- [기획/클라우드 강국④]

- 보안과 신뢰성 확보가 중요, 국내 클라우드 보안기술 연구개발 관련 활동은 미흡

[디지털데일리 이유지기자] IBM 비즈니스가치연구소(IBV)가 지난해 진행한 ‘2010 글로벌 리스크 서베이(Global Risk Survey)’ 결과, 전세계 기업의 IT관리자와 CIO(최고정보책임자)들은 소셜 네트워킹, 모바일 플랫폼과 함께 클라우드 컴퓨팅 보안 문제를 가장 우려하고 있는 것으로 나타났다.  

조사 응답자 중 77%는 클라우드 컴퓨팅 보안 문제와 관련해 “위험하다”고 답했고, 이중 다수는 데이터 보호와 개인정보보호 문제가 우려된다고 꼽았다.

클라우드 컴퓨팅과 관련된 각종 조사결과를 살펴보면, 많은 기업·개인 사용자들이 보안 문제를 크게 걱정하고 있는 것을 알 수 있다. 현재 보안은 가장 큰 클라우드 컴퓨팅 도입 장애물이다. 동시에 잘만 이뤄진다면 촉진제가 될 수도 있다.

언제, 어디서나 필요한 IT자원을 서비스 형태로 제공받을 수 있어 비용 및 시간 절감, 생산성 향상 등과 같은 이점을 제공하지만, 서비스제공자들이 구축·운영·관리하는 각종 IT자원을 빌려 쓰는 클라우드 컴퓨팅의 특성은 보안상의 우려 낳고 있다.

사업자 오남용이나 해킹 등 사이버공격에 의한 정보 유출·손실 우려뿐 아니라 서비스 안정성과 가용성 문제 등도 모두 보안과 연관돼 있는 문제들이다.

특히, 내가 직접 운영·통제하지 않는 인프라 안에서 업무를 처리하고 중요정보를 전송·저장하게 되므로, 사용자들은 대표적으로 정보유출이나 개인정보보호 문제에 민감할 수밖에 없다.

때문에 자신의 정보자산 보호나 안정적인 시스템 운영이 보장되고 있다는 신뢰를 이용자들로부터 확보하지 못하면 클라우드 컴퓨팅 서비스는 활성화되기 어려운 것이 사실이다.

따라서 우리나라에서 클라우드 컴퓨팅 서비스에 대한 불안감을 없애려면 ‘보안’ 과제가 반드시 해결돼야 한다.

이에 관해 한국마이크로소프트 김재우 개발자 및 플랫폼 총괄 플랫폼전략자문은 “클라우드 보안의 본질적인 고민은 누군가에게 내 정보자산을 맡긴다는 것에 있다”며 “예전에 집안 금고에 각자 돈을 보관하다 은행이 처음 생겼을 때 다들 믿고 맡기지 않으려 했지만 이제는 더 안전하게 생각하게 됐듯이 클라우드 서비스도 신뢰성과 보안을 확보해야만 활성화될 수 있다”고 말했다.

하지만 국내에서는 아직까지 클라우드 컴퓨팅 보안에 대한 준비가 상당히 미흡한 것이 사실이다. 법제도나 다양한 서비스 부재 등 클라우드 컴퓨팅 이용기반 자체가 해외보다 많이 뒤쳐져 있는 탓이 크지만, 이용자들이 보안 신뢰성을 가질 수 있는 기반환경이 조성돼 있지 않고 있고 연구활동도 폭넓게 이뤄지지 못하고 있다.

◆가상화 보안 위협, 기술 연구개발 필요=네트워크 기반의 물리적인 컴퓨팅 자원을 가상화해 여러 조직과 사람이 외부 사업자로부터 원하는만큼 임대해 쓰는 클라우드 서비스의 특성은 정보 유출이나 악성코드 감염 등에 대한 불안감을 높이고 있다.

이에 따라 클라우드 컴퓨팅 서비스에서의 기밀성, 무결성, 가용성과 같은 정보보안 요소를 모두 충족할 있는 보안 대책이 필요하다고 관련업계와 전문가들은 지적한다.

