한국정보통신진흥협회 /?한병학?차장



개요


ㅇ 해외 클라우드 보안 관련 기관 중 영국의 국립사이버보안센터(NCSC)의 14가지 클라우드 보안 원칙을 참고하여 국내 클라우드 보안의 중점 분야별 수립되어야 하는 프레임워크와 보안 관리방안에 대한 관련 정보를 제공하고자 함

 



 

해외 보안프레임워크 현황


ㅇ 영국 국립사이버보안센터(NCSC)는 클라우드 서비스 사용시 다음과 같은 보안원칙을 준수하고 검토하여 서비스 이용 희망 기관별 보안수준을 향상시켜 줄 것을 바라고 있다.

 
 

NCSC의 14가지 클라우드 보안 원칙


 

1. 전달과정의 데이터 보호(Data in transit protection)네트워크로 전달되는 사용자 데이터는 변조 및 도청으로부터 적절하게 보호되어야 한다.(User data transiting networks should be adequately protected against tampering and eavesdropping.)

 

2. 정보자산 보호와 회복력(Asset protection and resilience)

사용자 데이터와 이를 저장 및 처리하는 자산들은 물리적 변조, 손실, 손상, 탈취로부터 보호되어야 한다.(User data, and the assets storing or processing it, should be protected against physical tampering, loss, damage or seizure.)

 

3. 사용자단의 분리(Separation between users)

어떤 서비스에 대해 악의적이거나 손상된 사용자는 다른 데이터나 서비스에 영향을 미치지 않도록 하여야 한다. (A malicious or compromised user of the service should not be able to affect the service or data of another.)

 

4. 거버넌스 프레임워크(관리적인 틀: Governance framework)

서비스 공급자는 자체내부에 서비스 및 정보관리를 조정하고 지시하는 보안거버넌스 프레임워트를 가져야합니다. 이 프레임워크를 벗어나 적용된 기술적 제어들은 근본적으로 약화될 될 것입니다. (The service provider should have a security governance framework which coordinates and directs its management of the service and information within it. Any technical controls deployed outside of this framework will be fundamentally undermined.)

 

5. 운영적 보안(Operational security)

서비스는 공격을 차단, 탐지, 또는 예방하기 위해 안전하게 운영되고 관리되어야 합니다. 적절한 운영보안은 복잡하고 관료적이며 시간이 많이 걸리거나 비싼 프로세스를 요구하여서는 안 됩니다.(The service needs to be operated and managed securely in order to impede, detect or prevent attacks. Good operational security should not require complex, bureaucratic, time consuming or expensive processes.)

 

6. 개인적 보안(Personnel security)

서비스 제공업체 직원이 데이터 및 시스템에 접근 할 수 있는 경우 신뢰할수 있는 신뢰성이 필요합니다. 적절한 교육을 받고 철저한 스크리닝를 통해 서비스 제공업체 직원의 우연히 또는 악의적으로 손상 시킬 가능성을 줄일 수 있습니다. (Where service provider personnel have access to your data and systems you need a high degree of confidence in their trustworthiness. Thorough screening, supported by adequate training, reduces the likelihood of accidental or malicious compromise by service provider personnel.)

 

7. 안전한 개발(Secure development)

서비스들은 보안위협을 식별하고 완화하기 위해 설계하고 개발되어야 합니다. 그렇지 않은 서비스들은 데이터를 손상시키거나 서비스 손실 또는 다른 악의적 활동을 유발할 수 있는 보안이슈들에 취약할 수 있습니다.(Services should be designed and developed to identify and mitigate threats to their security. Those which aren’t may be vulnerable to security issues which could compromise your data, cause loss of service or enable other malicious activity.)

 

8. 공급사슬 보안(Supply chain security)

서비스제공업체는 서비스가 구현을 위해 요구하는 모든 보안원칙을 만족스럽게 지원하는지 확인해 주어야 합니다.(The service provider should ensure that its supply chain satisfactorily supports all of the security principles which the service claims to implement.)

 

9. 안전한 사용자 관리(Secure user management)

서비스제공업체는 그들의 서비스를 안전하게 사용 관리되도록 하는 도구들을 만들어야 하며, 관리 인터페이스 및 절차는 사용자 리스소스, 응용프로그램 및 데이터의 무단 저근 및 변경을 방지하도록 하는 보안장벽의 중요 부분입니다. (Your provider should make the tools available for you to securely manage your use of their service. Management interfaces and procedures are a vital part of the security barrier, preventing unauthorised access and alteration of your resources, applications and data.)

 

10. 신원확인 및 인증(Identity and authentication)

서비스 인터페이스의 모든 접근들은 인증되고 권한이 부여된 개인에게 제한적이어야 합니다. (All access to service interfaces should be constrained to authenticated and authorised individuals.)

