‘클라우드 보안’ 위해 명심해야 할 수칙 몇 가지

[애플경제 이보영 기자] 클라우드 보안이 날로 강조되고 있다. 클라우드에서 애플리케이션을 안전하게 배포하고 데이터를 관리하기 위해 이는 매우 중요하다. 많은 클라우드 엔지니어들은 클라우드에서 데이터와 애플리케이션을 보호하려면 좀더 엄격한 보안 정책을 비롯해 인력, 프로세스, 기술을 관리할 것을 주문한다. 안정적이고 확장성이나 비용 절감 효과도 좋다보니 클라우드로 마이그레이션하는 기업이 증가하면서 더욱 그런 노력이 필요하다는 것이다. 클라우드 보안 대책은 전문가들에 따라 다양하긴 하지만, 가트너와 기술매체 ‘테크리퍼블릭’, ‘매셔블’ 등을 종합해보면, 대략 4~5가지로 요약할 수 있다.

클라우드 제공업체․사용자, ‘공동 책임의식’ 필요

우선 클라우드 보안은 공동 책임의 대상임을 인식해야 한다. 즉, 클라우드의 보안은 클라우드 제공업체(CSP)와 소비자인 기업 간의 공유 책임임을 명심해야 하는 것이다. 우선 고객의 데이터와 가상화 플랫폼 자체의 안전을 보장하는 것은 클라우드 제공업체의 몫이다. 또 클라우드 사용자로선 예상되는 리스크를 이해하고, 주도적으로 적절한 보안 제어를 설계하고 구현해야 한다. 또한 가상화 스토리지를 암호화하는 것을 게을리하지 않아야 하고, 가상 네트워크와 방화벽을 설정해야 하며, 공유 호스팅이나 전용 호스팅 중 하나를 선택해야 한다.

가트너는 “클라우드 환경의 보안은 CSP와 클라우드 사용자의 공동 책임이며, 일부 영역은 중복된다”면서 “현재 많은 클라우드 보안 문제는 (CSP와 사용자 중) 누가 무엇을 책임져야 하는지에 대한 혼란에서 비롯되는데, 흔히 CSP가 아닌 클라우드 사용자가 클라우드 보안의 더 큰 부분을 책임지고 있는 경우가 많다”고 지적했다.

클라우드 보안에 대한 직원 숙련도 중요

시장분석기관 카날리스에 의하면 세계 클라우드 시장은 연평균 15.14%의 복합 성장률을 기록하며, 2027년까지 9,234억6,000만 달러에 이를 것으로 예상된다. 그런 만큼 개별 기업들은 직원들에게 이를 대비한 전문적인 교육과 숙련을 통해 장기적인 클라우드 보안의 비전과 계획을 세우는 것이 중요하다는 조언이다. 그 과정에서 새로 전문인력을 채용하기보단, 이미 장기 근속을 통해 회사 사정을 잘 알고, 숙련된 직원들을 십분 활용하는 것이 좋다는게 전문가들의 견해다.

ID 및 액세스 관리에 철저

ID 관리 및 액세스 제어 또한 클라우드 보안 조치의 핵심 요소다. 이를 위해선 우선 △다중 요소 인증 시스템과 △역할별 엑세스 제어, △철저한 리스크 모니터링이 필수다. 그 중 다중 요소 인증 시스템의 경우는 조건부 액세스 정책이 적용되고 LDAP(디렉토리 엑세스 프로토콜) 또는 Active Directory와 같은 디렉터리 서비스에 의해 인증이 제어되는 경우엔 AWS의 MFA(멀티팩터인증)를 사용하도록 하는 것이다.

역할별 엑세스 제어 방법은 클라우드 서비스를 활용할 때 적절한 수준의 액세스로 클라우드 리소스에 대한 액세스를 관리하는 것이다. 또 의심스러운 움직임은 신속하게 식별, 격리 및 중화되어야 합니다. 이를 위해 신원에 대한 모니터링 시스템은 이상 징후가 발견될 경우, 적절한 조치가 취해질 수 있도록 즉시 경보를 보낼 수 있는 기능을 갖추고 있어야 한다.

CSP, ‘전송 중 또한 사용하지 않는 데이터 암호화’ 필수

CSP는 배포된 모든 클라우드 리소스의 물리적 안전을 보장해야 한다. 예를 들어 정보가 이동 중이거나 정지되어 있는 동안엔 암호화가 필수다. 또한 전체 디스크 암호화를 비롯해, 암호화 보존, 애플리케이션 계층 암호화, 파일 암호화, 데이터베이스 암호화 등 다양한 암호화 방식을 구현할 수 있다. 또 클라우드로 전송하기 전에 암호화하거나 암호화된 연결을 사용하여 전송 중인 데이터의 내용을 보호할 수 있어야 한다. 또한 기업은 데이터를 저장하는 동안 반드시 데이터를 먼저 암호화해야 한다.

침입 탐지 시스템(IDS) 작동

침입 탐지 시스템(IDS)은 발생 지점에 따라 호스트 기반이나, 네트워크 기반 범주로 더 세분화될 수 있다. IDS는 진짜 경고와 가짜 경고를 모두 발할 수도 있다. 이러한 IDS에 의해 매일 많은 수의 신호가 생성된다. 전문가들은 그 동안 새로운 공격과 침입 탐지 기술을 평가하기 위해 수많은 침입 데이터 세트를 도입, 실험을 거듭했다. 이때 시험용 침입 데이터 세트에는 주로 공용이나, 개인, 네트워크 시뮬레이션의 세 가지 유형을 포함하고 있다.

이 경우 공공이나 민간 침입 데이터 세트를 생성하기 위해선 다양한 리소스가 사용된다. 그렇게 생성된 데이터 세트는 피해자를 추적하고, 다양한 공격을 유발하며, 트래픽을 캡처 또는 사전 처리하며, 트래픽 패턴을 감시할 수 있는 도구를 사용하여 생성된다.