상명대학교 / 서광규 교수


 

 

2. 클라우드 보안 프레임워크 사례 분석

2-1. 클라우드 보안을 위한 COBIT 5

ISACA(정보 시스템 감사 및 통제 협회)가 개발한 COBIT 5는 기업 IT 거버넌스 및 관리를 위해 세계적으로 인정받는 방법론이다.

COBIT 5는 클라우드 보안을 위해 명시적으로 만들어지지는 않았지만 클라우드 컴퓨팅 시스템을 성공적으로 규제하고 보호하는 데 사용할 수 있는 완전한 원칙과 관행 세트를 제시한다. 이는 조직이 클라우드 서비스를 성공적으로 관리하고 보호할 수 있도록 거버넌스, 위험 관리 및 제어 목표를 제공한다.

 

2-1-1. 원칙

그림 2의 COBIT5의 원칙(principles)을 보여주고 있다.

거버넌스와 관리 분리: 클라우드 보안 거버넌스(전략적 의사결정 및 감독)와 관리(일상적인 운영 작업)의 역할을 정의하고 분리한다. 이해관계자 요구 사항 충족: 클라우드 보안 활동을 소비자, 규제 기관, 비즈니스 파트너 등 이해관계자의 요구 사항 및 기대치에 맞게 조정한다. 엔드투엔드 엔터프라이즈 범위: 비즈니스의 모든 부분을 포함하는 IT 거버넌스 및 관리에 대한 포괄적인 접근 방식을 채택한다. 이 원칙은 전략 개발 및 실행부터 가치 전달, 리소스 관리, 위험 관리에 이르기까지 전체 IT 가치 사슬을 고려해야 한다는 점을 강조한다.

단일 통합 프레임워크 적용: ISO 27001 또는 NIST Cybersecurity Framework와 같은 기존 거버넌스 및 관리 프레임워크와 표준에 부합하는 클라우드 보안 관리를 위한 일관된 프레임워크를 사용한다.

전체적인 접근 방식 활성화: 사람, 절차, 기술을 포함하는 클라우드 보안에 대한 포괄적이고 통합된 접근 방식을 채택한다. 법적, 규제 및 계약 요구 사항을 포함한 모든 관련 요소를 고려한다.

 


[그림2. COBIT5 원칙]


 

2-1-2. 강점

  2. 전체적인 접근 방식: COBIT 5는 거버넌스, 위험 관리, 제어 목표 및 성능 평가와 같은 주제를 포괄하는 클라우드 제어 및 보증에 대한 포괄적인 접근 방식을 제공한다. 체계적이고 통합된 방식으로 클라우드 보안을 관리하기 위한 완벽한 프레임워크를 제공한다.
  3. 위험 초점: COBIT 5는 클라우드 제어 및 보증에 대한 위험 중심 접근 방식을 강조한다. 이는 기업이 클라우드 서비스, 데이터 보안 및 규정 준수와 관련된 위험을 식별, 평가 및 우선순위를 지정하는 데 도움을 준다. 이는 조직이 자원을 적절하게 할당하고 위험 감소 활동의 우선순위를 정하는 데 도움이 된다.
  4. 산업 표준, 프레임워크 및 법률과의 연계: COBIT 5는 산업 표준, 프레임워크 및 법률과 연계되어 조직이 규정 준수 요구 사항을 충족할 수 있도록 한다. ISO 27001, NIST 사이버보안 프레임워크, GDPR과 같은 표준의 모범 사례를 적용하는 방법에 대해 조언한다. 이러한 조정을 통해 균일하고 효과적인 통제 및 보증 프로그램을 보다 쉽게 ??구현할 수 있다.
  5. 제어 목표: COBIT 5는 클라우드 설정을 대상으로 지정된 제어 목표 세트를 제공한다. 액세스 관리, 데이터 보호, 사고 대응 및 공급업체 관리는 다루어지는 중요한 제어 목표 중 하나이다. 이는 클라우드 보안 정책 구축을 위한 현실적인 지침 역할을 한다.
  6. 지속적인 개선: COBIT 5는 클라우드 제어 및 보증 분야에서 지속적인 개발 문화를 장려한다. 이는 기업이 제어 시스템을 평가하고 성과를 측정하며 개선 기회를 식별하도록 장려한다. 이 반복적 전략은 조직이 변화하는 클라우드 보안 문제에 적응하고 제어 환경을 지속적으로 개선하는 데 도움이 된다.

