클라우드보안 기술은 보호대상에 따라 크게 데이터, 애플리케이션 그리고 인프라 보안으로 나눌 수 있습니다. 이 문서에서는 이런 대상에 대한 외부 위협 및 내부 취약점 보호를 위한 여러 핵심기술과 특징들에 대해서 알아보겠습니다.
클라우드보안
많은 기업이 주요 자산과 서비스를 클라우드 영역으로 마이그레이션 하고있습니다. 가변적인 트래픽에 대한 유연한 대응 및 비용대비 효율이 뛰어나기 때문입니다.
아래와 같이 기존의 여러 클라우드 서비스 업체들이 있습니다. 최근 클라우드 서비스 직원의 KPI를(성과지표) ‘고객의 비용절감 수준’으로 평가한다는 기사는 기업들의 클라우드 서비스 사용목적을 나타내는 것도 같습니다.
혹시 클라우드 마이그레이션을 계획, 검토 중이시라면 이전의 클라우드 마이그레이션 3단계 절차 및 고려사항에 대한 글을 참고해보시는 것도 좋겠습니다.
클라우드 보안 필요성
클라우드 서비스는 외부망에 공개된 특성상 외부 침입과 내부 취약점에 의해 위험성이 상존하고 있습니다. 따라서 정부에서는 아래 3가지 기준에 따라 클라우드 정보보호 기준을 제시하고 있습니다.
구분 | 설명 |
관리적 보안 | 정보보호 정책, 조직, 인적 보안, 자산관리, 침해 사고관리, 서비스 연속성 관리 등 |
물리적 보안 | 물리적 보호구역을 지정 및 보호시설 |
기술적 보안 | 물리적 분리, 보안 서비스 수준협약, 이중화, 백업체계 구축, 암호화 기술 제공, 보안관제 환경지원 |
클라우드 컴퓨팅 주요 위협
다음은 CSA (Cloud Service Alliance) 에서 발표한 클라우드 컴퓨팅에서 많이 발생하는 주요 위협에 대한 리스트 입니다.
주요위협 | 설명 |
리소스 남용 및 불손한 사용 | 악의적인 의도로 클라우드 서비스를 사용시 서비스 부하 및 비용증가를 발생시킴. |
안전하지 않은 애플리케이션 | 애플리케이션 취약점으로 인해 관리자 계정의 탈취 및 서비스 정지의 위험성 발생 |
악의적 의도의 내부 관계자 | 내부 정보의 유출 및 파손위험 |
데이터 손실 및 유출, 공유기술의 취약점 | 오픈소스 기반의 취약점에 대한 집단적 위협 발생 가능 |
계정 관리 | 네트워크를 통한 계정 하이재킹의 위험성이 높음 |
미공개 위협 | 시스템의 구성 및 소프트웨어의 다양성에 따라 Zero Day Attack 같은 알려지지 않은 위험성 상존 |
보호대상
앞서 말씀드린 것처럼 클라우드 보안이 대상은 크게 다음의 3가지입니다. 각 대상별로 세부적인 핵심기술에 대해서 살펴보겠습니다.
1. 인프라 보안
클라우드 서비스는 아래와 같이 서비스 제공 범위에 따라 IaaS, PaaS, Saas 로 나누어집니다. 이중에 IaaS의 파란색에 해당하는 부분이 모든 서비스에 공통적인 ‘인프라’에 해당합니다. 요즘 많이 사용하는 AWS 클라우드 서비스는 24×7 상시 모니터링을 통해 데이터의 가용성, 기밀성, 무결성을 체크하고 있습니다.
서비스 구분 | 특징 |
IaaS | 물리적 자원을 서버형태로 제공하여 사용자 입장에서 별도의 고정비를 제거하고 이를 사용한 만큼의 변동비로 대체할 수 있습니다. |
PaaS | IaaS에 추가로 운영체제 및 미들웨어, 런타임의 논리적인 영역을 추가로 서비스받습니다. |
SaaS | 애플리케이션까지 서비스를 받으므로 개발의 부담이 없으며 즉시 서비스 사용이 가능합니다. |
이 중에 가장 많이 사용하는 형태의 하나는 PaaS 입니다. 자사의 애플리케이션은 직접 개발하되 이를 서비스할 수 있는 인프라 및 플랫폼(OS, 미들웨어)는 제공받게 됩니다.
인프라 보안의 대상의 위의 그림과 같이 가상화, 서버, 스토리지, 네트워크로 나누어 볼 수 있습니다. 각 세부 보안기술에 대해 자세한 설명은 다음에 이어서 설명하겠습니다.
2. 네트워크 보안
클라우드 네트워크 보안은 일반적으로 많이 적용되는 DDoS 보호, 애플리케이션 방화벽, 침입탐지시스템 및 VPN 기술을 이용한 데이보호 기술과 비슷합니다.
1) 차세대 방화벽: 사용문맥 및 L7 계층의 보호가능
2) 데이터 암호화: 유출시 피해를 최소화
3) VPN: IPSec, SSL 기반 가상 전용선 효과
참고로 클라우드 서비스를 제공하는 구글이나 AWS 등의 네트워크 효율화를 위해 SDN 기술을 도입하기도 합니다.
3. 애플리케이션 보안
앞서 CSA의 발표자료와 같이 클라우드에서 동작하는 애플리케이션의 취약점은 관리계정의 탈취 등으로 서비스 전체의 위험으로 확산되기도 합니다.
많이 발생하는 취약점은 OWASP List로 만들어 주기적으로 갱신되어 배포되기도 합니다. 대표적인 애플리케이션 취약점은 다음과 같습니다.
- 입력유효성 체크: 버퍼오버플로, SQA 인젝션 공격
- 인증 및 인가위협: 네트워크 도청, 무차별대입공격, 사전공격 위협
- 암호화: 형편없는 키 생성 및 관리정책
- 소프트웨어 부당변경: 무결성 체크 미비 등
이상으로 클라우드 보안 기술의 필요성과 보호 대상에 대해서 알아보았습니다. 이어지는 글에서 각 보호대상에 대한 세부적인 내용을 살펴보겠습니다.