 

11. 외부 인터페이스 보호(External interface protection)

해당서비스의 모든 외부 또는 덜 신뢰할 수 있는 인터페이스를 식별하고 적절하게 보호해야 합니다.(All external or less trusted interfaces of the service should be identified and appropriately defended.)

 

12. 안전한 서비스 관리(Secure service administration)

클라우드 서비스 관리에 사용되는 시스템은 높은 권한의 접근방식을 갖습니다. 보안통제를 우회하고 대용량의 데이터를 탈취하거나 조작하는 방법을 포함하여 이러한 협의(타협)는 상당한 영향을 미칩니다. (Systems used for administration of a cloud service will have highly privileged access to that service. Their compromise would have significant impact, including the means to bypass security controls and steal or manipulate large volumes of data.)

 

13. 사용자 이용정보 감사((Audit information for users)

이용자는 이용서비스 및 보유한 데이터에 대한 접근 모니터링하는 필요한 감사 기록을 제공받아야 합니다. 사용 가능한 감사 정보 유형은 합리적인 시간주기 내에 부적절하거나 악의적인 활동을 감지하고 대응하는 능력에 직접적인 영향을 미칩니다.(You should be provided with the audit records needed to monitor access to your service and the data held within it. The type of audit information available to you will have a direct impact on your ability to detect and respond to inappropriate or malicious activity within reasonable timescales.)

 

14. 서비스의 안전한 사용(Secure use of the service)

클라우드 서비스 및 그 내부에 보유된 데이터의 보안은 서비스를 제대로 사용하지 않으면 손상 될 수 있습니다. 따라서 데이터를 적절하게 보호하기 위해 서비스를 사용할 때 특정책임들을 갖게 됩니다.(The security of cloud services and the data held within them can be undermined if you use the service poorly. Consequently, you will have certain responsibilities when using the service in order for your data to be adequately protected

 

*출처 : 영국 국립사이버보안센터(www.ncsc.gov.uk) 공식 문서


 



 

보안관리의 방법적 접근


ㅇ 위에서 언급된 클라우드 서비스를 이용할 때 고려하고 적용해야 하는 14가지 보안원칙을 보다 상세히 현실적으로 적용할 수 있는 10가지 운영관리적/기술적 방법을 제시하고자 한다.

 

ㅇ 첫째, 데이터 전송(정보전달)에서 송·수신단의 정보는 기밀성을 가져야 합니다. 즉, 전달되는 정보는 ①사용자단 단말과 서비스단 사이에서 ②서비스의 내부적 부분에서 ③서비스와 다른 서비스의 인터페이스(API간)에서 보호되어야 한다는 사실입니다. 이를 위한 방법으로는 사설WAN서비스 사용, 구식SSL, TLS설정 변경, TLS(1.2버전 이상 적용), IPSec/TLS VPN 게이트웨이 적용, IDC간 광전달연결적용 등이 검토되고 적용되어야 한다.

 

ㅇ 둘째, 정보자산의 식별 및 관리에서는 특히 정보자산의 형식을 분류하는 기준마련이 중요합니다. 또한 마련된 기준에 따라 각 자산별 갖는 정보들(관리번호, 호스트명, 자산설명, 위치, 담당, IP정보 등)을 정확하게 기입·관리하여야 합니다. 특히 변화가 발생하거나 변경된 정보에 대한 업데이트 시기적절하게 하여 주어야 합니다. 그 외에도 정보의 법적인 관할권(해당 법령 등) 이해와 관리대상 연관 관계를 검토하고 반영하는 사항이 있습니다. (예를 들면, 국내의 개인정보의 해외이전, 해외 제3자 제공 등의 경우, 클라우드 업체측에서 제공하는 보안관리가 적절하게 되고 있는지 및 정보고지가 적절한지 등도 검토되어야 합니다.)

 

ㅇ 셋째, 사용자 구분에 영향을 미치는 중요요소는 ①클라우드 적용유형(e.g. IaaS, PaaS, SaaS)에 따라 구분제어를 어떻게 적용할 것인가? ②누구와 서비스를 공유하는가?(e.g. Public, Private or Community Cloud) ③ 분리제어의 구현에서 이용가능한 보증 수준 등을 고려하여 적절한 기술요소들을 준비하고 적용하여야 한다. 이를 위한 방법으로는 가상화기술(hypervisor방식)과 망분리방식, 운영시스템/웹서버/다른 응용프로그램에 접근제어를 하는 방식들(IAM, SSLVPN, SSO, AD 등)을 검토하고 적용하여야 한다.

