상명대학교 / 서광규 교수
많은 기업과 조직이 점점 더 클라우드 서비스를 채택하면서, 여러 제공업체를 사용하는 전략이 선호를 받아 더 많은 옵션, 더 큰 유연성 및 탄력성을 실현할 수 있게 되었다. 그러나 멀티 클라우드에서는 일관성 있는 보안 관행을 적용하고 시행하는 것이 더 복잡해지고 있는데, 암호화 키, 데이터, 워크로드 보호 및 규정 준수 자동화는 어디에 있든 점점 더 중요해지고 있다.
조직이 기업을 운영하는 데 멀티 클라우드 모델을 점점 더 많이 채택하게 되면서, 정부 및 업계의 증가하는 데이터 보호 및 보안 규정을 준수하기 위해 워크로드를 보호해야 하는 문제에 직면하고 있다.
클라우드 서비스를 채택하는 조직은 클라우드 서비스 제공업체는 이들이 제공하는 인프라의 보안과 안정성 및 서비스 수준 계약에 대한 책임은 유지하지만, 클라우드 서비스 제공업체는 클라우드 고객이 인프라에서 저장하고 처리하는 데이터의 보안에 대한 책임은 없다. 즉, 공유 책임 모델에서는 데이터 보호, 데이터를 보호하는 암호화 키 및 액세스 제어에 대한 책임을 데이터 소유자에게 부여한다.
일반적으로 멀티 클라우드는 태생적으로 복잡하고 어려울 수밖에 없는 구조를 가지고 있다. 특히 여러 회사의 클라우드 서비스를 다채롭게 이용한다면 더 복잡해질 수밖에 없다.
물론 각 회사마다 어느 정도의 기본 보안 도구들을 제공하고 있긴 하지만 그것은 보편 타당한 ‘기본 중 기본’의 보호막일 뿐 클라우드 사용 조직들의 개별적인 필요를 반영하지 못한다. 클라우드 서비스 제공 업체가 자체적으로 도입한 클라우드 보안 도구를 가지고 온전히 사용자 기업들을 보호하는 사례는 없는 것이 현실이다.
그러면 클라우드 서비스 업체에 맞춤형 보안 도구를 요구할 수 있을까? 경우에 따라 가능할 수도 있지만, 클라우드 서비스 업체에 각 고객사에 맞는 보안 아키텍처를 구성해달라고 요구하는 건 세상의 수많은 언어를 학습하라는 것과 같이 현실성이 없다.
이렇듯 현실적으로 클라우드 서비스 업체에 보안을 기대할 수 없는 상황에서 멀티 클라우드 체제를 도입하면 어떻게 될까?
클라우드 업체마다 다른 서비스를 다른 인터페이스로 제공하며 다른 특장점을 가지고 있고 서로 다른 취약점을 가지고 있으므로 는클라우드업계에는 기본 바탕이 될 만한 표준이라는 게 없기 때문이다. 심지어 클라우드 보안이라는 말 자체의 정의 역시 사람마다 다 다르지 않은가.
하지만 멀티 클라우드가 이미 대세가 되어버린 상황이므로 멀티 클라우드가 보안에 좋지 않다라는 결론은 크게 도움이 되지 않고 현실적으로 서비스형 보안(Security as a Service)를 도입하는 경우가 많아지고 있다.
이런 식으로 접근했을 때 멀티 클라우드 환경 내 모든 애플리케이션에 동일한 보안 정책을 적용할 수 있게 된다. 그리고 이것이 멀티 클라우드의 근원적인 약점인 ‘비일관성 문제’를 어느 정도 해결할 수 있다.
클라우드 컴퓨팅 보안은 클라우드 서비스를 사용하는 조직의 다양한 보안 문제를 포괄하는 광범위한 용어이다. 멀티 클라우드 서비스 제공업체는 고객의 보안을 해결할 때 ID 및 액세스 관리, 저장 및 전송 중인 데이터, 송신 및 수신 트래픽 제어, 취약성 및 위협 관리, 감사를 포함하여 여러 요소를 고려해야 한다.
