- 서비제공업체 신뢰성·보안정책 고려한 이용 선택 중요 - 사용자 인증·접근관리, 데이터 보안, 가상화 보안 기술 부각
[디지털데일리 이유지기자] 클라우드 컴퓨팅 서비스를 이용하려는 기업의 보안은 서비스제공업체를 선정하고 이용 범위를 결정하는 과정에서부터 시작된다.
기업은 우선 사내 보안정책과 정보보호관리체계, 정보보호 관련 법규제 준수사항을 고려해 도입 및 이용 여부를 결정하는 것이 중요하다.
예를 들면, 개인정보와 같이 민감한 정보는 퍼블릭 클라우드 영역에 저장을 최소화하고 반드시 암호화해 저장·전송한다든지, 협업 도구를 많이 사용하는 경우에는 데이터 암호화 보다는 사용자 인증 및 접근 통제를 강화해 적용하는 식이다.
또한 서비스 업체들이 클라우드 인프라와 서비스 환경을 입지조건상 안전한 곳에서 운영하고 있는지, 또 악성코드나 해킹, DDoS(분산서비스거부)와 같은 사이버공격에도 적절히 대응할 수 있는 대책이나 필요한 보안 서비스가 마련돼 있는지 반드시 검토해야 한다.
서비스업체를 선정한 이후에는 보안사고 발생시 책임 범위나 조치, 백업 및 복구 방안 등을 서비스수준협약(SLA)을 통해 반드시 계약 사항에 포함시켜야 한다. 보안SLA를 공들여 체결하면, 서비스제공업체들과 보안관리 책임이 분담될 수 있어 위험 부담을 크게 해소할 수 있고 보안사고 이후에 소모적인 분쟁 소지도 줄일 수 있다는 것이 전문가들의 조언이다.
클라우드 컴퓨팅 환경에서 필요한 보안 기술은 가상화 보안을 제외하고는 대부분 물리적 환경에서의 보안 요구사항이 동일하다고 여겨지고 있다. 방화벽, 침입방지시스템(IPS) 등 네트워크 보안에서부터 애플리케이션 보안, 데이터 보안 등 모든 계층과 영역을 아우르는 보안 대책은 클라우드 환경에서도 당연히 고려돼야 한다.
그 중에서도 사용자를 정확하게 인증하고, 인증된 사용자에게 적합한 권한을 부여하는 것과 저장·전송·이용 중인 데이터 보안이 중요하게 강조되고 있다. 네트워크 기반의 물리적인 컴퓨팅 자원을 가상화해 여러 조직과 사람이 외부 사업자로부터 원하는만큼 임대해 쓰는 클라우드 서비스의 특성으로 때문이다.
계정 및 접근권한관리나 데이터 보안 대책이 제대로 이뤄지지 않는다면 큰 혼란과 함께 기밀정보의 유출로 커다란 피해를 입을 수 있다.
이 때문에 클라우드 컴퓨팅에 대한 관심이 늘어나면서 대표적으로 사용자 인증과 계정·권한관리를 자동화된 방식으로 통합적으로 수행하는 IAM(Identity and Access Management) 솔루션에 대한 관심이 높아지고 있다.
IAM은 보안성뿐만 아니라 사용자 편의성, 기존 환경과의 연동 방안 및 호환성이 반드시 제공돼야 한다고 업계 전문가들은 강조하고 있다. 이같은 솔루션은 마이크로소프트, CA, EMC RSA, IBM 등이 제공하고 있다.
사용자들의 이상행위를 파악하고 법규준수를 위해선 보안정보이벤트관리(SIEM)과 같은 로그관리·감사가 반드시 이행돼야 한다는 점에서 보안감사 및 관리 솔루션 역시 중요하게 인식되고 있다.
애플리케이션 보안개발 역시 빼놓을 수 없다. IaaS(Infra as a Service)나 PaaS(Platform as a Serviec) 상에서 애플리케이션을 개발하는 경우에는 보안 결함을 최소화하기 위해 보안개발수명주기(SDLC)를 수립하고, 다양한 테스트 방법론을 활용해 보안 코딩에 대한 보증 활동을 계획하고 수행하는 것이 권고된다.
또 외부 전문가들에 의해 발견됐거나 공급업체가 제공하는 보안취약점 정보나 보안권고문을 수집해 자사 솔루션에 미칠 위험과 영향도를 평가한 후 적절한 위험 완화 방안을 수립할 수 있는 관리체계도 마련돼 있어야 한다.
가상화는 클라우드 컴퓨팅에서 IT 인프라의 효율성을 극대화시키는 핵심 기술이지만 특화된 보안 취약점이 존재할 수 있다는 점에서 가상화 환경을 지원하는 보안 기술이 반드시 필요하다.
이 때문에 블루코트, 시만텍, 시스코, 주니퍼네트웍스, 트렌드마이크로, 티핑포인트, IBM 등 글로벌 IT·보안업체들은 경쟁적으로 VM웨어, 마이크로소프트, 시트릭스 등의 가상화 솔루션을 지원하는 가상버전의 보안 제품을 선보이고 있다.