 

ㅇ 넷째, 거버넌스 프레임워크는 클라우드서비스 유형에 따라 서비스에 적합한 관리방식을 선정하여야 하며, 절차, 사용자, 물리적 제어, 기술적 제어를 어떻게 할것인가에 따라 선택할 수 있다, 예를 들면, 국내의 ISMS(정보보호관리체계), 해외의 CSA CCMv3.0, ISO/IEC 27001, PCI-DSS level x.0 등을 함께 고려하고 구현서비스에 적용하여야 한다.

 

ㅇ 다섯째, 운영적 보안은 4가지 유형 ①구성설계(Configuration)와 변화관리, ②취약점점검/관리, ③공격방어 모니터링, ④이상징후관리(장애, 침해사고 등) 등의 측면에서 관리를 하여야 한다. 예를 들면 네트워크장비/서버장비의 설정파일 관리/백업 등을 어떻게 적절하게 할 것인가, 취약점은 연간 몇 회 실시하고 단계적 조치와 결과관리를 적절하게 할 것인가, 서비스의 공격과 비인가자 행위를 어떻게 모니터링하고 기술대안을 갖고 갈 것인가, 침해/장애에 대한 대응절차와 방식/신고 등을 할 것인가를 적용할 수 있다.

 

ㅇ 여섯째, 관리자/운영자(업체직원) 보안은 서비스에 영향을 주거나 정보에 접근할 필요가 있는 최소한의 인원을 배정하고, 업체 직원의 보안모니터링 수준을 적절하게 가져가는 것이 중요하다. 과도한 최소인원원칙은 문제가 될 여지가 있으며, 따라서 비상시를 대비하는 정/부 체계도 고려되어져야 한다. 개인정보 관련해서는 국내법상 월별 모니터링 결과를 검토하여야 한다.

 

ㅇ 일곱째, 안전한 개발에서는 새롭게 진화하는 위협을 검토하고 서비스 개선/개발을 위해 보안설계, 코딩, 테스트, 배포 등을 우수사례를 참고하여 마련하여야 한다. 구성관리프로세스는 개발, 테스트 및 배포를 통해 솔루션 무결성을 보장하여야 한다. 특히 국내의 경우 개발시 보안요구사항 정의를 통해 각 항목별 구현되어야 하는 항목/기준/실제 설계시 검토/ 이관시 사항점검 등이 적절히 이루지도록 권장하고 있다. 웹/앱(Mobile) 시스템에 모두 해당한다.

 

ㅇ 여덟째, 공급자 사슬 보안은 서비스/정보와 관련하여 공급업체/연결/공유/액세스를 검토하는 것이 중요하다. 클라우드서비스제공자, 보안관제업체, 유지보수업체, 외부연결 서비스(업체) 등에 인가된 계정/최소 권한 부여를 주기적 적절하게 적용/관리하는 것이 이행되어져야 한다. 또한 계약관계상 보안요구사항을 반영한 계약서/정보보호협약서(협정서) 등을 마련하고 계약하여 책임있고, 안전한 사용환경이 되도록 하여야 한다.

 

ㅇ 아홉째, 신원확인 및 인증은 보안요소 중 가장 중요한 사항이라고 할 수 있다. 관리인터페이스 및 지원 채널 등에 권한별 사용자 인증을 적용하고 추가적인(2 Factor) 인증 적용도 검토/추가 구축하여야 한다. 또한 관리 인터페이스 내 분리 및 접근제어도 중요하다. 인증방식은 법적 요구사항 기준을 준수할 수 있도록 클라우드 기반에서 적용하여야 한다.

 

ㅇ 열째, 사용자행위 감사 및 재해복구절차 준수가 마지막으로 이행되어야 하는 항목이다. 서비스에 접근한 사용자의 행위/외부 이상접근 이력, 데이터형식/이력내용 보존기간 등 검토하고 적용해야 하는 감사에 대한 정의를 하여야 하며, 장애/재해 등에 대처하는 항목 및 연락절차/기관(신고기관) 등을 각 역할에 있는 담당자들이 인지할 수 있도록 하는 절차가 마련되어야 하며, 그 절차가 제대로 작동할 수 있도록 모의 훈현등을 통한 확인/검토 활동이 될 수 있도록 보안업무체계를 갖추어야 한다.

 

이상의 위에 언급된 10가지 운영관리적/기술적 보안은 보안업무를 담당하는 모든 인원들이 각 파트별로 인지하고 이행하여야 하는 TASK를 마련하여 적절한 시기에 검토되고 실행이 되며, 조치결과 보고 등이 이루어질 수 있다면 클라우드 서비스를 이용하는 기업들이 한단계 업그레이드된 보안체계안에서 보안업무가 이루어지게 될 것입니다.

 



 

참고문헌


1. https://www.ncsc.gov.uk/guidance/implementing-cloud-security-principles