그 중에서도 클라우드 컴퓨팅 환경의 특성은 내 정보자산이 철저하게 보호하고 적절하게 허용된 사람만 접근해 사용할 수 있도록 통제하는 보안 기술이 중요하게 부각된다. 사용자 인증·암호화, 계정·권한관리(IAM), 보안감사 및 로그·이벤트관리 기술 등이다.

이같은 기술은 보안성뿐만 아니라 사용자 편의성, 기존 환경과의 연동 방안, 호환성 등이 반드시 함께 제공돼야 한다고 강조되고 있다.   

무엇보다 클라우드 컴퓨팅 보안을 위해선 가상화 환경을 지원하는 보안 요소가 반드시 필요하다. 가상화 보안을 제외하고는 대부분 물리적 환경에서의 보안 요구사항이 동일하다.

클라우드 컴퓨팅의 핵심인 가상화 환경은 여러 기업이나 조직이 IT자원을 공유해 사용할 수 있도록 제공한다는 점에서 보안위협에 노출될 수 있는 위험성을 내재하고 있다고 지적된다.
한 대의 물리적 서버, 소프트웨어에서 여러 사용자 서비스를 제공하는 ‘멀티태넌시(Multi-Tenancy)’ 아키텍처가 가장 대표적이다.

관련업계와 전문가 분석에 따르면, 이같은 가상화 기술은 많은 시스템을 서로 연결하기 때문에 다양한 공격루트가 존재할 수 있고 가상머신간(VM) 통신으로 인해 특정 VM 감염시 그 위험이 확산될 수 있다. 그 중에서도 호스트 서버에서 생성, 운영되는 다양한 가상머신(VM)을 구동시키고 통합관리하는 하이퍼바이저가 악의적인 해커의 주공격 대상이 될 것이란 예측이다.

한 사용자가 다른 사용자의 VM에 접근할 수 있을지 모른다는 위험성도 많이 지적됐다.

또한 분산데이터관리, 분산파일관리 시스템으로 인한 위험성과 함께 클라우드 플랫폼 간에 암호화 되지 않는 데이터 이동시 보안정책이나 법적 규제가 서로 달라 정보가 유출될 가능성 등도 제기된다.

이같은 위험에 대비하기 위해 IBM, HP, CA, 시만텍, 주니퍼네트웍스, 트렌드마이크로 등 많은 IT·보안업체들은 가상화 환경을 지원하는 안티바이러스(백신), 방화벽, 침입방지시스템(IPS), 통합보안제품, 데이터유출방지(DLP) 등 가상버전 보안 제품을 활발하게 선보이고 있다.

그러나 아직까지 시장에는 국내 업체가 출시한 가상화 지원 클라우드 보안 솔루션이나 VM웨어, 시트릭스 등 해외 대표 가상화 솔루션 업체들과의 협력 사례는 찾아보기 힘들다.  

◆정부, 클라우드 보안 가이드 만들고 연구개발 시작=보안업계나 학계 등 민간 영역에서 클라우드 컴퓨팅의 핵심 기술인 ‘가상화’와 관련한 보안기술 개발이나 위협 연구 활동 등이 크게 미흡한 실정이다.

민간이나 정부·공공 영역에서 모두 클라우드 서비스 보안을 위해서 사업자들과 이용자들이 무엇을 고려하고 요구해야 하는지 참조할 수 있는 국내 환경에 적합한 보안 가이드라인도 없다.

현재 정부통합전산센터가 클라우드 컴퓨팅 도입을 적극 추진하고 있지만 적절한 가상화 보안 솔루션을 제공할 수 있는 국내 업체들은 전무하다시피 한 실정이다.

또한 KT, SKT 등 통신사업자들과 IT서비스업체들이 클라우드 컴퓨팅 서비스를 잇달아 선보이고 있음에도 이용자들이 인지해야 할 클라우드 컴퓨팅 환경에서의 보안위협은 무엇이고 고려해야 할 보안요소와 대책은 무엇인지 알 수 없다.

