상명대학교 / 서광규 교수


 

클라우드 컴퓨팅 사용이 빠르게 증가하면서 보안 문제가 제기되고 있다. 클라우드 컴퓨팅의 수용과 사용 확대로 인해 보안 문제가 발생한다. 데이터 침해, 무단 액세스, 전송 중 또는 시스템 오류로 인한 데이터 손실은 보안 문제의 사례이다.

일반적으로 다음과 같이 다섯 가지 요소가 보안 문제의 주요 구성 요소를 결정한다.

- 네트워크 관련

- 기밀유지 및 개인정보 보호

- 데이터 관련 문제

- 가상화 관련 문제

- 기타

클라우드 보안 프레임워크는 조직이 클라우드 인프라를 구축할 때 취약성을 이해하는 데 도움을 주기 위해 만들졌다. 클라우드 보안 프레임워크는 기업이 보안 위험으로부터 클라우드 환경을 보호하기 위해 사용할 수 있는 규칙, 표준 및 최선의 모음이다. 핵심 개요는 클라우드 인프라를 보호하고 관리하는 데 필요한 정책, 도구, 설정 및 절차이다. 클라우드 보안 위협을 관리하기 위한 체계적인 방법을 제공하여 조직이 위험을 식별, 액세스 및 줄이는 데 도움을 준다.

사용 가능한 대표적으로 잘 알려진 프레임워크가 있다. CSA STAR(클라우드 보안 연합 제어 매트릭스), FedRAMP, NIST(국립 표준 기술 연구소), COBIT 5, ISO(국제표준화기구), Well-Architected 클라우드 프레임워크(AWS, Azure, Google) 등이 그 사례이다. 기업은 클라우드 환경에서 데이터와 애플리케이션의 기밀성, 무결성, 가용성을 보장하는 데 있어 상당한 문제에 직면해 있다. 부적절한 클라우드 보안은 일반적으로 취약성, 무단 액세스, 데이터 유출로 이어지며 조직의 브랜드와 소비자 신뢰도에 심각한 해를 끼친다. 본 글에서는 클라우드 보안 프레임워크를 검토하고, 클라우드 보안 문제를 해결하기 위한 솔루션을 살펴보기로 한다. 다양한 클라우드 보안 프레임워크에 대한 더 많은 지식을 제공하면 클라우드 기반 시스템에 적합한 보안 조치를 선택하고 구현하는 데 대한 합리적인 의사결정을 내리는 데 도움을 줄 수 있다. 여기에서는 클라우드 기술, 인프라 보안을 위한 이슈 및 프레임워크를 소개하고 현업에서 사용 가능한 다양한 클라우드 보안 프레임워크를 검토한다.

본 고에서 다루는 프레임워크는 COBIT5, NIST(국립표준기술연구소), ISO(국제표준화기구), CSA(Cloud Security Alliance) STAR 및 AWS(Amazon Web Services) Well-Architected 프레임워크를 중점적으로 살펴본다.

 



 

1. 클라우드 보안 문제 및 솔루션

1-1. 클라우드 보안 문제 및 솔루션

클라우드 컴퓨팅은 조직이 데이터와 애플리케이션을 저장, 처리, 액세스하는 방식에 혁명을 일으킨다. 그러나 이러한 패러다임 전환으로 인해 클라우드에서 데이터의 기밀성, 무결성 및 가용성을 보장하기 위해 해결해야 하는 다양한 보안 문제(그림 1 참조)가 발생한다.

 


[그림1. 클라우드 보안 문제의 주요 구성요소]


1-1-1. 클라우드 보안 문제

데이터 개인 정보 보호 및 유출: 클라우드 환경의 공유 특성으로 인해 데이터 개인 정보 보호 문제가 발생한다. 무단 접근이나 데이터 유출은 민감한 정보 유출로 이어질 수 있다.

