클라우드 암호화, 비싸고 어렵더라도 이제는 시작해야 한다

클라우드 데이터 보호하는 최선의 방법은 암호화
대기업부터 중소기업까지 암호화 적극 도입하는 중

[보안뉴스 오다인 기자] 클라우드 기반 데이터를 보호하는 최선의 방법으로 기업들이 암호화에 주목하고 있다. 과거 암호화가 부수적인 선택의 차원이었다면 이젠 반드시 실천해야 할 조치의 차원에서 인식되고 있다. 이에 클라우드 제공업체들은 소비자들의 보안 니즈를 충족시키기 위해 암호화를 서비스에 통합시키는 중이다.

[이미지=iclickart]

호스팅 솔루션 업체 애틀랜틱닷넷(Atlantic.net)의 CEO 마티 푸라닉(Marty Puranik)은 암호화가 너무 많은 시간과 자원을 잡아먹었기 때문에 과거 기업들이 암호화를 실행하지 않았다고 설명했다. 정보 침해가 매일 같이 헤드라인을 장식하고 있는 현재, 점점 더 많은 기업에서 정보보호에 나서고 있고 서비스 제공업체들도 자사 서비스를 조정하고 있는 상황이다. 특히, 의료와 같은 산업에서 정보 암호화는 필수다.

“침해 사고가 끊임없이 뉴스에 보도되고 있고, 기업은 그런 일이 자사에 일어나지 않길 바라죠.” 푸라닉은 “산업계가 성숙해지고 기준이 만들어짐에 따라, 이젠 모범 경영 사례들이 사실상 필수 조건이 되어가고 있다”고 말했다.

클라우드 제공업체는 암호화를 어떻게 단순화하는가
클라우드 제공업체는 고객들의 신뢰를 얻기 위해 너나없이 보안을 강화하는 중이다. 보안성과 관련해 클라우드 업체를 처음부터 신뢰하는 고객은 거의 없기 때문이다. 클라우드 업체가 서비스를 차별화하는 전략 중 하나는 온프렘(on-prem)보다 보안성이 더 좋은 서비스를 제공하는 것이다.

마이크로소프트는 최근 애저 컨피덴셜 컴퓨팅으로 서비스를 업데이트했다. 컨피덴셜 컴퓨팅은 공공 클라우드에서 사용 중인 데이터를 암호화하는데, 이런 수준의 보안은 지금까지 존재하지 않았다. 사람들은 클라우드에서 데이터를 처리할 때 그 데이터에 대해 제어를 유지할 수 있다. 관리자 특권을 가진 내부의 공격자를 차단하면서 동의 없이 데이터에 접근하려는 서드파티도 차단할 수 있다.

마이크로소프트가 보안에 접근하는 방식은 더 큰 맥락에서도 타당하다. 어느 보안 전문가는 이를 “초기 단계에서부터 강화한(hardened by default)” 보안이라고 일컬었다. 사용자가 타인에게 정보 접근권을 주고 싶다면, 자신이 직접 그 조치를 취해야 한다. 이 같은 기획은 사람들에게 애초부터 더 안전한 클라우드 환경을 제공하기 때문에 사용자들이 끙끙대며 사용법을 공부해야 할 필요가 없다.

아마존은 다르다. 아마존은 암호화와 관리 툴을 제공하지만 고객이 적절하게 실행할 수 있어야 하고 직접 이를 운영해야 한다. 아마존의 서비스는 생산할 프로젝트가 있는 개발자가 당장 갖고 놀기에 쉽지만 안전하지 못한 장소에 데이터를 가져다놓기도 쉽다. 아마존 웹 서비스(AWS)의 정보 유출이 최근 빈번하게 뉴스가 된 이유이기도 하다.

암호화 트렌드는 테크 공룡들 사이에서만 인기 있는 것이 아니다. 애틀랜틱닷넷이나 포타닉스(Fortanix) 같은 클라우드 업체들 역시 이런 흐름에 합류하기 시작했다. 애틀랜틱닷넷은 최근 사용자 정보 전량을 초기 단계에서부터 암호화하기 시작했다. 포타닉스는 애플리케이션이 정보를 쓰는 동안 그 정보를 암호화한다.

암호화의 과제와 실수
클라우드 보안 업체 시큐로시스(Securosis)의 CTO이자 애널리스트인 애드리안 레인(Adrian Lane)은 암호화의 발전을 가로막는 몇 가지 요인들이 있다고 말한다. 우선 암호화는 비싸다. 보안 부서는 수익과 직접적인 연결이 없는 데다 단기적으로 큰 이윤을 창출하지도 않는 기술 도입을 정당화하기 위해 씨름을 해야 한다.

레인은 “지난 수년간 비용을 정당화하는 것은 가장 큰 장애물이었다”고 설명했다. “기업들은 암호화를 도입하고 비용을 지불할 만큼 거대한 위험이 있다고 느끼지 않습니다.”

