클라우드 성공열쇠 '보안' 어떻게? (지디넷 2011. 07.15)
클라우드 성공열쇠 ‘보안’ 어떻게?
글로벌 클라우드 서비스 업체인 아마존의 한국 상륙을 앞두고 국내 클라우드 시스템 도입이 급물살을 탈 것으로 보인다. 이와 함께 성공적인 클라우드 환경 구축의 필수요건인 보안이 핫이슈로 떠오르고 있다.
14일 보안 업계에 따르면, 최근 클라우드 도입에 따른 보안성 확보 문의가 끊이지 않고 있는 상황이다. 여전히 기업들은 보안 문제로 클라우드 도입을 망설이고 있고, 도입한다 하더라도 어떤 보안대책이 필요한지 고민이 깊다. 이 때문에 업계는 클라우드 보안관리 체계에 대한 보다 확실한 정의가 필요해졌다고 설명했다.
■클라우드 도입…’보안’ 때문에
클라우드 도입을 고려하고 있는 국내 모 기업 IT담당자도 클라우드를 이용하면 업무환경과 비용절감 등 장점이 많아서 도입을 적극 검토하고 있지만 역시 보안문제가 가장 걸림돌이 된다 면서 기존 네트워크 보안 문제와 별 차이점이 없다는 설명을 들었지만 서비스 활성화 전 단계에서 도입하기는 성급한 느낌이다 라고 말했다.
전문가들은 국내 클라우드 보안관리 체계에 한계가 있다고 분석한다. 이러한 한계점은 지난 5일 KISA 정보보호 심포지움에서 이경호 시큐베이스 대표가 발표한 ‘클라우드 환경에서의 기업 보안관리 전략’에서 잘 나타나 있다.
이 발표 자료에 따르면, 일단 기업들이 클라우드 컴퓨팅을 도입할 때 가장 우려하는 것으로 ▲선진 기업과 확연한 기술적 격차 존재 ▲데이터 집중화로 인한 피해규모의 확대 우려 ▲보안인식 결여로 인한 보안사고 우려를 꼽았다.
또한 클라우드 서비스의 보안에 대한 우려를 잠식시키기 위해서는 ▲제공자 입장의 기술적, 운영적 보안가이드 필요 ▲이용자 입장의 운영적 보안가이드 필요하다고 지적했다.
클라우드 환경에서 보안성 강화를 위해서 체계적인 관리체계가 필요하다는 것이다. 클라우드 환경에서의 보안관리 체계는 서비스를 도입 및 제공시 기업의 클라우드 서비스 보안관리 요구사항을 도출해 준다. 클라우드 서비스를 이용할 때는 핵심 보안요소에 대한 고려가 필수이기 때문이다.
또 기업들이 클라우드 서비스를 도입 시 고려해야하는 항목으로는 ▲서비스 안정화 ▲서비스를 제공받는 업체에 대한 신뢰여부 ▲데이터 제어권 및 법적 문제 ▲데이터 및 시스템 통제권한 상실에 대한 우려 ▲서비스 표준화 ▲취약점 증가 등을 고려해야 한다.
이런 사항들을 평가검토한 후에 안정적인 서비스 이용 및 제공하기 위한 체계적인 클라우드 서비스 이용 계획을 수립할 수 있다.
■클라우드 보안관리 전략 이렇게…
전문가들은 클라우드 환경이라고 해서 새로운 이슈가 발생하는 것은 아니다고 입을 모은다. 단지 환경이 클라우드로 변한다는 것이다. 하지만 새로운 관리체계 적용을 통한 위협관리는 필수라고 강조했다.
먼저, 클라우드 환경에서는 기존에 알려진 중요정보 침해보다 알려지지 않은 위협에 대한 관리가 더욱 중요하다. 알려지지 않은 취약점을 타깃으로 발생하는 공격에 대비해 ‘비정상행위탐지’가 필수다. 비정상행위 탐지는 사용자의 정상행위 패턴이나 비정상행위 패턴을 정의한 행위 프로파일을 이용해 모니터링을 수행하는 방법을 말한다.
이를 위해서는 보안 사고 분석 전문가의 지속적인 모니터링도 제한적으로 이뤄져야 한다.
또한, 기업들의 중요정보 침해에 대한 한계점 극복을 위해서는 종합적인 관리체계 적용도 필수다. 클라우드 환경에서의 정보관리 프로세스, 관리체계, 시스템 및 법제도를 모두 아우를 수 있어야 한다는 것이다.
뿐만 아니라 보안기술을 적용할 때도 차이점이 존재한다. 기존의 솔루션 중심이 아닌 행위기반의 보안이 필요하다. 솔루션 기반의 보안은 이미 알려진 공격 패턴외 공격으로도 손쉽게 우회할 수 있기 때문이다. 그만큼 보안위협의 이미 많이 노출되어 있어 실제적인 보안기술을 적용이 필요하다.
이 밖에도 발생하는 이벤트에 대한 철저한 조사와 분석으로 상관관계를 발빠르게 파악해야 하며, IT컴플라이언스와의 연계를 통한 보안 체계 관리가 적용돼야 한다.
이충우 펜타시큐리티 사업기획부 이사는 클라우드 컴퓨팅은 웹기반 프로세싱으로 공유되는 자원, 소프트웨어, 정보를 사용자 요구에 따라 인터넷을 통해 제공된다 면서 때문에 클라우드 환경에서의 보안은 웹을 중심으로 애플리케이션 보안을 강화하는 것이 최우선돼야 할 것 이라고 말했다.
[기사 원문 보기 – 지디넷코리아 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20110714144510&type=xml]