25. 퍼블릭 클라우드 보안요소 1부


 

?BSG Partners / 한형주 이사


 

*본 글은 기술적인 관점보다는 보안통합관리와 운영의 편리 위주로 퍼블릭 클라우드 상에서 많이 받아왔던 질문을 바탕으로 보안 개념을 다지는 데에 도움을 드리기 위하여 기술되었습니다.

 

 

세상이 변해가고 있습니다. 정보시스템의 인프라는 대용량을 정보를 운영하기 위해 물리적으로 커다란 사이즈의 데이터 센터를 운영하던 시기에서 거듭 발전하여 사용자가 원하시는 시기에 원하는 성능과 원하는 저장소 크기를 예상하고 간편하게 손가락을 이용해 몇 번의 입력 값으로 정보시스템 자원을 생성하여 사용하는 시대가 되었습니다.

현시대의 클라우드 기반으로 정보시스템을 운영하는 기업과 기관의 시스템을 농장에 비유한다면, 논/밭/축사를 관리하는 주 업무 이외에 발생되는 여러 잡무를 하지 않고, 결과물인 농산물과 육류를 얻어 낼 수 있는 시기가 온 것입니다. 관리/운영자에게는 확연하게 드러나는 심플함을 강조해도 모자라지만 보안관리의 측면에서 바라본다면 클라우드라는 관리항목이 하나 더 늘어난 것이므로 관리포인트가 늘어났다고 볼 수도 있습니다.

우선 우리가 지켜내고 싶은 정보자산들 중, 법적 테두리안에서 기본적으로 지켜 내야하는 하는 정보 그리고 사업체와 기관에서 반드시 사용해야 하는 민감/기밀 정보들이 있습니다. 여러분들도 잘 알다시피 개인정보가 그렇고 기업과 기관의 대외비 정보가 그렇습니다.

이러한 보안유지가 필요한 정보자산들이 클라우드로 전환하여 운영되다 보니, 기존의 온프라미스 환경에서 보안을 유지하던 방법 그대로 클라우드에 적용되어 보안환경을 갖추는 상황도 있는 반면에, 기존 보안체계로 적용하지 못해 새로운 방법으로 구상해야 정보가 지켜질 수 상황도 계속적으로 연출되다 보니 보안관리의 측면에서는 다소 혼동이 빚어지는 것이 현재의 정보보안 체계 대응의 현 주소입니다.

정보기술이란 것은 사람과 환경에 따라 발전하고 개발되며 활용하는것과 같이, 클라우드라는 환경으로 변화하였기 때문에 당연히 이러한 환경 변수를 정보시스템에 반영 시 고려해야 합니다. 앞에서 말한 정보보안 기술을 적용함에 혼동을 일으키는 원인도 정보기술의 환경 변화 때문이라는 이유에서입니다.

보안 환경이란 것이 클라우드로 전환된다고 해서 원리 원칙까지 변동되는 것이 아니기에, 전통적인 보안요소를 기준으로 점검해보아야 합니다.

 




 

클라우드 사업자 선정 시 확인해야 하는 보안 인증

 

우선, 클라우드 사업자 선정 시 클라우드 보안에 대해 체계적인 서비스를 제공하는 클라우드 서비스 사업자를 선택하여야 합니다. 글로벌 보안인증을 이미 보유한 유명 3사(AWS, MS Azure, GCP)를 제외하고 국내 클라우드 사업자는 KISA에서 발급받은 클라우드 서비스 보안 인증서를 받았는지 확인하는 것이 좋습니다. SaaS는 78개의 통제항목, IaaS는 114개의 통제항목을 준수해야 합니다. 보안인증 시 기본적으로 ISMS와 ITSM의 관련된 항목들을 모두 만족해야 발급이 되기 때문에 가장 기본적인 보안/운영 요건을 만족한다는 ‘클라우드 서비스 보안 인증서’의 여부를 반드시 확인해야 합니다.

