?을지대학교?/?최영진 교수


 

1. 서론


클라우드 컴퓨팅은 가상화, 자동화기술로 HW, SW 자원을 통합하여 인터넷으로 필요한 만큼 서비스를 제공하는 것으로 정보자원의 운영 효율성, 비용절감, 서비스의 신속성을 확보할 수 있다. 기존의 자체적으로 소유하고 있던 정보자산이 외부에 위치함에 의해 정보서비스의 안정성과 정보보안에 대한 우려가 제기되고 있다. 특히 민감 데이터의 경우 통제권의 상실, 클라우드 컴퓨팅 서비스 중단으로 인한 업무 단절 피해 우려 등으로 정보서비스의 가용성과 취약성이 부각되면서 클라우드 컴퓨팅 도입에 대한 거부감이 있다.

클라우드 컴퓨팅 보안 위협을 줄이기 위해서는 제공업체의 안전한 서비스 체계, SLA계약뿐만 아닌 클라우드 컴퓨팅의 정보보안을 보증할 수 있는 기준과 인증체계가 요구된다. 이에 해외 사례와 우리나라에서 클라우드 컴퓨팅의 특성으로 인한 취약점, 통제방안, 그리고 관리 사례를 기술하였다.

 



 

2. 해외 사례


2.1 CSA(Cloud Security Alliance) 클라우드 컴퓨팅 가이던스


2008년 설립한 CSA는 클라우드 보안의 대표적인 단체로 20,000명 이상의 개인회원과 100여개 기업 회원이 참여하고 있다. CSA에서는 2009년의 클라우드 컴퓨팅을 중심으로 핵심영역에 대한 보안 가이던스(Security Guidance for Critical Areas of Focus in Cloud Computing), 2010년의 클라우드 컴퓨팅 위협, 2011년의 Cloud Controls Matrix(CCM), 그리고 2016년에 Cloud Computing Top Threats 12를 발간하였다.

2009년 12월에 발표된 클라우드 컴퓨팅 보안 가이던스 V2.1에서는 클라우드 공급자의 비즈니스 퇴출, SLA에 대한 공급자의 미달성, 공급자의 빈약한 비즈니스 연속성, 여러 국가의 데이터센터에 대한 비우호적 법률, 기술/데이터 형식이 갖는 독자적인 잠금기능, 내부 IT보안 의해 만들어진 실수 등이 클라우드의 보안 취약점으로 제시되었다. 또한, 클라우드 아키텍처와 같은 기술적 위협, 프로비전닝이나 부하관리와 같은 업무적인 위협, 기존에 인지된 모든 취약점으로 인해 발생하는 고전적 위협, 클라우드에 대한 악성코드나 블랙박스 테스트로 인한 위협 등을 제시하였다.

2011년 1월의 Architecture and Framework에서는 15개로 구성된 기존 도메인을 D3: 합법(Legal)과 D4: 전자적 복구(Electronic Discovery)를 합법 및 전자적 복구(Legal and Electronic Discovery) 영역으로 통합하고, D6: 정보 생명주기 관리(Information Lifecycle Management)와 D14: 저장(Storage)를 하나로 통합하여 데이터 생명주기 관리(Data Lifecycle Management)로 변경하여 13개 영역으로 조정하였다.

 

[표 1] 클라우드 영역


cloud_181108_image_1

 

‘16년에 재정리한 12개의 클라우드 위협은 ①데이터 유출, ②불충분한 ID, 자격증명/접근관리, ③안전하지 않은 인터페이스와 API ④시스템 취약, ⑤계정 도용, ⑥악의적인 내부자, ⑦ APT공격, ⑧데이터 손실, ⑨클라우드 단계의 충분하지 않은 준비, ⑩클라우드 서비스 악용/남용 ⑪서비스 거부공격, ⑫공유이다.*

또한 CSA는 클라우드의 취약점과 위협을 통제하기 위한 매트릭스를 이용하여 STAR(Security, Trust & Assurance Registry)인증 체계를 제시하고 있다. STAR인증 체계에서는 16개 도메인에 133개 통제항목으로 구성된 프레임워크는 통제항목 이행뿐만 아니라 성숙도를 평가하고 점수를 부여하는 체계이다.

 

2.2 FedRAMP


FedRAMP(The Federal Risk and Authorization Management Program)는 클라우드 서비스의 통합적이고 표준화된 평가와 인증을 위한 미국연방의 체계이다. FedRAMP는 여러 기관에서 공동으로 사용하기 위해 구축되거나 외부에서 아웃소싱하는 클라우드 컴퓨팅 인증과 연속적인 보안모니터링 서비스를 목적으로 한다.

