[구독경제2019] '책임공유' 클라우드 보안, 이것만은 알아야
[디지털데일리 홍하나기자] 클라우드 보안사고가 끊이질 않고 있다. 최근 미국 금융사 캐피탈원은 해킹사고로 1억명 이상의 고객 개인정보가 유출됐다. 해커는 캐피탈원이 사용하는 아마존웹서비스(AWS) 서버에 침투해 공격을 감행했다. 당시 분석을 마친 AWS가 클라우드 서비스 자체 문제가 아닌 ‘방화벽 설정 실수’로 비롯된 사건이라고 밝히면서, 클라우드 보안사고 책임 소재가 새로운 보안 이슈로 떠오르고 있다.
강동완 한국인터넷진흥원(KISA) 책임연구원<사진>은 24일 <디지털데일리> 주최로 명동 전국은행연합회에서 열린 ‘구독형 업무혁신의 미래, 리워크 전략-SaaS 2019' 컨퍼런스에서 “많은 사람들이 클라우드 서비스에 대해 안전하다는 인식이 있다”며 “하지만 다양한 위협이 있으며, 보안 사고가 날 경우 그 책임은 공유된다”고 전했다.
기업들이 많이 사용하는 서비스형 소프트웨어(SaaS) 환경에서 보안 역할과 책임은 제공자와 이용자 각각 다르다. SaaS 서비스 제공자는 클라우드 서비스 플랫폼 보안관리, 모니터링, 사고 대응을 해야 한다. 응용 프로그램의 보안패치나 시스템 보안관리, 데이터 가시성 확보를 위한 인터페이스도 서비스 제공자 몫이다.
이용자는 클라우드 서비스의 안전성을 먼저 확인해야 한다. 보안관리에 대한 책임을 인지해야 하며, 국내외 법규 준수 등을 확인해야 한다. 무엇보다 클라우드 서비스의 안전한 사용을 위해서는 세심한 관리가 필요하다. 기업들은 언제 어떻게 일어날지 모르는 보안사고, 환경사고에 대비해야 한다.
강 연구원은 기본적인 클라우드 서비스 사용방법을 소개했다. 가장 먼저 데이터 가시성을 확보해야 한다. 데이터 중요도, 보안 요구사항, 우선순위를 식별해야 하고, 중요도에 따라 모니터링 수준을 확인해야 한다. 클라우드 서비스 장애 발생에 대비해, 백업 대책도 마련해야 한다. SLA, 멀티 클라우드 등을 고려할 수 있다. 또 인증, 권한, 계정관리 등 관리 체계를 개정해야 한다. 국내 망법이나 개인정보보호법 등 국가 법령도 준수해야 한다.
클라우드 서비스 이용자의 법적 권리도 잊지 말아야 할 사항이다. ‘클라우드 컴퓨팅 발전 및 보호에 관한 법률’에 따르면, 클라우드 서비스 이용자는 클라우드 서비스 침해사고 발생 시, 통지받을 권리가 있다. 이용자 정보 유출 발생 시에도 통지받아야 한다.
또 서비스 중단 발생시, 이를 통지받아야 한다. 이용자 정보 저장국가를 확인 요청할 수 있으며, 해당 정보의 반환을 요구할 수 있어야 한다.
한편, 강 연구원은 “가트너 조사 결과에 따르면, 대부분 클라우드 보안 문제는 이용자 관리 부주의에서 온다. 2025년까지 99%의 보안 문제는 이용자 실수에서 비롯될 것”이라며 이용자 차원에서의 보안의식을 강조했다.
<홍하나 기자>hhn0626@ddaily.co.kr
뒤숭숭한 정국에도 매서운 이복현… "금융지주사 검사 결과 발표, 원칙대로 '매운맛' 유지"
2024-12-20 17:36:50[DD퇴근길] 우티, 티맵 손 떼고 우버 단독체제…넷플릭스에 올라탄 SBS
2024-12-20 17:11:09[2024 IT혁신상품] 실효성과 안정성 갖춘 제로트러스트 솔루션 'SGA ZTA'
2024-12-20 17:10:54