클라우드 컴퓨팅이란?
인터넷을 통해 Server, Storage, Database, Networking, Software, Analytics, Intelligence 등의 컴퓨터 서비스를 사용하는 기능으로, 전통적인 On-Premise 방식과 대비되는, 필요에 따라 컴퓨팅 리소스를 제공하는 On-Demand 방식으로 운영된다.
클라우드 컴퓨팅은 비용, 속도, 글로벌 규모, 생산성, 성능, 보안, 안정성, 모빌리티, 최신화 등에서 큰 장점을 가지고 있다.
이에, 다수 기업이 IT 리소스를 보다 효율적으로 사용하고 운영 프로세스를 간소화하고자 클라우드 기반 서비스로의 전환을 꾀하고 있다.
클라우드 컴퓨팅은 크게 4가지로 나눌 수 있다.
- 퍼블릭 클라우드: 클라우드 공급업체가 모든 인프라를 관리하는 방식
- 프라이빗 클라우드: 단일 기업에서 클라우드 컴퓨팅 리소스를 독점적으로 사용하는 방식
- 하이브리드 클라우드: 퍼블릭과 프라이빗을 조합하여 서로 공유하는 방식
- 멀티 클라우드: 두 개 이상의 클라우드 공급업체를 사용하는 것으로, 다양한 클라우드 서비스나 기능을 선택하는 방식
클라우드 서비스 주요 모델은 다음과 같다.
IaaS : 서버/가상머신, 스토리지, 네트워킹, 운영체제 등의 IT 인프라만 대여하는 방식
PaaS : 앱 구축을 위한 개발 환경만 대여하고, 앱과 데이터는 기업이 직접 관리 및 운영
SaaS : 사용자의 하드웨어, 소프트웨어 등을 모두 서비스하는 IT 솔루션
+ Severless 형태 서비스 (24시간 상주하는 기존의 서버 방식과 차별화, 컴퓨팅 리소스를 보다 효율적으로 사용하기 위한 목적)
하지만 클라우드 사용이 만연해지며 데이터 유출 및 사이버 공격의 위험도 또한 올라갔다.
이에 도난, 분실, 중단과 같은 보안 사고에 대응하고 클라우드 보안을 강화하고자,
정부 및 클라우드 서비스 사업자는 모델 및 서비스 방식에 따른 다양한 프로토콜, 정책, 기술 등을 도입하고 있다.
클라우드 컴퓨팅에서의 주요 보안 이슈
1) 비 인가된 접근
IT 인프라 운영에서 가장 위협적인 보안 이슈이다.
내부 운영에서 뿐만 아니라, 물리적으로 다양한 기기에서 권한 접근이 허용되는 경우 보안이 더욱 취약해진다.
또한 기업이 퍼블릭 클라우드를 이용할 경우, 기업 내부의 클라우드 운영자나 외부 서비스를 통해 운영하는 것이 가능해지며 다양한 접근 경로가 생기게 된다. 이로 인해 궁극적으로 데이터 손실 및 유출이 발생할 수 있다.
2) 클라우드 애플리케이션의 가시성 문제
퍼블릭 클라우드 내에서 데이터 변형 및 삭제에 대해 검증 방법이 없기 때문에, 데이터 접근 패턴, 결과물 바탕으로 침해를 판단하는 제한적인 방법밖에 존재하지 않는다.
3) API 취약성
클라우드 기반 서비스 개발 시 다양한 AP를 활용하는데, 호출 과정 속에서 다양한 공격이 가능하다.
따라서 승인 및 호출 과정의 암호화를 기본으로 한, 보안 프로세스를 통해 API를 사용해야만 한다.
4) 컴플라이언스 이슈
산업, 기업별 각각 다른 컴플라이언스 요건이 존재한다.
특히나 정부 및 공공기관에서는 이러한 요건에 걸맞는 데이터 등급, 접근 권한 정의 등의 준비가 되어있지 않은 상태에서 보안 문제가 발생할 수 있어 도입하는 과정에서 어려움이 있다. 따라서 클라우드 규정 준수에 따른 적합한 솔루션이 필요하다.