데이터 위치 및 관할권: 클라우드 인프라의 동적 특성으로 인해 데이터의 물리적 위치에 대한 불확실성이 발생할 수 있으며 잠재적으로 데이터 보호 규정 및 법적 관할권과 충돌을 일으킬 수 있다.

멀티 테넌시 위험: 멀티 테넌시는 서로 다른 고객의 데이터가 동일한 물리적 하드웨어에 상주할 수 있어 잠재적으로 데이터 노출로 이어질 수 있는 리소스 및 데이터 공동 상주 위험을 초래한다.

부적절한 액세스 제어: 권한이 없는 사용자가 리소스 및 데이터에 액세스하지 못하도록 적절한 액세스 제어 메커니즘을 보장하는 것은 복잡한 액세스 요구 사항이 있는 클라우드 환경에서 어려운 일이다.

 

1-1-2. 클라우드 보안 솔루션

클라우드 보안과 관련된 문제를 해결하고 위험을 줄이기 위해 다양한 방법이 제안되고 사용되었다. 여기에는 몇 가지 사례가 있다.

- 암호화 및 키 관리: 저장 데이터와 전송 중인 데이터를 암호화하면 무단 액세스로부터 보호하는 데 도움이 된다. 암호화 메커니즘의 보안을 유지하려면 적절한 키 관리 솔루션이 중요하다.

- IAM(ID 및 액세스 관리): 강력한 IAM 솔루션은 사용자 ID, 역할 및 권한을 관리하는 데 필수적이다. 최소 권한 원칙을 구현하면 잠재적인 위험을 최소화하는 데 도움이 된다.

- 가상화 보안: 하이퍼바이저 또는 가상 머신 인스턴스의 취약점을 표적으로 삼는 공격을 방지하려면 가상화 계층을 적절하게 보호하는 것이 필수적이다.

- 클라우드별 보안 도구: 클라우드 기반 보안 도구를 활용하면 클라우드 환경 내에서 위협 탐지 및 대응을 강화할 수 있다. AWS GuardDuty 및 Azure Security Center와 같은 도구는 실시간 모니터링을 제공한다.

- 보안 모니터링 및 사고 대응: 포괄적인 보안 모니터링 기술 및 방법론을 사용하면 보안 문제를 식별하고 적시에 대응할 수 있다. 지속적인 모니터링, 로그 분석 및 위협 인텔리전스는 모두 보안 위반을 감지하고 완화하는 데 중요하다.

- 클라우드 보안을 위한 표준 및 인증: 업계에서 인정받는 보안 표준 및 인증은 클라우드 서비스의 보안을 분석하고 보장하기 위한 프레임워크를 제공한다. ISO 27001, CSA STAR 및 FedRAMP 표준은 조직이 CSP의 보안 기능을 평가하는 데 도움을 준다. 정기적인 보안 평가 및 감사는 조직이 취약점을 식별하고 보안 규정을 준수하도록 지원한다. 사전 예방적인 보안 전략에는 독립적인 감사, 침투 테스트 및 취약성 검색이 포함된다. 클라우드 서비스에 대한 안전한 설정을 구현하고 기본 인프라를 강화하여 가능한 취약점을 완화한다.

 



 

2. 클라우드 보안 프레임워크 사례 분석

최근 몇 년 동안 클라우드 컴퓨팅의 사용이 증가하면서 기업이 데이터를 처리하고 저장하는 방식이 바뀌었다. 클라우드는 확장성, 비용 효율성, 유연성 등 다양한 장점을 갖고 있다. 그러나 클라우드 서비스에 대한 의존도가 높아지면서 적절한 보안 조치를 구현하는 것이 중요해졌다. 클라우드 보안 프레임워크는 조직이 클라우드 환경에 특정한 보안 정책을 정의하고 구현하는 데 도움이 된다. 위험 평가, 보안 조치 선택 및 구현, 보안 모니터링, 사고 대응 계획, 지속적인 보안 개선에 대한 조언을 제공한다. 다음 표 1에서는 현재 산업현장에서 사용할 수 있는 다양한 유형의 프레임워크를 보여준다.