본 문서에서는 클라우드 보안의 각 측면을 자세히 살펴보고 멀티 클라우드 서비스 제공업체를 위한 사례에 대한 권장 사항을 제공한다. 또한 멀티 클라우드 환경 보안에 내재된 과제에 대해 논의하고 이러한 과제를 극복하기 위한 솔루션을 제공하고자 하는데, 본 문서는 오늘날의 최신 사이버 위협의 맥락에서 멀티 클라우드 환경과 관련된 다양한 보안 문제와 이를 해결하는 방법을 이해하는데 도움을 주고자 한다.
1. 서론
클라우드컴퓨팅은 기존 온프레미스 컴퓨팅에 비해 여러 가지 이점을 제공하므로 점점 더 대중화되고 있다. 그러나 더 많은 조직이 클라우드로 전환함에 따라 강력한 보안 제어에 대한 필요성도 높아졌다. 클라우드 컴퓨팅 보안은 클라우드에 저장된 전자 정보를 보호하기 위해 설계된 일련의 제어 기반 기술 및 정책을 의미한다.
컴퓨터 보안, 네트워크 보안, 정보 보안의 하위 분야로, 클라우드 내의 데이터와 정보를 무단 액세스나 도난으로부터 보호하는 것이 주요 목표이다. 이를 달성하기 위해 운영에 클라우드를 사용하는 조직은 클라우드 인프라 내부 및 외부의 위협을 해결해야 한다. 보안은 끊임없이 등장하는 공격 벡터에 맞춰 빠르게 발전해야 한다.
이러한 맥락에서 조직은 최신 보안 조치를 최신 상태로 유지해야 한다. 클라우드 컴퓨팅에 배포되는 가장 일반적인 보안 조치에는 데이터 암호화, 액세스 제어, ID 및 액세스 관리(IAM)가 포함된다.
데이터 암호화는 저장 데이터, 즉 클라우드에 저장된 데이터를 보호한다[1].
액세스 제어는 클라우드 내의 데이터 및 정보에 액세스할 수 있는 사람을 제한하는 데 사용된다.
마지막으로 IAM은 승인된 사용자만 클라우드에 액세스할 수 있도록 보장한다.
또한 조직은 방화벽, 웹 애플리케이션 보안과 같은 애플리케이션 수준의 보안 조치를 구현해야 한다. 예를 들어, 웹은 클라우드 서비스의 주요 액세스 지점이므로 웹 애플리케이션 보안은 매우 중요하다.
클라우드 컴퓨팅 보안은 복잡하고 끊임없이 진화하는 분야이다. 특히 오늘날의 사이버 범죄자들이 점점 더 발전하는 전술, 기술 및 절차를 배포하고 있다는 점을 고려할 때 더욱 그렇다.
그러나 적절한 보안 조치를 구현함으로써 조직은 데이터와 정보를 안전하게 유지할 수 있다. 이 백서는 기업과 개인이 클라우드 인프라와 정보를 보호하기 위해 배포할 수 있는 보안 제어, 즉 IAM, 데이터 암호화 및 트래픽 제어를 강조한다.
2. 신원/액세스(Identity/access)
멀티 클라우드 서비스 제공업체는 시스템과 데이터가 무단 액세스로부터 안전하고 고객의 데이터가 보호되는지 확인해야 한다. 또한 시스템을 지속적으로 사용할 수 있는지, 고객 데이터가 손실되거나 손상되지 않았는지 확인해야 한다.
따라서 멀티 클라우드 서비스 제공업체는 시스템과 데이터를 보호하기 위해 강력한 보안 정책과 절차를 구현하고 유지해야 한다. 또한 클라우드의 시스템과 데이터가 고객에게 새로운 위험이나 확인되지 않은 위험을 제공하지 않는지 확인하기 위한 위험 평가 계획이 있어야 한다.
