법하게 허가받은 인원들만 데이터에 접근하고 수정할 수 있어야 한다. 이를 위해서는 사용자의 역할과 책임을 기반으로 접근 통제 과정을 간소화시켜야 하며 이를 위해 여러 클라우드와 데이터 센터에 일관적으로 적용해야 한다.

저장 데이터 암호화

강력하고, 간결하면서도 유연한 암호화는 기밀 데이터에 대한 비허가 접근을 막기 위한 핵심 요소이다. 특정 데이터 세트를 암호화함으로써, 기업은 데이터의 이동과 복제 여부에 상관 없이 견고한 암호화 정책 하에 꾸준히 데이터를 보호할 수 있다.

강력한 암호화 키 관리

암호화에 대한 의존도가 증가함에 따라, 견고한 키 관리가 중요해지고 있다. 최고 수준의 보안을 실현하기 위해서는, ‘FIPS 140-2’ 인증이나 ‘CC’ 인증과 같은 국제표준에 의해 인증받은 장치에 암호화 키를 보관해야 한다. 또한, 온프레미스, 하이브리드 및 멀티 클라우드 환경 모두에 적용되는 통합 키 관리 전략을 세우는 것이 중요하다.

간편한 데이터 삭제

많은 조직들에게, 불필요한 민감 데이터를 찾아내고 영구적으로 삭제하는 것은 쉽지 않은 일이다. 따라서, 데이터 삭제를 효율적으로 통제하고 이에 대한 일정을 조율할 수 있는 능력을 갖추고 있어야 한다.

데이터 주권과 자율성 획득

하이브리드나 멀티 클라우드 환경에서 데이터가 불명확한 곳으로 전송되는 것을 방지할 수 있어야 함을 명심해야 한다.

클라우드와 함께 성장하는 클라우드 보안 시장

클라우드에 보안이 필수적인 요소로 나타나면서, 클라우드 보안 시장이 빠르게 성장하고 있다. 가트너가 발표한 전세계 정보보안 제품과 서비스 전망치에 따르면, 2019년 전세계 클라우드 보안 지출액이 4억 5900만 달러에 이를 것이라고 전망했다. 국내의 경우 전 세계에 비해 규모는 작지만 지속해서 지출액이 증가할 것이라고 가트너는 예상했다. 시장조사기관 지온 마켓 리서치(Zion Market Research)는 글로벌 클라우드 보안시장은 2020년까지 98억 달러 규모까지 성장할 것이라고 전망했다.

클라우드 보안시장의 높은 성장이 예상되면서, 다양한 보안 기업들이 차세대 먹거리 시장으로 클라우드 시장을 주목하며 다양한 클라우드 보안 솔루션을 출시하고 있다. 글로벌 보안 기업 시만텍은 클라우드 보안을 위한 클라우드SOC(CloudSOC) CASB ▲클라우드 워크로드 프로텍션(CWP) ▲클라우드 워크로드 어슈어런스(CWA)등의 포괄적인 클라우드 보안 솔루션을 제시하고 있다. 트렌드마이크로는 클라우드 보안을 위해 딥 시큐리티(Deep Security)를 제시하고 있으며, 이글루시큐티는 AI 보안관제 솔루션인 ‘SPiDER TM AI Edition’을 활용해 기업이 이용하는 클라우드 서비스 영역에 대한보안관제 서비스를 제공하고 있다.

어디서나 손쉽게 대량의 데이터를 저장·관리와 활용·분석 가능하도록 지원하는 클라우드 서비스는 앞으로 초연결사회로 진화하는 사회 생태계에 핵심 기반 기술이 될 것으로 기대된다. 보안 기업입장에서도 앞으로 지속적인 이윤창출을 할 수 있는 클라우드 보안 시장에 집중할 것으로 예상된다. 즉 향후 클라우드와 클라우드 보안 시장은 함께 지속해서 성장할 것으로 예상된다.

이승윤 기자 hljysy@cctvnews.co.kr

<저작권자 © CCTV뉴스 무단전재 및 재배포금지>
default_news_ad4

인기기사

오피니언

1 2 3
item35

섹션별 인기기사 및 최근기사

조이뉴스 인기기사

item42
#top
default_bottom_notch