 

2-1-3. 제한 사항

  2. 복잡성: 클라우드 제어 및 보증을 위해 COBIT 5를 구현하려면 프레임워크와 해당 구성 요소를 완전히 이해해야 한다. 이는 특히 리소스나 기술 지식이 부족한 조직의 경우 어려울 수 있다. COBIT 5의 이점을 적절하게 활용하려면 적절한 교육과 지원이 필요할 수 있다.
  3. 사용자 정의 문제: COBIT 5는 조직의 개별 요구 사항과 클라우드 환경에 맞게 사용자 정의해야 하는 광범위한 프레임워크를 제공한다. 특정 요구 사항과 클라우드 서비스 제공업체를 충족하도록 프레임워크를 사용자 지정하려면 더 많은 노력과 기술이 필요할 수 있다.
  4. 도구 종속성: COBIT 5는 통제 및 보증 운영에 대한 지침을 제공하지만 특정 도구나 기술을 옹호하지는 않다 조직은 적절한 클라우드 제어 및 보증 시스템을 선택하고 배포하기 위해 외부 소스나 전문 지식에 의존해야 한다.
  5. 동적 클라우드 환경: 클라우드 환경은 끊임없이 변화하고 역동적이다. COBIT 5는 새로운 기술, 새로운 위험 및 변화하는 규제 요구 사항을 수용하기 위해 정기적으로 업데이트되고 조정되어야 할 수 있다. 조직은 통제 및 보증 관행을 적절하게 유지하기 위해 최신 상태를 유지해야 한다.

 

2-1-4. 클라우드 인프라 보안을 위한 COBIT 5 프로세스

COBIT 프레임워크의 최신 버전인 COBIT 5는 성공적인 IT 거버넌스 및 관리를 보장하기 위해 클라우드 환경에 대한 관리 권장 사항을 제공한다. 다음은 클라우드 컴퓨팅과 관련된 몇 가지 중요한 COBIT 5 관리 표준이다. 그리고 표 2는 이 프레임워크를 사용하는 데 필요한 도구를 보여준다.

  2. IT 목표 정의 및 조정: IT 목표를 명확하게 식별하고 이를 조직의 더 넓은 비즈니스 목표와 연결한다. 클라우드 채택의 잠재적 이점과 위험을 이해하고 비즈니스 목표에 맞게 클라우드 계획을 조정하는 것이 모두 이 프로세스의 일부이다.
  3. 클라우드 준비 상태 평가: 조직의 기술, 운영 및 보안 기술에 대한 완전한 평가를 수행하여 클라우드 서비스 활용 준비 상태를 결정한다. 이 평가에서는 데이터 민감도, 규제 요구 사항, 비즈니스 연속성과 같은 고려 사항을 고려해야 한다.
  4. 클라우드 거버넌스 구축: 클라우드 의사 결정을 지원하기 위해 견고한 거버넌스 구조를 마련한다. 여기에는 규칙 및 프로세스 개발, 역할 및 의무 정의, 관련 법률, 규정 및 표준 준수 보장이 포함된다.
  5. 공급업체 선택 및 관리: 보안 조치, 서비스 의존성, 규정 준수 기능 등 명시된 기준을 기반으로 클라우드 서비스 공급자(CSP)를 선택하기 위한 체계적인 전략을 개발한다. 기대치, 의무, 성과 지표를 명시적으로 설명하는 계약 및 서비스 수준 계약(SLA)을 수립해야 한다.
  6. 위험 관리: 위험 관리에는 클라우드 도입과 관련된 위험을 식별 및 평가하는 것뿐만 아니라 위험 완화 기술을 개발하는 것도 포함된다. 여기에는 보안 절차를 검토하고, 클라우드 서비스의 신뢰성과 가용성을 결정하고, 데이터 개인 정보 보호 및 기밀 문제를 처리하는 작업이 포함된다.
  7. 데이터 관리: 클라우드에 저장된 데이터의 기밀성, 무결성 및 가용성을 보장하기 위한 데이터 관리 방식을 확립한다. 데이터 분류, 암호화, 백업 및 복구 절차, 데이터 보호 요구 사항 준수가 모두 여기에 포함된다.
  8. 사고 대응 및 포렌식: 보안 문제를 식별하고 대응하는 방법을 포함하여 클라우드 관련 사고 대응 전략을 만든다. 조사 방법을 만들 때 데이터 분산, 공유 리소스, 멀티 테넌시와 같은 클라우드 포렌식의 특정 문제를 염두에 두는 것이 필요하다.
  9. 성과 측정: 핵심성과지표(KPI)를 정의하고 모니터링하여 클라우드 서비스의 효능과 효율성을 평가한다. 클라우드 서비스가 제공하는 성능과 가치를 정기적으로 평가하고 보고하여 비즈니스 요구 사항을 충족하는지 확인한다.
  10. 지속적인 개선: 개선 영역을 식별하기 위한 정기적인 검토 및 평가를 포함하여 클라우드 서비스에 대한 지속적인 개선 프로세스를 구현한다. 최신 클라우드 기술, 업계 동향, 규제 변화를 지속적으로 모니터링하여 최선의 결과를 지속적으로 보장한다.