+이 밖에 보안 설정의 잘못된 구성 등으로 데이터 침해 및 사이버 공격이 발생할 수 있다.
클라우드 보안 강화를 위한 방안
클라우드 서비스 제공사가 컴퓨팅, 스토리지, 데이터베이스, 네트워크 등의 인프라 부문 보안을 담당하지만, 데이터, 애플리케이션, 운영체제, 네트워크 및 방화벽 설정 보안은 이용기관 및 기업이 책임을 지고 있는 실정이다.
따라서 이에 대해 적절한 보안 대응방안을 필요로 한다.
다양한 솔루션이 있지만 크게 클라우드 보안형상관리(CWPP)와 클라우드 워크로드보호플랫폼(CSPM)으로 나눌 수 있다.
1. CWPP는 하이브리드, 멀티 클라우드 환경에서 서버 워크로드를 보호하고 가시성 확보 및 공격을 방어하는 것이 주 목적이다.
프로그램이 실행 중에 발생하는 공격으로부터 워크로드를 시전 대응하는 방안으로 주로 여겨진다.
주요 기능으로 시스템 무결성 보호, 접근영역을 세분화하는 마이크로 세그먼트, 메모리 보호, 사용자 모니터링, 호스트 기반 침입 및 멀웨어 방지 등을 탑재하고 있다.
2. CSPM 은 클라우드 서비스 구성 자체의 위험 요소를 평가 및 관리하는 것이 목표이다. 잘못된 보안 구성이나 컴플라이언스 위험을 자동 식별해 경고하고, 데이터 유출 가능성을 줄임으로써 클라우드 환경을 보호한다.
이 밖에 SASE, CASB, CIEM, KSPM 등과 같은 솔루션이 존재한다.
궁극적으로 클라우드 컴퓨팅 자체의 복잡성 및 다양성으로 시스템 취약성을 해결하기 위해서는, 기존 온프레미스 컴퓨팅과는 차별화된 보안 기술 및 정책이 필요하다. 클라우드 서비스를 공급하는 기업과 고객 간 보안 책임 범위에 대한 명확한 구분도 필수적이다.
클라우드 서비스의 형태에 따라 책임 범위가 달라지며, IaaS 가 물리적 보안외에는 고객이 책임을 가지고 있다면 SaaS 에서는 IT 인프라 운영에 대한 대부분의 보안적 책임을 클라우드 공급업체가 가지고 있으므로 더욱 지능화된 솔루션이 요구된다.
국내외 클라우드 관련 정책
- 국내 클라우드 시장
코로나 이후, 금융, 공공, 교육 등의 다양한 조직에서 클라우드로의 전환이 가속화되며, 향후 클라우드 환경의 IT 인프라 사용이 50%를 넘어설 것으로 전망된다. 국내기업은 주로 인프라+서비스 결합형을 구독형으로 제공하는 SaaS 를 기반으로 성장하고 있다. 다만, 공공부문의 클라우드 전환은 제도적, 재정적 지원 부족으로 인해 아직 초기단계에 머물러 있다.
정부는 클라우드컴퓨팅법 제정('15.3) 및 전자금융감독규정 개정('19.1) 등을 발표하고, 금융 시스템에서 클라우드 서비스를 도입할 수 있도록 하는, 금융분야 클라우드 컴퓨팅 서비스 이용 가이드라인을 발표하면서 활용 저변을 확대하기도 했다.
이밖에 과학기술통신부에서도 클라우드 컴퓨팅 기본계획 등을 의결하며, 다소 보수적이던 금융권에서도 클라우드 전환에 대한 열기가 고조되는 상태이다. 현재는 클라우드 서비스가 적용된 금융 시스템이 점차 늘어나는 모습을 볼 수 있다.
- 국외 클라우드 시장
AWS, MS, Google 등이 주로 클라우드 서비스를 공급하고 있으며, 미국, 유럽 등에서는 데이터 경제의 주도권 확보를 위해 클라우드 활성화 정책을 확대하고 있다. 이에 더해 국외 기업들은 이미 자신들의 서비스를 클라우드 형태로 전환 및 제공하고 있으며, 이를 이용해 해당 인프라 기반의 서비스를 개발을 위한 IaaS, PaaS의 수요를 확대하며 성장하는 추세이다.
