[특집-4]클라우드 각 요소에 적절한 보안 적용해야

문종섭 고려대학교 정보경영대학원 교수는 클라우드 컴퓨팅 환경을 플랫폼, 저장 방식, 네트워크, 단말 등 크게 4가지 요소로 나누어 각 요소에 관한 보안 적용 방안에 대해 말했다. 클라우드에서의 보안은 기존의 네트워크, 저장매체, 단말기, 접근제어 등의 보안을 클라우드 환경에 맞게 적용할 수 있다.

문 교수에 따르면 먼저 플랫폼에 사용되는 보안기술로는 접근제어와 사용자 인증 기술이 가장 대표적으로 쓰인다. 접근제어는 운영체제상의 한 프로세스가 다른 프로세스의 영역(파일 혹은 메모리)에 근하는 것을 통제하는 기술로 Discretionary Access Control(DAC), Mandatory Access Control(MAC), Role Based Access Control(RBAC) 등이 대표적이다.

접근제어와 사용자 인증

첫 번째로 DAC란 사용자가 자신이 소유한 자원에 대한 접근 권한을 임의로 설정하는 것을 말한다. 대표적인 것으로 UNIX의 파일 허가를 들 수가 있다. 두 번째로 MAC는 자원에 대한 보안급과 영역을 기준으로 수직과 수평적 접근규칙을 시스템 차원에서 설정하여 사용하는 것이다. 주로 군이나 정부기관 등 보안 정보를 다루는 기관에서 사용한다. 세 번째로 RBAC는 사용자의 조직상에서의 역할을 기반으로 접근권한을 특정사용자가 아닌 해당 역할을 가진 사용자 그룹에게 부여하는 방식을 말한다. 상업적인 조직에 잘 맞아 널리 사용되고 있다.

그 다음은 사용자 인증을 위해 사용되는 기술이다. 이 기술은 크게 일반적인 사용자 인증 방식과 네트워크상에서의 인증방식으로 나누어진다. 일반적인 사용자 인증 방식으로 대표적인 것들은 다음과 같은 것들이 있다. 첫 번째 Single-Sign On(SSO) 형태의 인증 기술은 한 곳에서 인증 후 인증확인 정보와 전달을 통해 다른 곳은 인증 절차 없이 통과하는 것으로 인증확인정보의 대표적인 표준은 Security Assertion Markup Language(SAML)이 있다.

SAML의 적용인 OASIS의 SAML은 XML 기반으로 사용 권한을 제어하기 위한 프레임 워크로 알려져 있다. 두 번째로 ID, Password는 대표적인 인증수단으로 암기만으로 사용할 수 있지만 일정 수준 이상의 복잡성과 주기적 갱신만이 보안성을 보장 할 수 있다.

세 번째 Public Key Infrastructure(PKI)는 공개키 암호기법을 이용한 인증 수단으로 사전에 공유된 비밀 정보가 없이도 인증서를 통하여 상대방을 인증할 수 있다. 네 번째 Multi-factor 인증은 보안강도를 높이기 위해 몇 가지 인증 수단을 조합해서 사용하는 기법으로 ID, Password 이 외에 지문, 홍채 등과 같은 생체인식, 인증서, OTP 등이 사용 된다. 다섯 번째 i-PIN은 현재 한국에서 인터넷 이용 시 본인확인을 위해 사용되는 기술로, 직접 본인 확인을 수행한 기관에서 확인정보를 발급해주는 방식으로 동작한다.

문 교수는 네트워크상에서의 사용자 인증은 총 4가지 형태로 발전 해왔다고 설명했다. 그에 따르면 첫 번째로 통합 인증 방식에는 Microsoft .Net Passport(LiveID) 서비스가 대표적으로 전 세계에 하나의 인증 서버를 두고 여기에 등록해서 ID를 만든 뒤 그 ID를 이용해서 Passport 서비스에 가맹한 사이트를 모두 이용하는 방식이다.

그리고 두 번째 ID 연계 기반 인증 방식은 Electronics and Telecommunications Research Institute(ETRI)의 ETRI ID Management System(EIDMS)가 대표적으로 존재한다. 그 다음으로는 인증대행 및 사용자 정보를 제공하는 ID Provider(IDP)가 있고 IDP와 ID 연계를 통해 인터넷 ID 서비스를 이용하는 가맹 웹사이트인 Service Provider(SP)에 SSO를 이용할 수 있는 방식도 있다. 그리고 IDP나 타 SP에 저장된 사용자 정보를 서로 교환하는 방식도 존재한다.

