세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
클라우드 보안, 정말 기억해야 할 것은 ‘데이터 보안’
  |  입력 : 2017-08-10 11:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드에 대한 지나친 불신에서 지나친 신뢰로 바뀐 분위기
앞으로 클라우드 서비스 업체에 대한 보안 모니터링 실시할 수 있을 것


[보안뉴스 문가용 기자] 버라이즌과 다우존스와 관련된 기사가 얼마 전 연일 보도됐다. 두 업체 모두 AWS 플랫폼을 통해 각종 정보를 인터넷에 노출시켰기 때문이다. 이는 클라우드를 이제 막 사용해보려는 조직들이라면 누구나 내 일처럼 여겨야 할 사건들이다. 둘 다 악의가 전혀 없는 내부자가 클라우드 사용 미숙으로 인해 저지른 실수이기 때문이다. AWS 자체 취약점은 단 1그램도 상관이 없는 사건이었다.

[이미지 = iclickart]


과거에는 클라우드로의 이전이 보안 문제를 일으킬 것이라고 여기는 것이 문제였다면, 최근에는 클라우드가 더 안전하며, 보안 문제가 다 없어질 것이라는 지나친 신뢰가 문제가 되고 있다. 굳이 비교를 해보자면 후자가 더 위험하다. 보안을 클라우드 등 누군가에게 완전히 맡길 수 있다고 믿는 순간 안이해지면서 기본적인 환경설정 오류 등을 일으키기 때문이다. 클라우드에 대한 불신이 산업 육성을 가로막았다면, 이제는 지나친 신뢰가 클라우드 산업 활성화의 첫 단추를 잘못 꿰고 있는 형국이다. 게다가 클라우드 업체가 모든 보안 문제를 해결해준다는 믿음 자체도 잘못된 신앙이다.

클라우드를 사용하든 기존 온프레미스 네트워크 환경을 고수하든 자기가 생성, 관리하는 데이터에 대한 거버넌스 책임은 없어지지 않는다. 어느 기업이나 이를 기억하는 것이 중요하다. 데이터가 클라우드에 있다고 해서 갑자기 이 기본 원리가 뒤집혀지는 건 아니다. 데이터 보안의 일부를 클라우드 업체에 아웃소싱 하고 도움을 받는다는 것이 모든 책임을 떠넘긴다는 뜻이 될 수 없다. 클라우드를 사용하기로 한 업체라면 다음 세 가지 통제 장치를 마련해야 할 것이다.

1. 직원 교육
클라우드로의 이전 시 유의해야 할 것은 모든 직원에게 클라우드에 대한 접근 권한을 한꺼번에 줘서는 안 된다는 것이다. 업무를 서두르기 위해서 이 점이 간과되곤 하는데, 클라우드 플랫폼에 대한 사용법을 반드시 숙지시켜야 한다. 예비군들 민방위 훈련 받듯이 건성건성 교육해서는 반드시 사고가 일어난다. 클라우드는 매우 편리하다. 그 편리함에 취한 직원들이 어떤 모양으로 위험을 감수할지 모르는 일이다.

2. 클라우드 서비스 업체 검토
클라우드 서비스를 활용하겠다면 해당 업체에 대한 꾸준한 감독 및 협업이 진행되어야 한다. 이는 기존 파트너사들 관계에서는 존재하지 않던 절차다. 그러나 클라우드 시대에서는 보안의 필수불가결한 요소로 자리 잡을 것으로 보인다. ‘내가 책임져야 할’ 데이터를 ‘남의 회사’에 저장하는 것인데, 그들의 보안 상태에 대해서 아무런 권한도 없이 책임만 지라고 하는 건 합리적이지 않기 때문이다. 클라우드 서비스 업체를 주기적으로 직접 방문도 하고, 서드파티를 통해 검사 및 감사도 받는 등, 이용 고객으로서의 권리가 늘어날 것으로 전망된다. 이런 권리를 지금부터 주장하고 누리는 것을 권장한다. 물론 ‘갑질’을 하라는 건 아니다.

3. 시스템 모니터링
점점 더 많은 기업들이 고객 정보와 지적 재산까지도 클라우드에 저장하고 있다. 하지만 결국 ‘남의 회사’에 저장되어 있는 것이기 때문에 ‘우리 회사 내’ 온프레미스 네트워크에 저장되어 있을 때보다 불안할 수밖에 없다. 그러므로 데이터로의 접근이 발생할 때마다 로깅을 하고, 모니터링하며 분석하는 시스템을 반드시 구축해야 한다. 그리고 이는 대부분의 경우 컴플라이언스에 해당하기도 한다. 또한 데이터에 대해 실시간으로 이러한 행위를 하는 기능도 이미 존재한다. 중요한 건 ‘데이터’에 대한 보안이지, 클라우드 보안이 아니라는 걸 꼭 기억하자.

현재 데이터 및 시스템으로의 불법 접근은 모든 산업에서의 고통이자 만악의 근원이 되어가고 있다. 고객들은 자기들의 개인정보를 담보로 각종 서비스를 받고 있으며, 그 개인정보를 기업들이 철저히 보호해줄 것을 기대하고 있다. 클라우드는 그 자체로 목표가 아니다. 데이터 보안이 모두가 원하는 것이다.

글 : 존 모이니한(John Moynihan), Minuteman Governance
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#클라우드   #데이터   #업체   #보안   #본질   


보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)