하이브리드 및 멀티 클라우드는 법적 규정 준수 및 서비스 속도, 가용성 극대화와 같은 이점이 있기 때문에 차세대 통합 클라우드 서비스 환경으로서 주목받고 있다.
+ 국가별 클라우드 관련 정책 내용
미국 - Cloud First 정책에서 Cloud Smart 정책으로 전환, 클라우드 확산을 위해 규정/조달 체계 정비하고 보안규정에 따른 민간 서비스 기반의 공공 서비스 혁신에 주력함
영국 - 디지털 서비스 전문계약 제도를 운영하고, 시장을 통해 공공부문 클라우드 유통 및 활용 촉진 및 Public Cloud First 정책 추진 + 영국의 정보화 예산은 우리나라 2배 규모이며, 공공부문에서 10000개 넘는 SaaS 서비스 이용가능. 디지털 마켓을 통해 약 14조를 넘는 거래 금액이 추산됨(20.9 기준).
EU(유럽연합) - 클라우드를 중점 산업으로 지정 및 데이터 생산/저장/분석/처리 및 공유/교환 기반을 구축하는 GAIA-X 프로젝트 추진 중. 글로벌 기업에 대한 의존도를 줄이고, 데이터 주권 확보를 위해 유럽 내의 클라우드 생태계를 구축하고자 하는 프로젝트의 일환
호주 - 'Secure Cloud' 전략 발표('17) 및 공공 부문 클라우드 전환을 위한 7대 원칙 제시 - 민간 클라우드 우선 활용 촉진
①클라우드 보안 적용 시 위험분석에 기반한 접근, ② 클라우드에 적합하도록 서비스 설계, ③ 퍼블릭 클라우드 서비스가 기본, ④ 클라우드를 최대한 사용, ⑤ 커스터마이징을 지양하고 서비스를 그대로 사용, ⑥ 클라우드 자동화 기술을 최대한 사용, ⑦ 서비스 상태 및 사용을 실시간으로 모니터링
중국 - 2025년까지 디지털 경제 핵심산업을 GDP 10%까지 올리는 것을 목표로,
디지털 전환을 위한 7가지 핵심분야 중 하나로 클라우드 컴퓨팅 선정 및 적극 확산 중
* 국내외 클라우드 시장 비교 분석
국내 기업의 경우, 도입비용, 보안, 성능 불확실성, 서비스모델 정보 부족, 허용 범위 제약 등의 이유로 아직 민간 클라우드 전환이 초기 단계에 머물러 있다. 또한 이를 위해 제도를 개선했으나, 허용 범위의 제약 및 재정전 지원 미흡, 인식 부족등의 이유로 어려움을 겪고 있다.
국외 기업은 클라우드가 보편화 되어 있으며 전세계로 영향력을 확대하고 있다.
주요 기업들이 데이터 센터를 보유하고 있으며, 공격적인 영업을 통해 클라우드 시장 경쟁 구도의 다변화를 일으키는 중이다.
공통으로는 저렴한 도입 비용, 뛰어난 접근성, 신기술 적용의 용이성이 있는 SaaS 중심으로 개편되고 있다.
클라우드 보안 시사점 및 요약
클라우드 컴퓨팅 시대가 도래하면서 보안에 대한 위협 또한 증가할 것으로 예상된다.
클라우드 가상화, 분산 컴퓨팅 기술 등의 복잡성으로 특정 데이터의 저장위치 파악은 현실적으로 어렵고, 이에 정확한 인식이나 통제를 갖지 못하는 상황이다. 따라서, 개인정보 영역 및 책임의 범위를 명확히 정함과 동시에 국내외 보안관련 제도 및 정책을 개선하고, 추가적으로 기술적인 솔루션을 통해 이를 관리하는 방안이 필요하다.
[참고 문헌]
클라우드 산업 현황 및 보안 이슈
01. 개요 기업의 인프라와 데이터가 온프레미스에서 클라우드로 이동하면서 온프레미스와 클라우드 서비스를 융∙복합하거나 다수의 퍼블릭 클라우드를 조합한 하이브리드 클라우
www.igloo.co.kr