?BSG Partners / 한형주 이사
*본 글은 기술적인 관점보다는 보안통합관리와 운영의 편리 위주로 퍼블릭 클라우드 상에서 많이 받아왔던 질문을 바탕으로 보안 개념을 다지는 데에 도움을 드리기 위하여 기술되었습니다.
보안레벨이 높은 정보의 암호화하기
개인정보보호법을 만족시킬 때도, 대외비를 저장할 때도 암호화는 필수 적입니다. 기본적인 암호화는 암호화키를 가지고 데이터가 저장될 때 암호화하여 저장하고, 권한이 있는 자가 접근했을 때 암호화 키로 복호화 된 정보를 전달하여, 보안을 유지하는 형태로 구현이 됩니다.
클라우드에 저장된 정보도 내부 사용자들의 보안레벨에 맞추어 보안관리를 해야 합니다. 각 서비스 시스템의 계정에 대해 SoD 기반의 권한을 배분하고, 권한이 있는 자만 해당정보를 사용하도록 지침을 수립해야 합니다.
유명3사에서 제공하는 암호화 도구를 사용하여, 키를 발급하여 관리할 수 있으며 권한이 있는 자가 접속하여 정보를 볼 때도 반드시 로그를 생성하여 추적이 가능하도록 해야 합니다.
| 클라우드 서비스 제공사 및 서비스명 | 암호화 키 관련 도구 |
| Amazon Web Service | AWS KMS(Key Management Service) |
| Microsoft Azure | Azure Key Vault |
| Google Cloud Platform | Cloud KMS |
[표2. 클라우드 서비스별 암호화 키 관련 도구]
이외 3rd party에서 제공하는 암호화 도구를 사용하여, API호출, OS Kernel 방식의 암호화를 할 수 있으며, 온프라미스와 클라우드 암호화를 동시에 만족시키며 관리하는 하이브리드 형태의 자원을 관리하기 위해서는 클라우드 서비스 제공사의 암호화로 진행할 것인지, 3rd Party의 암호화로 진행할지 통합관리에 대한 고려를 해야 합니다.
보안감사와 보안사고 대비를 위한 보안로그관리
권한부여와 변경 및 계정삭제 정보, 그리고 보안이 필요한 정보에 대한 접근 및 처리 내역에 대한 근거와 해당내역을 로그로 저장하여 대/내외 보안감사시 증거자료로 활 용 할 수 있도록 해야 합니다.
유명3사가 제공하는 서비스는 대부분의 권한관리 내역이 로그로 저장이 되며, 관리의 관건은 온프라미스 자원의 관리와 클라우드의 관리가 이원화된다는 것입니다. 관리포인트의 증가는 업무로드를 증가시키는 요인이 되며 보안관련 문제가 발생되었을 때도 문제의 원인분석시 시간 지연요소가 되기도 합니다. 전산자원을 온프라미스와 클라우드의 하이브리드 조합으로 사용할 경우에는 반드시 관리 포인트를 통일시켜, 통일된 관리에 컨셉을 두고 관리지침을 생성/운영 하도록 유의해야 합니다.
클라우드 서비스 제공사 및 서비스명 | 로그관련 도구 |
| Amazon Web Service | Amazon CloudTrail, Amazon CloudWatch Logs |
| Microsoft Azure | Azure Monitor |
| Google Cloud Platform | Cloud Logging, Cloud Monitor |
[표3. 클라우드 서비스별 로그관련 도구]
로그관리영역도 3rd Party를 사용하여, 하이브리드 형식의 자원을 관리할 수 있도록 구성이 가능합니다. 통합관리를 위해서는 여러 방안을 고려해야 하며, 기업과 기관에 최선의 방안에 대해서는 보안관리자와 인프라관리자들이 협의하여 가장 최선의 방안을 찾아 내도록 긴밀한 협조가 필요합니다.
클라우드의 네트워크 보안관리
클라우드 시스템은 기본적으로 네트워크 설계를 기반으로 자원을 배정하도록 구성되어 있습니다. 네트워크 운영과 서버의 운영을 동시에 해보았던 경험이 필요합니다. 네트워크에 대한 이해가 없다면 기본적으로 클라우드에서 자원을 생성하기에는 많은 보안위협에서 벗어나지 못합니다. 물론 서버 구성에서도 마찬가지입니다.
클라우드 서비스 제공사는 기본적으로 가상의 네트워크 공간과 가상의 서비스 자원 생성을 위한 도구를 제공합니다. 기반공사에 해당하는 네트워크 설정을 모두 가상화 하여 제공되며, 기본적인 네트워크 이론을 바탕으로 OSI Layer 1부터 Layer 4까지 구성이 가능하며, 특정 응용프로그램에 한해서는 Layer 7까지도 통제 기능이 제공이 됩니다.