세 번째는 User-centric를 이용한 방식으로 User-centric은 Microsoft Cardspace Client 기반 솔루션으로 웹사이트에 등록된 ID와 Password를 클라이언트마다 저장해 두고 로그인시 자동 입력해주는 방식이다. 해당 방식은 로그인 및 패스워드 관리 문제를 해결하고 개인정보도 저장해 두었다가 자동 입력한다.

다음으로 네 번째인 URL 기반 인증 방식인데 URL 기반의 인증에는 OpenID 라는 기술이 존재하는데 해당 기술은 대표적인 OpenID로 어떤 인증업체나 인증서비스 제공자가 될 수 있고 인증서비스 제공자를 찾기 위해 ID에 URL을 붙여서 ID를 만든다. 웹사이트에 방문해서 URL이 포함된 ID를 입력하면, 웹사이트는 URL을 이용, 해당 인증서비스 제공자를 찾아가서 인증확인을 요청하게 된다.

그는 여기서 현재 주목 받는 기술 중에 전자 ID 지갑 시스템이라는 기술이 존재하는데 해당 기술은 OpenID의 보안성과 사용자의 편의성을 강화한 기술로 현재 클라우드 컴퓨팅 환경에 적용하기에 매우 유리한 장점을 가지고 있다고 밝혔다.

저장 방식에 대한 보안

문 교수는 또 저장방식에 대한 대표적인 보안 기술로 ‘검색 가능 암호시스템’과 ‘Privacy Preserving Data Mining(PPDM)’ 기술을 들었다. 검색 가능 암호 시스템은 기존의 암호 기술과 같이 암호화된 정보에 대한 기밀성을 보장하면서 동시에 특정 키워드를 포함하는 정보를 검색할 수 있도록 고안된 암호 기술이다.

기본적인 검색 이외에도 범위 검색, 결합 키워드 검색 등의 다양한 검색 기능을 제공하는 검색 가능 암호 시스템도 존재한다. 암호화 단계에서 키를 생성한 사용자만 자료를 암호화할 수 있는 시스템을 대칭키 기반 검색 가능 암호 시스템이라는 것. 그리고 공개키 방식의 암호 시스템을 이용해 사용자 이외의 다른 제공자가 암호문 및 인덱스를 생성할 수 있는 시스템을 공개키 기반 검색 가능 암호 시스템이라 부른다.

공개키 기반 검색 가능 암호 시스템은 공개키 암호 시스템을 바탕으로 설계된 검색 가능 암호 시스템으로 높은 안전성, 특히 증명 가능한 안전성을 제공하며 공개키 암호 시스템의 특성을 활용하여 다양한 검색 기능을 제공할 수 있다. 하지만 많은 공개키 기반 연산을 사용하여 효율적이지 못하다.

반면 대칭키 기반 검색 가능 암호 시스템은 높은 효율성을 지니고 있어 대용량의 자료에 적용하기 용이하다. 이 외에도 암호 학에 기반을 두지 않은 방법을 사용하여 더 낮은 안전성을 제공하는 대신 효율성을 극대화하고 기존 데이터베이스와의 연계성을 높인 검색 가능 암호 시스템도 제안되고 있다.

PPDM 관련 연구는 크게 두 가지로 구별된다. 첫 번째는 일반적으로 실용적인 프라이버시 보존형 데이터 마이닝이라 일컫는 방법으로 원래의 데이터에 노이즈를 더해주거나 다른 종류의 랜덤화를 적용시키는 것이다. 이 방법은 실용적으로 다양한 통계적 데이터를 위해서 널리 사용되었으나 높은 안전성을 요하는 응용에는 적절하지 못하다.

두 번째 방법은 데이터 마이닝에 Secure Multi-parity Computation(SMC) 기술이 적용된 것으로 이 경우의 모든 개체는 자신의 입력과 계산 결과 이외에는 어떠한 정보도 얻을 수 없다. SMC를 사용한 PPDM은 데이터 변형이 전혀 없는 것으로 가정되기 때문에 데이터 송신 전 단계에서 데이터를 변형시키는 첫 번째 방법에서 발생할 수 있는 정확성 문제는 발생하지 않는다. 그러나 SMC 기반 PPDM 기술은 계산 효율성이 매우 낮기 때문에 아직까지 실용적이지 못하다는 한계를 지닌다.