 


[표1. 보안 프레임워크 사례]


 

1) 클라우드 컴퓨팅을 위한 COBIT 5:

클라우드 컴퓨팅용 COBIT 5는 IT 활동을 전략적 비즈니스 목표에 맞추는 거버넌스 및 관리 프레임워크를 제공한다. 클라우드 환경에서 위험 관리, 성능 측정, 프로세스 개선의 중요성을 강조한다. 이 프레임워크는 비즈니스 목표를 달성하는 동시에 안전한 클라우드 채택을 보장하는데 필요한 역할, 책임 및 제어를 정의하기 위한 지침을 제공한다.

 

2) NIST SP800-144:

NIST SP800-144는 클라우드 보안에 중점을 두고 클라우드 관련 위협, 취약성 및 위험에 대한 심층적인 이해를 제공하는 전문 문서이다. 클라우드 서비스와 관련된 보안 문제에 대한 포괄적인 개요를 제공하고 이러한 위험을 완화하기 위한 실용적인 지침과 권장 사항을 간략하게 설명한다. 이 프레임워크는 사이버 보안 환경 전반에서 널리 존중되고 참조된다.

 

3) ISO 27017:

ISO 27017은 클라우드 보안 제어를 구체적으로 다루는 국제 표준이다. 데이터 분류, 암호화, 액세스 관리, 사고 대응 등의 영역을 다루는 클라우드 서비스에 대한 효과적인 보안 조치 구현에 대한 지침을 제공한다. 이 표준은 클라우드 서비스 제공업체와 사용자가 공통 보안 제어 세트를 구축할 수 있도록 보장한다.

 

4) FedRAMP:

FedRAMP(연방 위험 및 인증 관리 프로그램)는 클라우드 서비스에 대한 보안 평가 및 인증 프로세스를 표준화하는 미국 정부 이니셔티브이다. 정부 기관에서 사용하는 클라우드 서비스가 엄격한 보안 요구 사항을 충족하는지 확인하는 데 중점을 둔다. FedRAMP 규정 준수는 정부 고객을 대상으로 하는 클라우드 서비스에 대한 높은 수준의 보안 준비 상태를 보여준다.

 

5) AWS Well-Architected 프레임워크:

AWS Well-Architected 프레임워크는 Amazon Web Services(AWS)에서 안전하고 최적화된 인프라를 설계하기 위한 구조화된 접근 방식을 제공한다. 이는 운영 우수성, 보안, 안정성, 성능 효율성 및 비용 최적화라는 5가지 핵심 요소를 포함한다. 이 프레임워크를 따르면 조직은 클라우드 아키텍처가 보안 및 성능에 대한 모범 사례에 부합하는지 확인할 수 있다.

 

6) CSA STAR:

Cloud Security Alliance STAR(Security Trust Assurance and Risk) 프로그램은 클라우드 서비스 제공업체의 보안 상태를 평가하기 위한 포괄적인 프레임워크를 제공한다. 보안 제어, 규정 준수 및 전반적인 위험 관리를 평가하는 자세한 설문지를 제공한다. 조직은 정보에 입각한 결정을 내리기 전에 CSA STAR를 사용하여 다양한 클라우드 공급자를 평가하고 비교할 수 있다.

 

7) ENISA 클라우드 보안 가이드:

ENISA 클라우드 보안 가이드는 클라우드 보안 강화를 위한 실용적인 조언을 제공한다. 위험 평가, 거버넌스, 규정 준수, 사고 대응 등 광범위한 클라우드 보안 주제를 다룬다. 이 가이드는 클라우드 보안 고려 사항에 대한 포괄적인 통찰력을 원하는 조직에 유용하다.

 

8) 클라우드용 CIS 제어:

클라우드용 CIS(인터넷 보안 센터) 제어는 클라우드 환경 보안을 위한 일련의 모범 사례를 제공한다. 이는 조직이 클라우드 리소스를 보호하기 위해 구현해야 하는 중요한 보안 조치에 중점을 둔다. 이러한 제어에는 ID 관리, 데이터 보호, 취약성 관리 등의 영역이 포함된다.

