클라우드 보안과 책임공유모델


한국클라우드산업협회 / 민영기 사무국장


사티아 나델라 MS CEO는 ‘앞으로 펼쳐질 미래에는 데이터와 디지털 기술이 새로운 생산요소가 될 것이다.’라고 강조하였다. 즉 데이터가 곧 매출이 되고 핵심경쟁력이 되는 데이터 경제가 활짝 열리고 있으며, 데이터는 클라우드·IoT·블록체인 등 4차 산업혁명의 핵심 인프라 위에서 AI를 만나 진화하고 있다.

 

이처럼 데이터 경제 시대에 있어서 클라우드가 데이터를 담는 그릇으로써 주목을 받고 있지만, 아직도 우리는 클라우드 보안에 대해 우려하고 어려워한다. 베스핀글로벌의 최근 조사에서도 클라우드 도입 시 애로사항으로 보안에 대한 우려가 47.0%로 가장 우려하는 애로사항으로 조사되었으며, 특히 중견·중소기업일수록 54.4%로 대기업 대비 더 큰 어려움을 겪고 있다.

 

클라우드를 더 잘 이해하고 장점을 최대한 활용하기 위해서는 클라우드 보안에서의 책임공유모델을 제대로 이해하고 클라우드 서비스 제공자와 이용자가 함께 노력해야 한다. 여기서는 클라우드 보안의 책임공유모델에 대해서 살펴보고 이용자 관점에서 유의해야 할 점에 대해서 제언하고자 한다.



책임공유모델이란?


클라우드 서비스는 ICT 자원을 소유가 아닌 빌려 쓰는 IT 아웃소싱(ITO)의 개념을 포괄하고 있다. 일반적으로 이용자가 ITO 계약을 체결할 때 제공자의 서비스 범위와 면책조항 등을 확인하듯이 클라우드 서비스 또한 예외가 될 수 없다.

 

책임공유모델(Shared Responsibility Model)이란 클라우드 보안에 대해 서비스 제공자(CSP)와 이용자(CSC)가 책임을 공유한다는 것으로, 이는 퍼블릭 클라우드 서비스 이용에 해당하는 것으로 자체 프라이빗 클라우드를 구축한 경우에는 이용자가 전적으로 책임을 져야 한다. 책임공유모델에 따르면 클라우드 서비스 제공자는 자사 서비스가 침해당하지 않도록 노력해야 하고, 실시간 위협 차단, 제로 데이 공격(Zero-Day Attack) 방어, 이용 중인 서비스 통합관리, 데이터 보안, 계정보안 등은 이용자가 책임을 져야 한다.

 

이러한 책임공유모델에 대해서 일부에서는 클라우드 보안에 대한 책임을 이용자에게 전가하려는 것으로 폄훼하고 비판하기도 한다. 그러나 클라우드 제공자가 이용자의 모든 데이터를 감시하고 통제할 수 없으므로 책임의 범위를 명확하게 구분하는 것이 필요하며, 모든 클라우드 서비스 제공자들이 이용자의 보안을 100% 책임지지 않는다는 것을 잊지 말아야 할 것이다.

 

[그림 1]에서 볼 수 있듯이, 클라우드 서비스 모델에 따라 제공자와 이용자 간 보안에 대한 책임 범위가 달라지며, PaaS(Platform as a Service)나 SaaS(Software as a Service)와 같이 상위 레벨의 서비스 모델일수록 IaaS(Infrastructure as a Service)보다 이용자의 책임 범위가 더 축소되는 게 일반적이다.

MS_책임공유모델


[그림 1] 클라우드에서의 책임공유모델의 이해






글로벌 클라우드 서비스의 책임공유모델 사례


국내외 클라우드 서비스의 경우 기본적으로 책임공유모델을 기반으로 서비스 수준 협약(SLA)를 구성하고 있고 제공자와 이용자가 서비스 계약을 체결한다. 여기서는 대표적인 글로벌 클라우드 서비스 제공자인 AWS, MS에 대해서 간략히 살펴보고자 한다.