[표2. COBIT5 도구]


 



 

2-2. NIST SP 800-144

NIST(National Institute of Standards and Technology)는 기업이 클라우드 인프라를 방어하는 데 도움이 되는 프레임워크를 만들었다. 이 프레임워크는 클라우드 기반 환경 보안에 가장 적합한 개념, 규칙의 완전한 컬렉션을 제공한다. 조직은 NIST 방법론을 채택하여 클라우드 인프라의 보안을 향상시키고 위험을 효율적으로 관리할 수 있다. 그러나 NIST 프레임워크의 강점과 한계를 모두 인식하는 것이 중요하다. 그러나 NIST SP 800-144의 상위 프레임워크는 5가지 핵심 기능으로 구성된다.

 

- 식별: 조직의 시스템, 자산, 데이터 및 기능을 이해하는 것이 이 역할의 일부이다. 여기에는 보호해야 할 자원과 이와 관련된 위험을 식별하고 기록하는 작업이 수반된다. 이 역할은 성공적인 사이버 보안 정책 및 절차를 수립하기 위한 기반 역할을 한다.

- 보호: 보호 기능은 주요 서비스 제공과 데이터 보안을 보장하기 위해 보호 조치를 취하는 역할을 한다. 액세스 제어, 데이터 암호화, 교육 및 인식 프로그램, 확인된 위험을 줄이기 위한 보안 조치 채택 등이 모두 여기에 포함된다.

- 감지: 감지 기능은 사이버 보안 발생을 신속하게 식별하기 위한 도구를 설계하고 배포하는 역할을 담당한다. 사이버 보안 이벤트를 실시간으로 감지하고 대응하기 위한 지속적인 모니터링, 이상 탐지, 사고 대응 방법이 포함되어 있다. 대응: 대응 기능은 사이버 보안 사건의 영향을 줄이기 위한 대응 전략을 개발하고 구현하는 일을 담당한다. 여기에는 사고 대응 전략 수립, 사고 분석 수행, 사이버 보안 문제를 억제하고 복구하는 데 필요한 조치가 포함된다.

- 복구: 복구 기능의 목표는 사이버 보안 이벤트의 영향을 받은 서비스와 기능을 복원하는 동시에 향후 발생을 방지하는 것이다. 이는 시스템 복구, 이해관계자 커뮤니케이션, 얻은 교훈을 활용하여 향후 사고 대응을 강화하는 등의 작업으로 구성된다.