FedRAMP 모델은 클라우드 기술 적용에 대한 공통 기준선을 제공하는 것으로 기관들이 FedRAMP의 승인을 득한 후 서비스 제공자들의 인증 패키지에 대한 접근을 보장하기 위한 것이다. 이는 NIST(National Institute of Standards and Technology) 등이 주축이되어 2010년 발표된 ‘미국정부의 클라우드 컴퓨팅을 위한 제안된 보안평가 및 인증 : Proposed Security Assessment and Authorization for U.S. Government Cloud Computing’문서에 기반하고 있다. 세 개의 장으로 구성된 문서는 클라우드 컴퓨팅 보안요구사항 기준선, 연속적인 모니터링, 잠재적인 평가 및 인증접근 방법 등으로 구성되어 있다.

 

[표 2] 클라우드 컴퓨팅을 위한 제안된 보안평가 및 인증 보고서 구성


cloud_181108_image_2

 



 

3. 국내 현황


우리나라에서도 클라우드 활성화 방안의 하나로 클라우드 보안과 관련된 작업이 진행되고 있다. 특히 우리나라에서는 법률로 제정하여 구속력을 보다 강화하고 있는 것이 특징이다.
먼저 2015년 9월에 시행된 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률은 세계 최초의 독립 입법된 것으로 법안에서는 클라우드 컴퓨팅 발전기반의 조성, 클라우드 컴퓨팅 서비스의 이용 촉진 등과 함께 클라우드 컴퓨팅 서비스의 신뢰성 향상 및 이용자 보호 등을 규정하고 있다. 클라우드컴퓨팅법에서는 보안과 관련하여 신뢰도 향상(23조), 상호운용성(22조), 표준계획(24조)를 포함하고 있다.
- 신뢰도향상 : 클라우드 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준을 정하여 고시하고, 기준의 준수를 권고(23조)
- 상호운용성 : 클라우드서비스의 상호운용성 확보를 위해 필요한 경우에는 서비스 제공자에게 협력체계 구축 권고(22조)
- 표준계약서 : 이용자 보호 및 공정한 거래질서를 확립하기 위한 표준계약서를 제정·개정하고 사용 권고(24조)
과학기술정보통신부에서는 클라우드컴퓨팅 서비스 정보보호에 관한 기준을 제정하였다. 법안에서는 클라우드서비스 제공자에게 권고할 정보보호 관련, 기술적, 관리적, 물리적 보호조치 기준과 공공기관의 민간 클라우드 이용에 필요한 보안인증제 운영 근거가 될수 있는 공공 부문을 위한 정보보호기준을 제시하였다. 고시에서는 국제표준(ISO 27001)과 클라우드컴퓨팅법에서 규정한 정보보호 조치사항 등이 핵심요소로 구성되었으며, 관리적, 물리적, 기술적 보호조치 및 공공기관용 추가 보호조치 등 총 14개 부문 118개의 통제항목을 포함하고 있다.

 

[그림 1] 클라우드컴퓨팅법의 구성


cloud_181108_image_6

또한 클라우드가 지닌 정보 공유, 위탁 특성과 데이터 보호 및 암호화 강화, 클라우드 핵심 기술인 가상화 등을 고려하여 ①가상화 인프라, ②가상화 운영환경으로 세분화하고, 클라우드컴퓨팅법에 규정한 ‘침해사고 및 장애발생 보고’, ‘정보 공개’ 항목과 전산장비 안전성, 물리적 분리, 이중화 및 백업체계 구축 등 공공기관 이용 시 필요한 사항을 추가하도록 구성되어 있다.

 

[표 3] 클라우드컴퓨팅서비스 정보보호 통제항목


cloud_181108_image_3


 

그리고 과학기술정보통신부는 클라우드 컴퓨팅서비스 품질?성능에 관한 기준을 제정하였다. 기준에는 클라우드서비스 활성화, 이용자 보호 등을 위하여 IaaS, PaaS, SaaS 부문에 공통적으로 적용 가능한 항목을 선별하여 서비스 제공자의 품질ㆍ성능에 관한 세부항목 및 준수 사항을 명시하고 있다.

 

[표 4] 클라우드컴퓨팅서비스 품질·성능 기준 주요 세부항목


cloud_181108_image_4


 



 

4. 참고문헌


1) [6] CSA, "The Treacherous 12 Cloud Computing Top Threats in 2016", https://cloudsecurityalliance.org, 2016.02
2) Federal Information Security Management Act