 

AWS는 전 세계 클라우드 서비스 시장의 과반을 차지하는 대표 CSP이며, 사실상의 글로벌 표준을 선도하고 있다. AWS는 [그림 2]와 같이 인프라에 대한 보안만 책임지고, 나머지 애플리케이션에 관련된 보안 조치는 이용자가 직접 취하도록 하고 있다.

AWS_사례


[그림 2] AWS의 책임공유모델


 

AWS SLA에 따르면, 고객 또는 제3자의 작위 또는 부작위에서 기인하거나 고객·제3자의 장비, 소프트웨어 또는 기타 기술로 인해 발생한 경우를 포함하여 서비스마다 다르지만 보통 5~7가지 사유에 대해서는 AWS의 SLA에서 배제되니 이점을 잘 숙지해야 한다.

 

MS Azure 또한 AWS와 크게 다르지 않다. MS는 이용자의 보안, 개인정보 및 규정 준수 요건을 충족할 수 있는 서비스를 제공하고, 「Shared Responsibilities for Cloud Computing」을 통해 IaaS, PaaS, SaaS 등 서비스 모델에 따라 CSP와 이용자 간 공유역할과 책임에 대해서 아래와 같이 제시하고 있다.

 

  • 온-프레미스 솔루션의 경우 고객은 보안 및 운영의 모든 측면에 대한 책임을 짐
  • IaaS 솔루션의 경우, 서버, 네트워킹 하드웨어 및 하이퍼 바이저와 같은 요소는 플랫폼 공급 업체에서 관리해야 하며, 고객은 운영 체제, 네트워크 구성, 응용 프로그램, ID, 클라이언트 및 데이터를 보호하고 관리할 책임이 있음
  • PaaS 솔루션은 IaaS 배포를 기반으로 하며 네트워크 컨트롤을 관리하고 보호할 책임이 있으며, 고객은 여전히 애플리케이션, ID, 클라이언트 및 데이터를 보호하고 관리할 책임이 있음
  • SaaS 솔루션의 경우 고객은 데이터가 올바르게 분류되도록 해야 하며 이용자 및 엔드 포인트 장치를 관리할 책임이 있음

 

MS Azure 또한 서비스마다 SLA가 조금씩 상이하나 기본적으로 MS에서 제공하지 않는 서비스, 하드웨어 또는 소프트웨어를 사용하여 발생한 문제, 고객이 허가되지 않은 행동이나 필요한 조치의 불이행 또는 고객이나 협력사로 인해 발생한 문제 등에 대해서는 SLA에서 배제하고 있다.

 

이러한 책임공유모델은 클라우드 서비스 제공에 있어서 이용자(고객)의 보안을 100% 책임지지 않는다. 그러나 이것이 이용자의 보안 문제를 외면한다는 것이 아니라 이용자의 데이터 오너십에 대한 우려를 원천적으로 해소하는 차원으로 이해해야 한다.

 

이용자가 클라우드 서비스를 이용하면서 가장 우려하는 것 중 하나가 ‘혹시 내 데이터를 서비스 제공자 등 남들이 보지 않을까’하는 점이며, 일정 규모 이상의 기업 이용자는 오히려 본인들이 직접 보안을 챙기는 것을 더 선호한다. 글로벌 클라우드 서비스 제공자는 책임공유모델이 데이터 보안에 대한 고객의 우려를 해소하고 심리적 안정감을 주는 효과를 갖는다고 설명한다.

 

그리고 클라우드 서비스 제공자는 이용자들의 보안 관리 지원을 위하여 다수의 파트너들과 협력하여 다양한 보안 서비스를 부가적으로 제공하고 있다. AWS의 경우 2019.9월 현재 AWS CloudHSM(키 스토리지 및 관리), Amazon GuardDuty(위협탐지), AWS IAM(엑세스 제어) 등 16개의 보안 관련 부가서비스를 제공 중이며, 이 외에도 AWS Marketplace를 통해서도 보안 관련 솔루션, 컨설팅 등의 제품을 이용할 수 있도록 지원하고 있어서 일반 기업의 데이터센터보다 훨씬 많은 보안 조치가 되어 있어 더욱 안전한 서비스를 제공하고 있다고 한다.