클라우드 보안은 물리적 인프라에서 시작하여 클라우드에서 실행되는 애플리케이션과 데이터로 확장되는 다계층 접근 방식이다. 멀티 클라우드 서비스 제공업체의 경우 이는 데이터 센터에서 애플리케이션 계층까지 클라우드의 모든 측면을 포괄하는 보안 계획을 엄격하게 구성하고 준수하는 것을 의미한다.
데이터 센터, 네트워크 인프라, 클라우드를 구성하는 컴퓨터 및 스토리지로 구성된 물리적 인프라는 클라우드 보안의 초기 계층이다. 이는 또한 멀티 클라우드 서비스 제공업체를 위한 데이터 센터 인프라의 보안을 보장한다. 다음으로, 애플리케이션 계층은 웹 애플리케이션, 모바일 애플리케이션, API 보안 등 클라우드에서 실행되는 애플리케이션을 보호한다.
멀티 클라우드 서비스 제공업체의 경우 이는 품질 보증 및 보안 규정 준수를 포함하여 애플리케이션 개발 프로세스의 보안도 제공한다. 클라우드 보안의 마지막 계층은 클라우드에 저장된 데이터를 보호하는 데이터 계층이다. 이 계층에는 데이터 암호화, 데이터 백업 및 데이터 복구 방법이 포함된다.
멀티 클라우드 서비스 제공업체는 데이터 센터, 네트워크 인프라, 서버 및 스토리지, 애플리케이션 개발 프로세스, 클라우드에 저장된 데이터의 보안을 보장하는 포괄적인 보안 프로그램을 배포해야 한다.
또한 멀티 클라우드 서비스 제공업체는 클라우드의 모든 영역을 다루는 광범위한 클라우드 보안 계획을 구현해야 한다. IAM은 멀티 클라우드 서비스 제공업체를 위한 클라우드 보안의 중요한 부분이다.
IAM에는 사용자 계정, 인증 및 권한 부여 관리가 포함된다. 멀티 클라우드 서비스 제공업체의 경우 IAM은 클라우드의 데이터 및 리소스에 대한 액세스 제어 목록(ACL)의 방향도 제공한다.
이는 승인된 사용자만 클라우드의 데이터와 리소스에 액세스할 수 있도록 보장한다. IAM은 또한 무단 액세스를 방지하는 데 도움이 된다.
따라서 멀티 클라우드 서비스 제공업체는 클라우드 데이터를 안전하게 유지하고 중단 없는 비즈니스 운영을 보장하기 위해 강력한 IAM 솔루션이 필요하다. IAM 솔루션에는 클라우드의 데이터 및 리소스에 대한 사용자 계정, 인증, 권한 부여, ACL 관리가 포함되어야 한다.
[그림1. 신원/액세스]
데이터 손실 방지(DLP)는 중요하거나 기밀인 데이터가 손실, 도난 또는 우발적으로 발생하지 않도록 보장하는 전략이다.
유출. 데이터에 대한 액세스를 제어하고, 무단 액세스를 모니터링하고, 저장 중이거나 전송 중인 데이터를 암호화할 수 있다. DLP는 이러한 보안 제어를 구현하는 데 사용되는 소프트웨어 및 하드웨어를 나타낼 수도 있다. IAM은 조직에서 누가 어떤 데이터와 리소스에 액세스할 수 있는지 관리하는 프로세스이다.
이러한 보안 제어에는 사용자가 데이터와 리소스에 액세스할 수 있도록 인증하고 권한을 부여하는 정책과 절차가 포함되어 있어 DLP 전략을 강화한다.
따라서 DLP와 IAM은 서로 연결되어 있으며 민감한 데이터를 보호하는 데 중요한 도구이다. DLP는 데이터를 암호화하고 액세스를 제어하여 손실을 방지하는 데 도움이 된다. IAM은 사용자를 인증하고 권한을 부여하여 무단 데이터 액세스를 방지하는 데 도움이 된다.
