침해사고/위협동향

[NES 2018] "클라우드가 보안을 모두 보장해 주진 않는다"

최민지

클라우드(Cloud), 블록체인(Blockchain), 인공지능 및 머신러닝 등 놀라운 혁신 기술이 기업의 업무시스템에 속속 도입되고 있다. 그러나 이와 함께 한차원 높은 기업 보안의 고도화도 동시에 요구되고 있다.

유럽연합(EU) 일반 개인정보보호법(GDPR)이 오는 5월 시행에 들어감에 따라 국내 기업들의 컴플라이언스 대응도 불가피한 상황이며 보안 및 내부통제에 대한 사회적 관심도 커져가고 있다.

<디지털데일리>는 오는 4월26일 개최되는 'NES 2018' 컨퍼런스에 맞춰 국내 보안 시장 동향과 전망 등을 알아본다.<편집자>

[디지털데일리 최민지기자] 가트너에 따르면 올해 전세계 퍼블릭 클라우드 서비스 시장은 지난해보다 21.4% 성장한 1864억달러에 달할 전망이다. 한화로 199조원을 넘는 금액이다.

이처럼 클라우드로의 전환은 빠르게 확대되고 있지만, 보안위협에서 안전한 플랫폼에 대한 우려는 여전히 상존하고 있다.

카스퍼스키랩이 지난해 12월 발표한 조사를 살펴보면, 클라우드 서비스를 이용하는 10개 기업 중 7곳이 보안사고에 대한 확실한 대응책을 마련하지 않았다. 47%의 기업은 데이터 손실 위험에 직면했으며, 35% 기업은 어떤 정보가 어디에 보관돼 있는지조차 몰랐다.

현재까지도 상당수 기업들은 클라우드 서비스 제공자와 사용자 간 책임 범위를 정확하게 인지하지 못하고 있다. 막연히 아마존웹서비스(AWS) 등 클라우드 서비스 제공자에서 보안에 대해 책임질 것이라고 생각하고 있다.

하지만 서비스 제공자에서 지원하는 보안 부분과 서비스 사용자가 직접 책임져야 할 부분은 정확히 분리돼 있다. 이들은 IT 인프라 설비에 대한 물리적 보안에 대해서만 보안 요소를 제공한다.

일부 운영체제 패치, 방화벽, 웹 방화벽 일부 기능을 제공하기도 하지만 이 외에는 사용자가 직접 보안시스템을 꾸려야 한다. 퍼블릭 클라우드가 아닌 프라이빗 클라우드의 경우, 인프라에 대한 물리적 보안까지 사용자의 몫이다.

실제 클라우드 보안 위협 사례를 살펴보자. 2014년 6월 영국 호스팅 업체 ‘코드 스페이스’는 AWS를 통해 호스팅 서비스를 제공하고 있었다. 해커는 서버 공격 후 금전을 요구했고, 이미 데이터, 백업 등을 모두 삭제하고 AWS 관리 계정 비밀번호까지 변경했다.

이 때 책임 소재는 사용자 측에 있다. AWS는 공동책임 정책을 채용하고 있는데, 사용자 측은 해킹을 추적할 수 있는 최소한의 보안 시스템도 갖추지 않았다.

제대로 보안조치를 취하지 않은 채 클라우드를 사용했을 때 기업은 심각한 타격을 받을 수 있다. 중요한 데이터를 유출당하고 실제 비즈니스와 수익에 악영향을 받고, 나아가 정부 컴플라이언스 위반으로 법적 조치를 받거나 고객으로부터 손해배상에 직면하게 된다.

사용자들이 안일하게 클라우드 보안에 접근하고 있을 때 공격자들은 클라우드 서비스를 무기로 사용하는 단계에 이르렀다. 이들은 보안강화를 위해 고안된 암호화를 악용해 탐지를 피하며 공격을 고도화하고 있다.

이에 클라우드도 기존 IT 시스템을 보호하듯 보안요소를 적용해야 한다. 단, 클라우드 특성에 맞춰야 한다. 가장 취약하고 빈번히 공격받는 애플리케이션과 운영체제부터 데이터베이스 서버의 관리적 측면을 위한 서버시스템, 네트워크, 물리적 환경에 대한 계층별 보안을 적용해 전반적으로 안전한 시스템을 마련해야 한다.

또한, 클라우드 상에서의 데이터 사용 현황과 애플리케이션을 제대로 파악하기 위한 가시성을 확보하는 것도 중요하다.

글로벌 및 국내 보안기업들은 최근 CASB(Cloud Access Security Broker) 모델을 선보이고 있다. 클라우드 서비스 사업자와 사용자 중간에 위치해 보안 전반을 책임지 각각의 보안 기능을 플랫폼 기반으로 서비스하는 방식으로, 보안관제와 위협 인텔리전스 등을 연동하고 있다.

<최민지 기자>cmj@ddaily.co.kr

[제13회] 'NES 2018' 차세대 기업보안 세미나&전시회 컨퍼런스에 여러분을 초대합니다.

독자 여러분 안녕하십니까?

비즈니스 환경이 정책과 맞물려 빠르게 바뀌고 있습니다. 사물인터넷(IoT), 클라우드, 빅데이터, 모바일 중심의 ICBM이 본궤도에 진입했고, 최근에는 블록체인까지 부상하고 있습니다. 가상화폐와 블록체인을 중심으로 한 정부정책도 물살을 타고 있으며, EU 일반 개인정보보호법(GDPR)은 국내 정책 변화를 예고하고 있습니다.

IT혁신 기술을 도입하는 기업에게 가장 큰 걸림돌은 보안 위협입니다. 어느때보다 보안위협에 적극적으로 대응하고 위협을 사전단계부터 안전하게 관리할 수 있는 전사적인 보안전략이 요구되고 있습니다.

오는 4월26일(목) 국내 최고 수준의 차세대 엔터프라이즈 보안 전략 컨퍼런스(NES 2018)에 많은 관심과 참여 부탁 드립니다.

자세한 행사 일정 및 프로그램 안내


최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널