클라우드 서비스 이용자가 유의해야 할 점


올해 1월 애플리케이션 개발사 블러의 클라우드 환경설정 오류로 240만 명의 이용자 정보가 유출됐으며, 작년 2월에 페덱스, 6월에는 혼다가 클라우드 보안사고로 각각 12만 명과 5만 명의 개인정보가 유출되는 등 클라우드 보안사고는 끊이질 않고 있다.

 

이처럼 클라우드 보안 또는 장애 사고가 발생했을 때 제공자와 이용자 어느 쪽 책임이 큰지 분명하게 드러나지 않는 경우가 많으며, 특히 보안사고의 경우 더욱 그러하다. 이용자가 클라우드 계정을 탈취당해 데이터가 유출됐다는 증거가 있다면 이용자 책임이지만, 탈취한 계정으로 잠입한 공격자가 클라우드 서비스 내에 존재하는 취약점을 이용해 다른 서비스로 이동해 중요한 정보를 탈취했다면 제공자에게도 책임이 있다.

 

따라서 이용자는 클라우드 서비스를 도입·이용할 때 자신의 책임 부분을 인식하여야 한다. 클라우드 서비스는 기본적으로 책임공유모델을 기반으로 하고 있어 서비스 이용약관이나 SLA를 꼼꼼하게 살펴보고, 제공자의 면책범위와 이용자 책임 등을 확인하며 어떤 기준으로 해당 SLA를 보장하는지도 따져봐야 한다.

 

그리고 이렇게 꼼꼼하게 확인하고 클라우드 서비스 이용계약을 체결했다면, 이용자 스스로가 서비스 액세스를 관리하고 데이터를 보호해야 한다. 클라우드 서비스 제공자가 제공하는 ID 및 액세스 관리 도구(서비스), 데이터 암호화 도구(서비스)를 이용하는 등 클라우드 서비스 제공자의 보안 협력파트너를 적극 활용 또는 보안 관련 부가서비스를 잘 활용해야 할 것이다.

 

보안 사고는 발생하지 않는 것이 좋으며, 따라서 사전 예방조치나 관리가 무엇보다 중요하다. 그러나 앞에서도 말한 바와 같이 보안 사고란 언제든 일어날 수 있으므로 [그림 3]을 참고하여 클라우드 보안 사고 발생시 관계 법률에서 정한 절차에 따라 신속하게 대응해야 할 것이다.

대응절차


[그림 3] 클라우드 서비스 이용자 정보 유출 및 침해사고 대응 절차






마무리


이상으로 클라우드 보안 책임공유모델에 대해서 간략히 살펴보았다. 앞에서 살펴본 바와 같이 책임공유모델은 이용자의 데이터 오너십을 보장하면서 더 안전한 클라우드 서비스를 위해 제공자와 이용자가 함께 보안에 대한 책임과 권한을 분담하는 방식이다.

 

따라서 이용자 측면에서는 제공자가 이용자의 보안 문제를 외면하는 것이 아닌 이용자의 자유도를 확보하고 더 안전한 서비스 제공을 위함임을 인식해야 한다. 그리고 제공자 측면에서는 자사가 모든 보안 역량과 서비스를 확보할 수 없으므로, 해당 분야의 보안 전문기업과 함께 서비스 생태계를 만들고 이용자에게 신뢰할 수 있는 서비스를 제공하도록 노력해야 한다.



참고문헌



  2. 2019 State of Cloud Adoption in Korea, 베스핀글로벌, 2019.5월.
  3. Shared Responsibilities for Cloud Computing v2.0, 2017.4월
  4. 클라우드컴퓨팅 이용자 보호 길라잡이, NIPA, 2019.9월
  5. http://www.itworld.co.kr/news/105697
  6. http://www.datanet.co.kr/news/articleView.html?idxno=134834
  7. https://byline.network/2016/07/1-261/
  8. http://www.ddaily.co.kr/news/article/?no=181498
  9. http://www.datanet.co.kr/news/articleView.html?idxno=134577
  10. https://blog.softcamp.co.kr/292
  11. https://aws.amazon.com/ko/legal/service-level-agreements/
  12. https://azure.microsoft.com/ko-kr/support/legal/sla