[특집-3]보안 체계의 적용으로 효율적인 클라우드 환경 구축

클라우드 컴퓨팅에서 보안 기술은 아직 확립된 것이 없다. 그러나 클라우드 컴퓨팅은 완전히 새로운 기술이 아니고 기존 IT 기술의 연장선이기 때문에 보안도 이와 같은 맥락에서 기존 보안 기술들을 클라우드 컴퓨팅 구성에 적용할 수 있다. 보다 효과적이고 효율적인 클라우드 컴퓨팅의 보안 적용 방안은 무엇인지 알아보자.

모든 정보가 중앙으로 집중되는 클라우드 컴퓨팅에서 서비스 안정성과 보안은 중요한 문제다. 아직은 클라우드 컴퓨팅 서비스의 안정성을 보장할 수 없고 이에 따른 안정성 확보를 위한 노력이 필요하다. 이에 많은 업체들이 보안 문제를 해결하고자 노력하고 있지만 아직 클라우드 컴퓨팅에서의 보안 기술은 확립된 것이 없다는 것은 주목할 만하다.

문종섭 고려대학교 정보경영대학원 교수에 따르면 지난 2008년 7월의 Amazon Web Service Simple 스토리지 Service(AWS S3) 서비스다운 사례는 서버 간에 교환되는 메시지에 대한 무결성 검사 루틴이 없었던 데서 기인했다. 이 사례에서 볼때 클라우드 컴퓨팅에서는 저장되는 데이터와 교환되는 메시지에 대한 오류 검사가 매우 중요하다.

따라서 미국 National Institute of Standards and Technology(NIST)에서는 현재 많이 무결성 확인을 위해 사용되고 있는 Message-Digest algorithm 5(MD5)와 Secure Hash Algorithm (SHA)의 취약점이 발견되면서 해당 취약점을 보완하고자 새로운 해쉬 알고리즘인 SHA-3의 공모 및 개발을 진행하고 있다.

또한 문 교수는 다수 사용자의 데이터가 혼재되어 있는 클라우드 환경에서는 사용자에 대한 인증과 권한 관리 기술이 더욱 필요하다고 말했다. 그에 따르면 사용자 인증은 크게 두 가지로 일반적인 사용자를 위한 인증과 네트워크상에서의 인증으로 나눌 수 있다.

첫 번째로 일반적인 사용자 인증은 전통적으로 사용자 확인을 위해 이용되어 왔던 전자서명 기술이 많이 활용될 수 있다. 하지만 AWS의 전자서명에 대한 취약점이 발견된 사례에서 보듯이 특히 웹 기반의 인터페이스를 기반으로 하는 클라우드 환경은 인증 프로토콜에 대한 다양한 케이스별 검증이 매우 중요하다. 사용자 인증에서 두 번째인 네트워크상에서의 사용자 인증은 다시 4가지 형태로 나누어지게 되는데 통합 인증 방식, ID 연계 기반 인증 방식, URL 기반 인증 방식, User-Centric을 이용한 인증 방식으로 나누어진다.

데이터 기밀성을 위한 암호화

그리고 문 교수는 개인 및 기업 데이터에 대한 기밀성 보호를 위해서는 기본적으로 암호화 기술이 제공되어야 한다고 말했다. 특히 클라우드 컴퓨팅에서는 대용량 데이터의 암호화 시 전체 시스템의 가용성이 떨어질 수 있다는 점을 고려하여 상황에 적합한 암호가 사용되어야 한다는 것. 예를 들어 DES나 AES와 같은 블록 암호 대신에 스트림 암호를 사용하는 방안 등을 고려해볼 수 있다는 것이 그의 견해다.

또한 키 저장 서버의 사고 시 다수 사용자의 데이터가 접근 불가능해지므로 키 관리 방안에 대한 연구도 필요하다는 것이다.

또한 클라우드 컴퓨팅은 기본적으로 네트워크를 기반으로 서비스되고 있기 때문에 더욱 필요한 보안 요소라고 볼 수 있다. 여기서 고려해야 할 점은 Intrusion Detection System(IDS), Intrusion Prevention System(IPS), 방화벽(Firewall), IPsec 및 가상사설망(Virtual Private Network:VPN) 등 기존의 네트워크 보안 기술을 효율적으로 적용하기 위한 방안을 찾는 것. 특히 클라우드 컴퓨팅은 주로 웹 기반의 인터페이스를 이용하므로 Secure Socket Layer(SSL)/Transport Layer Security (TLS)기반의 https에 대한 활용 방안 연구도 중요한 이슈로 떠오르고 있다고 문 교수는 설명했다.

그리고 그는 가용성 및 복구 문제가 중요시 되고 있는데 서비스의 중단이나 데이터의 손실을 막기 위해서는 사고시 서비스를 지속할 수 있는 고장감내성(Fault Tolerance) 및 데이터 복구(Recovery) 기법에 대한 연구가 매우 중요시 되고 있다고 말했다.

아울러 클라우드 컴퓨팅에서는 코드가 원격으로 실행되는 경우가 많으므로 소프트웨어에 대한 이진 분석이 매우 중요한 이슈이다. 또한 가상 머신(VM) 상에서의 프로그램 실행 영역 및 메모리 보호에 대한 부분도 고려해봐야 하기 때문에 이를 위해 Sandboxing 등 관련 기술이 활발히 연구되고 있다는 것이다.

클라우드 컴퓨팅에서 사용자의 요청에 의해 자원을 할당하는 서비스 방식은 서비스 거부 공격(Denial of Service)의 전형적인 대상이 될 수 있다. 따라서 클라우드 환경을 가정한 공격 모델의 정립과 공격 시뮬레이션 기술은 위의 네트워크 보안 기술과 더불어 안전한 클라우드 환경을 제공하는 데 있어 필수적인 기술이 될 것으로 보고 문 교수는 보고 있다.

마지막으로 암호화와 같은 보안 기능이 적용될 경우 상당량의 컴퓨팅 자원 및 에너지가 소모됨이 고려되어야 한다. 그러므로 이에 대한 비용과 보안사고 발생 시 예상되는 피해 규모 등을 종합적으로 평가하여 자원 및 인력을 적절히 배분하는 것이 중요하다.

클라우드 컴퓨팅은 대규모로 운영되는 경우가 많기 때문에 종합적 평가가 쉽지 않을 것이다. 따라서 클라우드의 특성을 고려한 새로운 비용 평가 모델과 보안 정책 수립 방안의 연구가 필요하다.

<글 : 김태형 기자(is21@boannews.com) / 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)