 

2-2-1. 클라우드 인프라 보안에 있어서 NIST의 장점

  2. 포괄적이고 입증됨: 사이버 보안 분야에서 NIST 프레임워크는 잘 인식되고 수용된다. 위험 평가, 보안 제어, 사고 대응, 지속적인 모니터링을 포함하여 클라우드 보안에 대한 완전하고 체계적인 접근 방식을 제공한다. 업계 의견과 진화하는 보안 문제를 기반으로 프레임워크는 지속적으로 업데이트되고 최적화된다.
  3. 유연성 및 적응성: NIST 프레임워크는 다양한 조직 및 클라우드 설정에 적응할 수 있도록 고안되었다. 이를 통해 조직은 보안 제어와 개별 요구 사항 및 규제 요구 사항을 조정할 수 있다. 이러한 적응성을 통해 조직은 자체 클라우드 아키텍처 및 비즈니스 활동에 맞는 보안 조치를 구축할 수 있다.
  4. 공급업체 중립적 관점: NIST SP 800-144는 공급업체 중립적이며 조직이 퍼블릭 클라우드 서비스를 채택할 때 고려해야 하는 기본 보안 및 개인 정보 보호 원칙에 중점을 둔다. 이를 통해 조직은 선택한 클라우드 서비스 공급자와 독립적으로 권장 사항을 사용하여 유연성과 적응성을 높일 수 있다.
  5. 실용적인 조언: 이 백서는 퍼블릭 클라우드 시스템을 보호하기 위한 실용적인 조언과 최선의 방법을 제공한다. 보안 제어 설정, 클라우드 서비스 제공업체의 보안 기능 분석, 규정 준수 요구 사항 충족에 대한 실질적인 조언을 제공한다. 이는 조직이 조언을 실행 가능한 단계로 전환하여 클라우드 보안을 개선하는 데 도움이 된다.

 

2-2-2. 클라우드 인프라 보호에 대한 NIST의 한계

  2. 빠르게 등장하는 위협 환경: 클라우드 보안에 대한 위협과 약점이 지속적으로 등장하고 있다. NIST 프레임워크는 정기적으로 업데이트되지만 항상 발생하는 위험을 따라잡을 수는 없다. 변화하는 위협 환경을 성공적으로 관리하려면 조직은 지속적인 모니터링, 위협 정보 및 산업별 보안을 통해 NIST 프레임워크를 강화해야 한다.
  3. NIST SP 800-144는 주로 미국 정부 기관을 대상으로 하고 국제 표준 및 규정을 완전히 처리하지 못할 수 있으므로 외국 표준 및 규정의 적용 범위가 제한적이다. 전 세계적으로 사업을 운영하는 조직이나 여러 국가에서 사업을 운영하는 조직은 지리적 위치에 따른 추가 규제 프레임워크와 규범을 고려해야 할 수도 있다.

 

2-2-3. NIST 모범 사례

NIST 특별 간행물 800-144에는 공용 클라우드 컴퓨팅에 대한 보안 및 개인 정보 보호 원칙이 요약되어 있다. 다음은 그림 3에 제공된 각 단계에서 클라우드 기반 환경을 보호하는 데 가장 적합한 몇 가지 NIST 800-144이다.

 


[그림3. NIST 핵심 기능]