 

9) 클라우드 제어 매트릭스(CCM):

Cloud Security Alliance의 CCM(클라우드 제어 매트릭스)은 클라우드 서비스의 보안 상태를 평가하기 위한 포괄적인 프레임워크를 제공한다. 보안 제어를 다양한 업계 표준 및 규정에 매핑하여 클라우드 공급자 보안을 평가하기 위한 자세한 참조를 제공한다.

 

10) CSA 보안 지침:

CSA(Cloud Security Alliance) 보안 지침은 클라우드 환경 보안을 위한 일련의 모범 사례와 권장 사항을 제공한다. 거버넌스, 위험 관리, 규정 준수, 암호화 등 다양한 클라우드 보안 주제를 다룬다. 이 지침은 클라우드에서 강력한 보안 기반을 구축하려는 조직에 유용하다.

 

이러한 프레임워크는 클라우드 서비스 공급자와 클라우드 클라이언트 모두의 보안을 향상하는 데 사용된다. 클라우드 보안 프레임워크는 광범위한 분야에서 널리 인식되고 사용된다. 조직은 이러한 프레임워크를 사용하여 클라우드 공급자의 보안 상태를 분석하고 자체 보안 절차를 검토하며 고객 및 이해관계자와의 신뢰를 구축한다. 잘 알려진 프레임워크를 준수하면 클라우드 보안 표준에 대한 공통 언어 및 지식 개발에 기여한다. 여기에서는 클라우드 보안 프레임워크, 구현 프로세스, 구현 프로세스의 중요성에 대한 개요를 기술한다.

 

본 원고에서는 다음과 같은 5개의 주요 클라우드 보안 프레임워크를 살펴보기로 한다.

1) COBIT 5(클라우드에서의 제어 및 보증: COBIT5 사용)

2) NIST(국립표준기술연구소)

3) ISO 27017(국제표준화기구)

4) CSA STAR(클라우드 보안 연합 보안, 신뢰 및 보증 레지스트리)

5) AWS Well-Architected 프레임워크

 

이 5가지 프레임워크는 비즈니스 목표에 맞게 IT를 조정하는 구조화된 접근 방식 제공(COBIT5), 포괄적인 클라우드 보안 고려 사항(NIST SP800-144)부터 특정 보안 제어(ISO 27017) 및 실제 구현(AWS Well-Architected)에 이르기까지 다양한 관점을 다룬다.

 


참 고 문 헌




  2. Tsochev, G.R.; Trifonov, R.I. Cloud computing security requirements: A Review. IOP Conf. Ser. Mater. Sci. Eng. 2022, 1216, 012001.
  3. ISACA. Security Considerations for Cloud Computing; ISACA: Schaumburg, IL, USA, 2012.
  4. CSA Top Threats Working Group. Top-Threat-2-to-Cloud-Computing-Insecure-Interfaces-and-Apis. CSA. 30 July 2022.
  5. Jansen, W.; Grance, T. Guidelines on Security and Privacy in Public Cloud Computing; NIST: Gaithersburg, MD, USA, 2011.
  6. NIST. NIST US Government Cloud Computing Technology Roadmap, Release 1.0 (Draft); NIST: Gaithersburg, MD, USA, 2011.
  7. CSA. Security Guidance for Critical Areas of Focus in Cloud Computing v3.0; CSA: Toronto, ON, Canada, 2011.
  8. Park, S.-J.; Lee, Y.-J.; Park,W.-H. Configuration Method of AWS Security Architecture That Is Applicable to the Cloud Lifecycle
    for Sustainable Social Network. Commun. Secur. Soc.-Oriented Cyber Spaces 2021, 2021, 3686423.



저작권 정책


K-ICT 클라우드혁신센터의 저작물인 『클라우드 보안 프레임워크 분석』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.