3. 저장/전송/암호화 데이터
클라우드에서 데이터를 보호할 때 고려해야 할 세 가지 측면은 미사용 데이터, 전송 중인 데이터, 데이터 암호화이다. 데이터가 저장되면 서버나 하드 드라이브에 저장된다. 조직은 BitLocker 또는 FileVault와 같은 도구를 사용하여 데이터를 암호화하여 미사용 데이터를 보호할 수 있다.
데이터 암호화를 사용하면 권한이 없는 사용자가 서버나 하드 드라이브에 물리적으로 접근할 수 있더라도 데이터에 접근하기가 어렵다. 데이터가 전송 중에는 한 위치에서 다른 위치로 전송된다. 조직에서는 VPN 또는 TLS/SSL을 사용하여 데이터를 암호화하여 전송 중에 데이터를 보호할 수 있다. 마찬가지로, 데이터 암호화를 사용하면 권한이 없는 사용자가 전송되는 데이터를 가로채거나 읽는 것이 어렵다.
데이터 암호화는 키를 사용하여 데이터를 인코딩하는 프로세스이다. 이 보안 조치는 저장 중인 데이터와 전송 중인 데이터를 보호하는 데 도움이 된다. 조직은 클라우드 서비스 공급자를 선택할 때 데이터 보안의 세 가지 측면을 모두 고려해야 한다. 멀티 클라우드 서비스 제공업체는 데이터 암호화, VPN 또는 TLS/SSL을 포함한 데이터 보안 기능을 제공해야 한다.
대부분의 노트북과 데스크톱 컴퓨터에는 무단 액세스로부터 데이터를 보호하는 보안 기능이 내장되어 있다. 아직 개인과 조직이 파일을 클라우드에 저장하기 전에 파일을 추가로 보호하기 위해 취할 수 있는 추가 조치가 있다. 널리 사용되는 두 가지 옵션은 BitLocker와 FileVault이다. 이는 하드 드라이브를 암호화하고 적절한 자격 증명이 없는 사람이 민감한 데이터에 액세스하지 못하도록 방지하도록 설계되었다.
BitLocker는 특정 Windows 버전에 포함된 기능이며 다른 버전에서는 추가 기능으로 사용할 수 있다. AES(Advanced Encryption Standard) 방법을 사용하여 적절한 키 없이는 읽을 수 없도록 데이터를 스크램블한다. 전체 하드 드라이브나 특정 파티션 또는 볼륨을 암호화하도록 BitLocker를 설정할 수 있다.
FileVault는 macOS에 포함된 유사한 도구이다. 또한 AES 암호화를 사용하여 데이터를 보호하고 전체 하드 드라이브 또는 선택한 볼륨만 암호화하는 데에도 사용할 수 있다.
FileVault의 한 가지 장점은 컴퓨터의 시동 디스크를 암호화할 수 있다는 것이다. 이를 통해 누군가 문제의 컴퓨터에 물리적으로 접근하더라도 무단 접근을 방지할 수 있다.
BitLocker와 FileVault는 모두 데이터를 보호하는 효과적인 방법이며 컴퓨터를 분실하거나 도난당한 경우 무단 액세스를 방지하는 데 도움이 될 수 있다. 정보와 온라인 계정을 보호하기 위해 2단계 인증을 활성화하는 것뿐만 아니라 조직 전반에 걸쳐 강력한 비밀번호를 요구하는 것도 중요하다.
인간 요소는 사이버 보안 체인에서 가장 취약하다. 조직은 서비스에 가입하기 전에 고려 중인 멀티클라우드 서비스 제공업체의 보안 정책을 검토해야 한다.
또한 오프라인 데이터 백업은 암호화 및 제한된 액세스를 사용하여 보호되어야 한다. 오늘날 사이버 보안과 클라우드 보안에 대한 우려가 커지고 있는 것은 랜섬웨어이다. 오프라인 백업은 악의적인 행위자가 비즈니스 데이터나 시스템에 액세스하고 암호화하는 경우 데이터가 손실되지 않도록 보장하여 이러한 공격으로부터 보호한다.
