[디지털데일리 심재석기자] “클라우드 환경이라고 해서 기존의 보안 이슈와 다른 것은 없습니다. 그러나 클라우드 환경을 도입하기 위해서는 기존의 보안 환경을 클라우드라는 새로운 생태계에 맞게 조금씩 변경해야 합니다.”

SK인포섹 문병기 이사는 25일 서울 JW메리어트호텔에서 <디지털데일리> 주최로 열린‘제8회 차세대 기업보안 세미나&전시회 NES 2013’에서 이같이 말했다.

문 이사는 클라우드 환경의 보안 위협에 대해 ▲가상화 취약점 상속 ▲비 인가자 무단 접속 ▲(클라우드 업체의) 내부정보 유출 ▲서비스 장애 ▲다양한 단말을 통한 정보 유출 ▲분산처리로 인한 보안 어려움 ▲법규 및 규제 등이 있다고 설명했다.

문 이사는 이와 같은 위협을 해소하려면 관리적 측면 및 기술적 측면에서 모두 대응해야 한다고 밝혔다.

우선 관리적 측면에서는 클라우드 환경에 맞는 정보보호 전략을 수립해야 하다고 문 이사는 말했다. 클라우드 서비스 이용주체를 세분화해 각 주체별 역할, 의무 등에 대한 정책을 세워야 한다는 것이다.

IT자산을 분류하고 통제하는 것도 중요하다고 문 이사는 말했다. 클라우드 서비스 제공자에 따라 보안 관리 책임이 다르기 때문에 논리적 자산을 세부적으로 분류해야 한다. 이 외에 서비스 연속성을 위해 대책도 필요하며, 보안 사고시 책임을 명확하게 할 수 있는 정책도 필요하다고 문 이사는 설명했다.

기술적 측면에서 문 이사는 가상화 환경에 대한 대책이 필요하다고 말했다. 가상화 시스템에서는 악성코드 감염이 확산될 수 있고, 물리 자원의 동적 재배치 과정에서 발생하는 데이터 손실 등에 대한 대책이 필요하다는 것이다.

또 사용자 인증 및 접근 제어 기술 도입의 중요성도 역설했다. 원격 접속관리 및 제한, 계정분할 및 권한 최소화, 사용자 세션관리 등 비 인가자 접근차단을 위한 권한인증 관리체계가 필요하다고 문 이사는 설명했다.

이용자 데이터의 암호화 및 주기적 이용자 데이터 백업도 필요하며, 지속적으로 분산된 다수의 데이터 서버에 대한 대응이 필수적이고, 데이터센터를 특별한 보호가 필요한 보호대상으로 관리해야 한다고 문 이사는 말했다.

<심재석 기자>sjs@ddaily.co.kr