일부 기업이 암호화를 망설이는 이유는, 혹여나 암호화 키를 분실해서 데이터를 몽땅 유실할 위험이 있다고 걱정하기 때문이다. 즉, 복잡성이 또 다른 장애물이 된다. 기업들은 자신들의 데이터베이스를 쉽게 암호화할 수 있지만 파일 접근 시 해독화를 어떻게 해야 할지는 잘 모른다.

푸라닉은 “암호화에는 제반 비용이 따르고 더 많은 업무가 따른다”고 지적했다. “만약 암호화가 과거에 요구된 적 없다면 사람들은 애초에 시도하지도 않았을 것입니다. 그렇지만 이젠 점점 더 흔하게 암호화가 도입되고 있죠.”

앞서 언급한 것들은 보안 부서가 데이터를 암호화할 때 실수를 전혀 저지르지 않는다는 뜻은 아니다. 레인은 애플리케이션 암호화 사용에서 실수를 자주 발견한다고 말했다. 특히 레거시 애플리케이션에서 가장 큰 실수들이 발견된다는 것이다.

“보안을 최고로 강화하고 싶다면, 애플리케이션 내에서 암호화를 구현해서 앱 자체적으로 키를 관리하도록 하는 것입니다. 그러면 어떤 사용자가 어떤 환경에서 해독화된 데이터를 볼 수 있는지 판단할 수 있으며 데이터도 자체적으로 해독할 수 있습니다.” 레인은 “이게 가장 좋은 방법이지만 애플리케이션 내부에 암호화를 구현하는 건 정말 어려운 일”이라고도 덧붙였다.

에비던트 아이오(Evident.io) CEO 팀 프렌더가스트(Tim Prendergast)는 미사용 데이터 암호화는 무시하는 기업들도 있는데 이는 심각한 실수라고 경고했다. 그는 “미사용 데이터를 암호화하지 않는 데에는 변명의 여지가 없다”며 “데이터 관리에 무심하다고 밖에는 할 수 없는 행동”이라고 말했다. 바이어컴(Viacom)과 페덱스(Fedex) 같은 대기업도 이런 실수를 저질렀기 때문에 정보 유출을 겪게 됐다.

레인은 자체 키 관리(BYOK: Bring Your Own Key) 역시 중요하다고 설명했다. 많은 기업이 여러 가지 클라우드를 사용하고 있으며 점점 더 많은 기업이 다른 클라우드 제공업체에 눈을 돌리면서 추후 일관성 있는 멀티 클라우드 키 관리 접근이 중요하게 부상할 것으로 보인다. 다양한 제공업체들의 서비스를 아울러 자신들의 키를 사용할 수 있어야 하기 때문이다.

만약 업체를 신뢰하지 않거나 공격자가 키에 접근할 수 있다고 생각한다면, 자체 키 관리를 고려해보라. 경우에 따라 다르겠지만, 원래 제공되던 클라우드 키 서비스를 전혀 사용하지 않아도 될지 모른다.

모든 것을 암호화할 경우
어떤 데이터를 암호화할지 결정할 때, 기업들은 개인 금융 기록이나 의료 정보 같은 민감한 정보들에 우선순위를 매겨야 할 것이다. 이는 명백히 타당해 보이지만 사람마다 ‘중요하다’고 느끼는 데이터는 또 각기 다를 것이다.

그렇다면 어떤 데이터가 암호화되지 않을까? 푸라닉은 메타데이터를 언급했다. 고객이 방문하는 웹사이트나 선호하는 옵션 같은 고객 로그가 일례다. 이런 데이터는 우선순위 밑쪽에 있는 경우가 많아 잘 암호화되지 않는다. 기업들 대부분은 이 같은 데이터가 공격자에게 어떤 가치가 있는지 모른다.

이어 푸라닉은 소셜 미디어를 언급했다. 소셜 미디어는 조금씩 끊어서 보면 전혀 무해한 것처럼 보이지만 사실은 데이터의 보고다. 작은 데이터들을 한 데 모으면 한 사람의 인생에 대해 정확한 퍼즐이 맞춰지기도 하기 때문이다. 푸라닉은 페이스북과 링크드인을 언급하는 걸 자제하긴 했지만, 이 두 가지 SNS를 통해 계정 소유자에 대한 정보를 생성할 수 있다고 설명했다.

“이런 데이터들이 유의미할까요? 사회 보장 번호나 운전면허 정보도 아니지만 이런 데이터는 디지털 지문, 즉 저자 개인정보이기도 합니다.” 푸라닉은 공격자가 이런 정보를 사용할 수 있다고 말했다. 예컨대, 개인 연락처 중의 하나를 확보한 뒤 가짜 이메일을 보내 피싱 공격을 펼칠 수도 있다는 것이다.

프렌더가스트는 고객과 엔드유저는 모든 사람이 모든 것을 암호화하길 바란다고 말했다. 기업은 운영비 때문에 암호화를 미뤄왔지만 이제는 변명의 여지가 없다는 것이다. 그는 기업들이 “판돈을 걸어야 할 때”라고 조언했다.
[국제부 오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)