무엇보다도 네트워크 보안하면 가장 먼저 떠오른 것이 네트워크 방화벽입니다. 최근UTM (Unified Threat Management)으로 명칭하고 기본적인 Firewall 기능에 IPS/IDS기능을 첨부하고 Virus 검색, 그리고 기타 추가적인 네트워크 보안요소와 어플리케이션 레벨의 보안까지 지원하는 서비스를 단 하나의 보안장비로 서비스를 운영합니다. 클라우드로 전환을 하면서 유명3사에서 제공하는 서비스는 ?UTM과 비교했을 때 동등까지는 아니더라 비슷한 수준의 서비스를 제공합니다.
| 클라우드 서비스 제공사 및 서비스명 | 방화벽 관련 도구 |
| Amazon Web Service | Amazon Shield, AWS WAF, AWS Firewall Manager |
| Microsoft Azure | Azure Firewall, Azure WAF |
| Google Cloud Platform | GCP Firewall, Google Cloud Armor/ WAF |
[표4. 클라우드 서비스별 방화벽 관련 도구]
기존에 온프라미스에서 운영하던 UTM 장비의 벤더사가 제공하는 이미지를 통해 클라우드에서도 서비스가 가능할 수 있으며, 유명 벤더의 UTM 장비라면 더더욱 서비스 가능성이 높습니다. ?현 네트워크 보안운영이 통합되어 운영하기 위해서는 현재 사용중인 보안장비의 벤더와 같은 제품의 방화벽을 클라우드에도 동일하게 구성하면 보다 효율적인 통합 보안 운영이 가능해집니다.
네트워크 보안은 정책생성과 기술적 적용도 중요하지만, 24시간 모니터링 서비스가 비지니스의 연속성을 지켜내는 가장 중요한 요소로 작용됩니다. 내부에 24시간 관리 감독이 가능한 부서나 팀을 운영하면 큰 문제가 없지만, 그렇지 않은 경우에는 국내외 네트워크 관련 모니터링 제공사와 협력을 하여 진행하는 것이 좋습니다. 내부관리자가 몇 명이서 24시간 모니터링을 할 수는 없기 때문에, 반드시 네트워크 관리에 대한 정책과 서비스 구성은 충분한 인력 검토를 통해 정의하고 진행되어야 합니다.
클라우드의 서버자원 암호화 방안
우선 클라우드 자원 중 어떤 것을 암호화해야 하는지 대상을 선정해야 합니다.
대상이 클라우드에서 운영되는 가상화 서버인 경우, 서버를 생성할 때 지원되는 OS Kernel 에서 스토리지를 암호화 하는 방식도 고려 할 수 있습니다. 이는 기본적으로 암/복호화 속도가 사용자가 체감하지 못할 정도로 암/복호화 성능에 이점 있습니다.
| 클라우드 서비스 제공사 및 서비스명 | OS Kernel 암호화 관련 도구 |
| Amazon Web Service | Amazon EBS Encryption Option |
| Microsoft Azure | Azure Disk Encryption |
| Google Cloud Platform | Compute Engine |
[표5. 클라우드 서비스의 OS Kernel 암호화 관련도구]
클라우드에 생성된 자원의 데이터를 암호화 하기 위해서는 각 클라우드 서비스 제공사에서 지원하는 KMS 기반으로 암호화 키를 생성하여 관리 해야 합니다.
온프라미스 시스템은 OS Kernel 레벨의 암호화 도구들이 3rd party에서 제공하고 있습니다. 하이브리드 환경이라면 암호화 통합관리를 위해 기존 사용하던 도구가 클라우드에서 작동되는지 확인 후에 동일한 도구를 활용하는 것이 관리적인 측면에서 유리합니다.
클라우드의 데이터베이스 암호화 방안
각 클라우드 서비스 제공사가 완전체로 서비스하는 데이터 베이스는 자체적인 암호화 옵션이 있기 때문에 옵션에서 Enable 하면 바로 적용이 가능한 데이터 베이스도 있습니다. 하지만 한국의 API 호출 방식의 암/복호화에 익숙한 분들에게는 그것이 정말 암호화로서의 효용성이 있느냐 라는 의문을 가질 수도 있습니다. 그런 분들을 위해서 API 호출 방식의 개발을 위한 클라우드의 편의적인 도구가 제공되고 있습니다. 앞서 말씀드린 ‘표.2의 클라우드 서비스별 암호화 키 관련도구’에서 KMS를 활용하여, 키를 생성하고 해당키를 개발 시 API 호출로 사용할 수 있으며, 사용내역을 로그로 저장합니다. 이때 반드시 클라우드 서비스 제공사의 KMS를 사용할 필요는 없습니다. 국내 유명한 보안제품을 가지고 API호출을 하여 암/복호화도 가능하기 때문입니다. 하지만 반드시 잊지 말아야 할 것은 통합보안환경을 구축하여 업무로드나 업무의 복잡성이 늘어나는 방향은 삼가야 한다는 점입니다.
글을 마치며
퍼블릭 클라우드의 정보보안은 이제 시작입니다. 각 클라우드 서비스 제공사간 표준화된 네트워크와 자원 그리고 서비스 통일이 이루어 질 수 없고, 만약 멀티 클라우드로 서비스를 받아야 하는 상황이면, 정말이지 많은 관리포인트와 업무로드의 중압감을 느껴야 할 것입니다. 보안환경은 보안담당자의 업무로드가 클라우드에만 몇 개월을 쏟아야 할 정도입니다.
하지만 언제나 잊지 말아야 할 것은 각 보안요소별 생성되는 관리포인트를 줄이고 보안통합관리를 할 수 있는 방향으로 구상 또 구상해야 한다는 것입니다. 그 점을 마지막으로 강조하고 싶습니다.
저작권정책
K-ICT 클라우드혁신센터의 저작물인 『퍼블릭 클라우드, 고려해야 할 정보보안 요소 2부』는 K-ICT 클라우드혁신센터에서 BSG Partners 한형주 이사에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.