때문에 클라우드 서비스에서 발생할 수 있는 다양한 보안위협과 핵심 보안요구사항을 도출하고, 해외 클라우드컴퓨팅보안연합(CSA) 등 해외 클라우드컴퓨팅관련단체나 보안기구, 기업에서 발표한 보안지침과 가이드라인, 모범사례 등을 분석해 국내 환경에 맞는 가이드라인이 필요하다고 지적되고 있다.

이같은 요구에 따라 방송통신위원회와 한국인터넷진흥원(KISA)은 지난해 스마트그리드, 미래인터넷 등 융합형 신규 IT서비스의 보안위협에 대한 대응방안 마련을 위해 발족한 ‘미래융합 IT서비스 보안 연구회’의 클라우드 분과를 운영해 클라우드 컴퓨팅 보안위협 요소 도출과 보안전략 수립방안 등을 논의했다.

그 일환으로 KISA는 클라우드 서비스 보안관리 가이드라인 마련 과제도 진행해, 서비스 제공자와 이용자들이 참고, 활용할 수 있는 클라우드 서비스 정보보호 안내서(가칭) 초안도 만들었다.

이 안내서에는 클라우드 서비스에서 발생할 수 있는 다양한 보안위협과 이를 막기 위한 기술·관리적 대책, 법적 고려사항과 이용자 측면의 클라우드 서비스 사용 보안수칙 등이 담겨있다.  

이 사업을 추진 중인 KISA 인터넷침해대응센터의 정현철 침해예방단 연구개발팀장은 “작년에 마련한 클라우드 정보보호 안내서 초안에 대한 보완작업을 하고 있고, 오는 7월 발간을 목표로 하고 있다”며, “사업자들이 실제로 안내서를 참고해 서비스에 반영할 수 있도록 하기 위해 사업자들의 의견을 많이 받고 있다”고 설명했다.

이와 함께 KISA는 방통위의 R&D 국책과제 중 하나로 지난 3월부터 ‘모바일 클라우드 통합 인증 및 권한관리 기술 개발 사업’을 시작했다. 3년 과제로 오는 2013년 2월 최종 결과가 도출될 이 사업으로 모바일까지 확장된 클라우드 환경에서 필요한 통합 인증 및 권한관리 기술이 개발될 예정이어서 주목된다.

이 사업에는 클라우드 서비스 플랫폼 제공업체인 이노그리드, 보안업체인 루멘소프트, 클라우드서비스협회가 참여하고 있다. 이들 업체는 이번 국가 연구개발과제에 참여해 국내 업체로는 발빠르게 클라우드 서비스에서 필요한 보안 기술을 개발할 수 있게 됐다.

최근 민간에서도 비슷한 클라우드 보안 관련 활동이 시작됐다.

전세계 클라우드 보안 대표 단체인 클라우드보안연합(Cloud Security Alliance, CSA)의 한국지부가 지난달 공식 발족한 것. 소프트포럼이 주축이 돼 구성된 CSA 한국지부에는 계열사인 한글과컴퓨터, 언스트앤영 한영회계법인, 서울여자대학교 클라우드컴퓨팅연구센터, 중앙대학교가 임원사로 참여했다.

회원사는 A3시큐리티, DS멘토링, 닉스테크, 더존정보보호서비스, 루멘소프트, 삼양데이타시스템, 윈스테크넷, 이글루시큐리티, 인크로스, 지란지교소프트로 구성됐다.

발족한 지 한달 남짓돼 아직까지 활동이 크게 두드러지고 있지 않지만, 회원사들은 앞으로 CSA가 제정·연구하는 클라우드 보안 가이드라인과 사례 등 관련정보를 습득, 교류할 수 있게 될 것으로 기대하고 있다.

회원사로 참여한 한 보안업체는 “아직 자체적으로 클라우드 보안 기술개발은 진행하지 못하고 있지만 클라우드 컴퓨팅 기술 동향과 보안위협, 해외의 보안지침과 표준화 정보 등을 잘 알고 대응하는 것이 중요하다고 판단하고 있다”며, CSA 한국지부 참여 배경을 밝혔다.

<이유지 기자> yjlee@ddaily.co.kr