참고: KISA 클라우드 서비스 보안인증 현황 (URL: https://isms.kisa.or.kr/main/csap/issue/?certificationMode=list)

기본적인 보안 요건을 만족시키는 클라우드 제공사의 서비스의 선택이 좁혀졌다면, 기업과 기관의 클라우드 사용에 대한 보안요건을 충족시켜야 할 차례입니다.

 




 

클라우드의 보안 요건 충족시키기

 

보안의 3요소는 ‘기밀성, 무결성, 가용성’ 입니다. 정보가 기밀을 유지하도록 암호화하고, 중간에 변조되거나 파괴되지 말아야 하며, 권한이 있는 사람들이 안전하게 사용하도록 하는 기본요소의 개념입니다. 개인정보보호법이 발효되고 난 이후, 우리 모두가 매우 잘 아는 보안관리의 기본적인 세가지 요소가 있습니다. 관리적, 기술적, 물리적 요소가 그것입니다. 이 세 가지 보안관리 요소를 기반으로 클라우드에 적용하려 한다면 어떻게 적용할 수 되는지 간략히 살펴보도록 하겠습니다.

관리적인 보안은 법적인 규제와 기업이나 기관이 따라야 할 규정을 준수하고 내부적인 보안 조직과 기본적인 보안의 틀을 잡기위한 가장 기초적이고 체계적인 보안의 영역입니다. 이를 클라우드에 적용하는 기법은 기존 온프라미스와 다를 것이 없습니다. 단지 정보자원이 퍼블릭 클라우드에 올라간다는 것 뿐입니다. 하지만, 금융기관과 정부기관은 퍼블릭 클라우드에 저장하면 안 되는 정보가 정의되어 있습니다. 관련회사/기관은 정의된 정보가 클라우드에 저장이 가능한지, 가능하지 않은지에 대해 사전에 검토를 해야 합니다.

기술적인 보안은 사람이 수기로 검사할 수 있는 항목이 아닌 정보시스템상에서 발생되는 정보의 생성/사용/변경/파기와 정보의 흐름에 대해 통제하고 로그를 남겨 해당 정보가 올바르게 사용할 수 있도록 기술적으로 구현을 하는 부분입니다. 기술적인 구현의 경우에는 대부분의 기업과 기관이 모든 데이터를 클라우드에 한꺼번에 다 올릴 가능성이 높지 않습니다. 온프라미스와 클라우드를 동시에 사용하는 하이브리드 운영체계로 전개될 것이기 때문입니다. 이때 보안관리자와 전산관리자는 통합운영에 중점을 두어야 합니다. 클라우드를 사용한다고 해서 클라우드 전문가를 추가로 고용한다면 걱정 없는 클라우드 운영이 되겠지만, 그렇지 않은 경우를 위한 대비가 필요하고 최대한 현재의 업무부하에 추가적인 업무 부하를 주어야 하는 상황은 발생되지 않아야 하기 때문입니다.

물리적인 보안은 클라우드 환경에서는 직접적으로 만질 수 없는 정보자원에 대해 접근하는 사용자에 대한 사용장비의 통제와 지리적인 위치의 네트워크를 접근 통제하는 방안입니다. 클라우드를 사용하게 된다면 클라우드 서비스 사업자들은 그들의 데이터 센터를 공개를 공식적으로 하지 않습니다. 그렇기 때문에 물리적인 보안에 대한 손은 덜 수 있습니다. 하지만 보안과는 약간 거리가 있습니다만, 클라우드상 서비스 자원을 운영하면, 기본적으로 ISP (Internet Service Provider) 를 최소 2개 이상 구성하여 ?한 개의 ISP에 문제가 발생되어도 업무의 연속성을 보장하는 방안으로 인프라를 구상해야 합니다. 이처럼 클라우드에서 서비스 받는 자원이 보안과 서비스상 문제가 발생되지 않도록 각 기업과 기관에서는 발생가능한 물리적 상황에 대해 검토가 필요합니다.

기존에 알던 개념과는 다르다고 생각하실 수 있습니다. 이 글은 교과서도 개념서도 아닌,? 클라우드에 대해 한번 더 생각하실 수 있도록 시간을 가졌으면 하는 바람에 약간의 변형을 주었습니다.