네트워크와 단말기 보안

네트워크 보안 기술은 인터넷의 발전과 함께 해왔다. 클라우드 컴퓨팅 환경도 마찬가지로 인터넷의 발전으로 만들어졌다. 클라우드 컴퓨팅 환경은 인터넷을 통해 사용자들에게 서비스를 제공하기 때문에 네트워크 부분에 관한 보안을 매우 중요하게 생각해야 한다.

클라우드 컴퓨팅 기술이 새로운 기술이 아니라 실제 네트워크 기술을 발전시켜 변화했기 때문에 보안도 새로운 보안 기술이 필요한 것이 아니라 네크워크 보안 기술 중 클라우드 컴퓨팅 환경에 맞는 기술들이 필요하게 되었다고 문 교수는 설명했다.

그는 클라우드 컴퓨팅에서 필요한 대표적인 기술로 통신상의 기밀성을 보장하는 SSL과 IPsec 기술, 그리고 네트워크를 통한 공격을 차단하는 Applica tion Firewall과 DDoS 방지 기술을 들었다. 그는 또 클라우드 컴퓨팅 환경에서 단말은 빼놓을 수 없는 요소라고 말했다. 그 이유로 해당 시스템을 구축하기 위해서는 직접적으로 쓰이는 많은 단말기와 클라우드 컴퓨팅 환경 외적으로도 많은 단말이 필요하게 되는데 이때 해당 단말에 대한 보안이 되어있지 않다면 해커들의 목표가 되어 원활한 클라우드 컴퓨팅 서비스를 제공하지 못하게 된다고 말했다.

대표적인 단말 보안 기술들은 대부분 암호학적 이론에 근거한 알고리듬 및 프로토콜 기반으로 동작되기 때문에 단말 인식 및 인증 기법, 암호학적 프리미티브에 대한 안전성 보장 기법 등에 관한 연구 방향으로 꾸준히 진행되고 있다. 이중에서 하드웨어를 이용하여 암호학적 프리미티브를 물리적으로 보호하는 기술들은 현재까지 가장 안전한 기술로 여겨지고 있다는 것이다.

클라우드 컴퓨팅 관련 기술 개발 필요

클라우드 컴퓨팅은 세계적인 새로운 컴퓨팅 패러다임으로서 IT산업에서의 새로운 시장을 예고하고 있다. 하지만 클라우드 컴퓨팅은 아직까지 구체적이고 확실한 시장이 갖추어지지 않았음에도 해외의 많은 글로벌 기업과 사업자들은 이러한 흐름에 맞추어 발 빠르게 대처하고 있다.

해외의 정부 또한 이러한 움직임에 맞추어 새로운 법과 제도, 정책 등을 적극적으로 마련하고 있는 상황이다. 이러한 상황이기에 국내에서도 클라우드 컴퓨팅 관련 기술 개발에 집중하여 국내 시장을 확보하고 세계 시장까지도 진출할 수 있는 발판을 마련해야 진정한 IT 강국으로 자리 매김할 수 있을 것으로 보인다.

문 교수는 “클라우드 컴퓨팅은 이제 시작되어 발전하는 단계에 있으나 클라우드 컴퓨팅의 많은 기반 기술은 이미 성숙 단계에 와 있다고 볼 수 있다”며 “하지만 보안 서비스 플랫폼 기술, 고가용성 확보 인프라 기술, 네트워크 및 스토리지 가상화 기술, 모바일 클라우드 분야에서는 아직도 도전 가능한 분야들이 많이 있다.

특히 보안 체계에 대한 표준화된 지침도 마련되어 있지 않아서 클라우드 컴퓨팅 보안 분야에 있어서는 국내 IT 기술이 상당한 경쟁력을 가질 수 있다”고 강조했다. 이에 우리나라도 민겙活?협력하여 구글이나 마이크로소프트 등과 같은 글로벌기업과 같이 클라우드 컴퓨팅 관련 사업에 역점을 두고 기반 기술 개발과 법ㆍ제도ㆍ정책 마련에 적극적으로 나서야 할 시점이다.

<글 : 김태형 기자(is21@boannews.com) / 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)