모든 보안 정책은 다음 고려 사항을 고려해야 한다.
? 어떤 데이터 보안 기능이 마련되어 있는가?
? 데이터 보안 위반은 어떻게 처리되는가?
? 직원들에게는 어떤 데이터 보안 교육이 제공되는가?
? 어떤 제3자 보안 감사가 실시되는가?
? 데이터 보안 침해 사고 대응 계획은 무엇인가?
조직은 멀티 클라우드 서비스 제공업체를 선택할 때 데이터 보안 요구 사항도 고려해야 한다. 조직은 공급자가 위험 성향, 규모 및 비즈니스 운영에 맞는 데이터 보안 기능을 제공하는지 확인하는 것이 필요하다.
또한 조직은 데이터 보안 정책과 절차를 확고하게 갖추어야 한다. 마찬가지로 멀티 클라우드 서비스 공급자를 선택할 때 데이터 보안 요구 사항을 고려해야 하며 공급자가 필요한 데이터 보안 기능을 제공하는지 확인해야 한다. 조직은 또한 데이터 보안 정책과 절차를 마련해야 한다.
미사용 데이터는 하드 드라이브나 SSD와 같은 물리적 저장 장치에 저장되며 일반적으로 무단 액세스로부터 보호하기 위해 암호화된다. 멀티 클라우드 서비스 제공업체는 암호화를 사용하여 서버에 저장된 데이터를 보호할 수 있다. 전송 중인 데이터는 일반적으로 도청으로부터 보호하기 위해 암호화된다.
이 경우 멀티 클라우드 서비스 제공업체는 암호화 키를 사용하여 서버와 고객 장치 간에 전송되는 데이터를 보호할 수 있다. 무단 액세스로부터 데이터를 보호하기 위해 암호화가 수행된다.
예를 들어 멀티 클라우드 서비스 제공업체는 암호화 키를 사용하여 데이터를 암호화하거나 데이터에 디지털 서명하여 무단 개인이 고객의 데이터에 액세스하지 못하도록 보호할 수 있다.
동형암호(Homomorphic encryption)는 데이터가 암호화된 상태에 있는 동안 데이터에 대해 수학적 연산을 수행할 수 있도록 하는 암호화 유형이다. 이는 시간이 많이 걸리고 리소스 집약적일 수 있는 암호 해독 없이 데이터를 분석하고 처리할 수 있음을 의미한다.
클라우드에는 암호화 키의 안전한 저장 및 관리를 제공하는 다양한 키 관리 서비스가 있다. 이러한 서비스를 사용하면 저장 데이터와 전송 중인 데이터를 암호화할 수 있을 뿐만 아니라 정기적으로 키를 관리하고 교체할 수 있다. 가장 널리 사용되는 키 관리 서비스로는 AWS Key Management Service(AWS KMS), Azure Key Vault, Google Cloud Key Management Service(GCP KMS) 등이 있다.
[그림2. 저장/전송/암호화 데이터]
참 고 문 헌
- Sandesh Achar, Cloud Computing Security for Multi-Cloud Service Providers: Controls and Techniques in our Modern Threat Landscape, International Journal of Computer and Systems Engineering, 2022
- Multicloud, https://en.wikipedia.org/wiki/Multicloud
- ITU-T X.16019(2014) Cloud computing security ? Overview of cloud computing security: Security framework for cloud computing, 2014.
- Verma, Cloud computing security issues: a stakeholder’s perspective., SN Computer Science, 1(6), 1-8, 2020.
- Alsmadi, Sharing and storage behavior via cloud computing: Security and privacy in research and practice., Computers in Human Behavior, 85, 218-226, 2018.
저작권 정책
K-ICT 클라우드혁신센터의 저작물인 『멀티 클라우드 서비스 제공업체를 위한 클라우드 컴퓨팅 보안 이슈』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.