이제는 정보자산과 클라우드에 대해 생각해 볼 시간입니다.

생산되고 보관되는 정보자산을 클라우드에 적용할 때는 어떻게 관리, 감독이 될 수 있는지 정보자산의 보안 레벨 별 차등관리를 위해 온프라미스와 클라우드에 저장할 정보를 개인정보, 대외비, 일반정보 등으로 속성별 구분해야 하며, 해당정보의 권한설정 그리고 접근에 대한 통제 및 로그를 기록하여 관리할 수 있도록 정책을 수립해야 합니다

 




 

직무에 따른 권한 부여

 

기존의 온프라미스 환경을 운영할 때 권한에 따라 계정을 접근하도록 정의하기 위해, HR의 도움을 받아 각 업무담당자의 SoD (Segregation of Duty: 직무분석)의 정의이후 업무에 따라 사용자의 보안레벨을 책정하고 해당 보안레벨을 도식화하고 운영중인 서비스 시스템의 적절한 권한을 부여하여 보안 운영을 하는 것처럼, 클라우드상 에서도 동일한 프로세스로 진행하여 사용자에게 알맞은 권한을 부여해야 합니다.
클라우드 서비스 제공사 서비스명권한부여 제공도구
Amazon Web ServiceAWS IAM
Microsoft AzureAzure RBAC, IAM, Azure Active Directory
Google Cloud PlatformIAM

[표1. 클라우드 서비스별 권한부여 제공도구]


 

권한을 부여할 때 사내 또는 관내의 보안/권한관리 담당자가 진행한다면 최선의 보안관리를 진행할 수 있지만, 클라우드에 대한 운영의 이해가 부족하여 클라우드 파트너사와 긴밀한 협조로 진행해야 하는 경우도 발생될 수 있습니다. 이때는 반드시 서로에 대한 보안협약서 및 보안서약서를 작성하고 해당 업무에 대해 문제가 보안적 이슈가 오해로 인해 사전에 발생되지 않도록 사전에 조치를 취해야 합니다.

 




 

관리계정의 정책과 예외처리

 

권한 관리 중, 특히 서버계정의 관리 시 Administrator나 root 계정은 되도록 사용하지 않도록 하며, 특정 Platform에서는 반드시 필요한 경우가 있으므로, 유연한 계정관리 정책으로 서비스 운영에 지장에 없도록 해야 하며, 시스템 또는 보안관리자에게 각시스템과 Platform의 특징을 사전에 분석하여 계정권한에 대해 사전 분석을 하여 사내 또는 관내의 서비스 운영에 적절한 보안운영체계를 수립해야 합니다. 예를 들자면, ERP 시스템의 Platform이 root 계정을 사용해야 하는 경우 사용자들이 연결된 사내에서 운영이 되는 네트워크와 ERP가 운영되는 클라우드의 네트워크를 ?VPN을 통해 내부망에서만 연결하도록 설정하면 폐쇄 네트워크처럼 운영할 수 있습니다. 이때는 ERP 사용에 대한 지침을 사내에서만 가능하도록 지침을 내리고, 외부에서 사용해야 하는 사용자에 한해서는 VPN Connection을 위한 VPN 계정을 배당하고 접속로그를 관리하면 보안관리를 해결할 수 있는 좋은 방안이 될 것입니다.

또한, 최근 3rd party 도구를 활용하여, 온프라미스와 클라우드 자원의 서버 계정관리를 보다 쉽게 운영할 수도 있습니다. 기존 서버의 보안운영지침을 온프라미스와 클라우드 모두 지원이 가능하므로 계정관리 정책을 보다 편리하게 적용시킬 수 있으며, 통합관리가 가능하므로 내부 관리 인력의 업무효율 보장합니다

 






저작권정책

K-ICT 클라우드혁신센터의 저작물인 『퍼블릭 클라우드, 고려해야 할 정보보안 요소 1부』는 K-ICT 클라우드혁신센터에서 BSG Partners 한형주 이사에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.