  2. 클라우드 환경 이해: 활용되는 클라우드 서비스 유형(예: 서비스형 소프트웨어, 서비스형 플랫폼, 서비스형 인프라)과 그에 따른 보안 및 개인 정보 보호 문제를 포함하여 클라우드 환경에 대한 철저한 인식을 얻을 수 있다.
  3. 보안 및 개인 정보 보호 표준: 조직의 보안 및 개인 정보 보호 표준을 결정하고 기록한다. 데이터 민감도, 규정 준수 요구 사항, 법적 문제 및 기타 산업별 표준이 모두 여기에 포함된다.
  4. CSP(클라우드 서비스 공급자) 선택 및 평가: 가능한 CSP의 보안 기능 및 관행을 조사한다. CSP의 보안 인증, 사고 대응 방법, 데이터 암호화 시스템 및 관련 표준 준수를 고려하는 것이 필요하다.
  5. 데이터 보호: 클라우드의 데이터를 보호하기 위해 적절한 보호 장치를 마련한다. 여기에는 저장 및 전송 중인 중요한 데이터를 암호화하고, 최소 권한 액세스 규칙을 적용하고, 데이터 백업 및 복구 방법을 마련하는 것이 포함된다.
  6. 권한 있는 직원만 클라우드 리소스에 액세스할 수 있도록 강력한 ID 및 액세스 관리(IAM) 제어를 구현한다. 사용자 권한을 효율적으로 관리하려면 다단계 인증, 강력한 비밀번호 규칙 및 역할 기반 액세스 제어(RBAC)를 사용하는 것이 필요하다.
  7. 안전한 구성 관리: 업계 모범 사례 및 CSP 표준을 준수하여 클라우드 리소스를 안전하게 구성한다. 새로운 위협과 취약점에 대처하기 위해 정기적으로 설정을 검토하고 업데이트하는 것이 필요하다.
  8. 지속적인 모니터링 및 로깅: 클라우드 환경에서 강력한 모니터링 및 로깅 방법을 구현하여 활동을 추적하고 보안 발생을 감지한다. 발생할 수 있는 위험과 이상 현상을 발견하려면 시스템 로그, 네트워크 트래픽, 사용자 작업을 모니터링하는 것이 필요하다.
  9. 사고 대응 및 복구: 클라우드 관련 사고 대응 계획을 수립하고 구현한다. 보안 이벤트를 식별하고, 대응하고, 복구하기 위한 프로토콜을 만듭니다. 계획의 유효성을 확인하려면 정기적으로 테스트하고 업데이트하는 것이 필요하다.
  10. 규정 준수 및 거버넌스: 적절한 법률, 표준 및 계약상 약속을 준수하는지 확인한다. 클라우드 보안을 관리하려면 역할과 의무, 정책, 프로세스를 포함하는 거버넌스 구조를 만드는 것이 필요하다.
  11. 보안 인식 및 교육: 클라우드 보안 위험과 최선의 방법에 대해 직원을 교육하기 위해 지속적인 보안 인식 및 교육을 제공한다. 조직 내에서 보안 인식 및 책임 문화를 조성한다.

 

클라우드 인프라 보안을 위한 NIST 아키텍처의 각 단계에서는 다양한 도구와 기술을 사용해야 한다. 다음은 각 단계에 도움이 될 수 있는 정기적으로 사용되는 몇 가지 도구이다. 표 3은 NIST 프레임워크를 구현하는 데 필요한 도구에 대한 정보를 제공한다.

 


[표3. NIST 도구]


 

 


참 고 문 헌




  2. Tsochev, G.R.; Trifonov, R.I. Cloud computing security requirements: A Review. IOP Conf. Ser. Mater. Sci. Eng. 2022, 1216, 012001.
  3. ISACA. Security Considerations for Cloud Computing; ISACA: Schaumburg, IL, USA, 2012.
  4. CSA Top Threats Working Group. Top-Threat-2-to-Cloud-Computing-Insecure-Interfaces-and-Apis. CSA. 30 July 2022.
  5. Jansen, W.; Grance, T. Guidelines on Security and Privacy in Public Cloud Computing; NIST: Gaithersburg, MD, USA, 2011.
  6. NIST. NIST US Government Cloud Computing Technology Roadmap, Release 1.0 (Draft); NIST: Gaithersburg, MD, USA, 2011.
  7. CSA. Security Guidance for Critical Areas of Focus in Cloud Computing v3.0; CSA: Toronto, ON, Canada, 2011.
  8. Park, S.-J.; Lee, Y.-J.; Park,W.-H. Configuration Method of AWS Security Architecture That Is Applicable to the Cloud Lifecycle
    for Sustainable Social Network. Commun. Secur. Soc.-Oriented Cyber Spaces 2021, 2021, 3686423.



저작권 정책


K-ICT 클라우드혁신센터의 저작물인 『클라우드 보안 프레임워크 분석』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.