[기획/2011 클라우드⑨] 반드시 넘어야할 산, ‘클라우드 보안’… 어디까지?

실시간
뉴스

시리즈

[기획/2011 클라우드⑨] 반드시 넘어야할 산, ‘클라우드 보안’… 어디까지?

디지털데일리 발행일 2011-01-27 13:57:27

이유지 기자

URL복사

- 가상화 보안 기술 필수, 사용자 인증·계정관리·암호화·보안감사 솔루션 등 부각

[디지털데일리 이유지기자] 클라우드 컴퓨팅 서비스를 도입하는데 가장 중요한 요소 중 하나가 바로 ‘보안’이다.

네트워크 환경을 기반으로 언제, 어디서나 필요한 IT자원을 서비스 형태로 제공받을 수 있는 클라우드 컴퓨팅 서비스는 기업이 기존에 직접 구입, 설치해 운영해온 다양한 IT자산을 빌려 쓰는 방식이라는 점에서 일차적으로 보안상의 우려가 나타난다.

내가 아닌 남이 설치·운영·관리하는 시스템을 이용해 업무를 처리하고 중요정보를 전송하고 저장하게 되므로, 사용자들은 대표적으로 정보유출이나 개인정보보호 문제에 민감할 수밖에 없다.

더욱이 이같은 환경은 가상화 기술을 기반으로 IT자원을 여러 기업이나 조직이 공유해 사용한다는 점에서 위험성이 높은 것으로 지적된다.

또한 클라우드 인프라는 동적으로 운영되므로 보안정책 적용의 실패나 오류 등으로 인한 데이터 유출, 장애로 인한 데이터 손실 가능성이 부각된다.

한곳에서 발생한 보안위협과 취약점으로 인한 파급효과가 다른 사용자나 기업에 영향을 미칠 수도 있다는 것도 위험요인으로 지목되고 있다.

반면에, 가상화 기반의 클라우드 컴퓨팅 환경의 특성은 서비스 장애 대응이나 복구, 보안 측면에서 오히려 장점을 제공할 수도 있어 ‘보안’은 서비스 도입과 확산의 걸림돌이 되기도 하지만 촉진제 역할을 할 수 있을 것으로 전문가들은 내다보고 있다.

이 때문에 기업이 프라이빗이거나 퍼블릭 형태에 관계없이 클라우드 서비스 도입 여부를 결정하는 것에서부터 서비스제공업체를 선정하고 서비스 범위를 정하고 개발·이용하는 모든 과정에서는 보안의 관점에서 정책적인 고려가 필요하다.

만일 서비스제공자를 신뢰할 수 있고, 이들이 제공하는 클라우드 컴퓨팅 환경 전체가 보안상 안전하며, 재해가 발생해도 업무연속성을 유지할 수 있는 복구대책이 확실하다는 점이 100% 보장된다면 비용절감과 비즈니스 성장에 큰 장점을 제공할 서비스를 이용하지 않을 이유는 없다.

따라서 소프트웨어나 인프라, 플랫폼을 선택적이거나 전체적으로 도입하려는 기업은 사내 보안정책이나 법률적 사항을 비롯해 다양한 보안 보안상의 고려사항을 사전에 꼼꼼히 체크해야 한다.

이같은 정책적인 고려나 판단뿐 아니라 안전성과 신뢰성을 보장하기 위해 클라우드 컴퓨팅 서비스에서 보안기술의 적용은 필수적이다.

물리적 환경에서의 보안과 동일한 데이터센터의 보안체계는 기본이다. 데이터센터의 입지조건을 비롯해 물리적 보안, 방화벽, 침입방지시스템(IPS) 등 네트워크 보안에서부터 애플리케이션 보안, 데이터 보안 등 각 계층과 영역을 아우르는 보안 대책이 기본적으로 적용돼야 한다.

그중에서도 관련업계에서는 클라우드 서비스가 본격화됨에 따라 기존 사용자 인증과 계정·권한 통합관리, 암호화, 보안로그관리·감사 솔루션의 활용이 크게 확산될 것으로 예상하고 있다.

데이터보안과 이용 편의성을 위해선 표준화된 방식으로 강력한 사용자 인증과 계정·권한관리를 통합적으로 수행하는 IAM과 같은 솔루션과 개인정보를 포함해 사내 기밀정보 등을 암호화 기술이 필요하기 때문이다.

특히, 클라우드 컴퓨팅 서비스는 가상화로 인해 애플리케이션 영역의 보안 중요성이 중요하게 부각되므로, 애플리케이션 개발시 보안개발수명주기(SDLC)를 준수하는 개발자들의 역할이 보다 강화해야 한는 점도 강조되고 있다. 애플리케이션 개발 과정에서 보안성을 구현했는지 여부를 취약점 점검 및 분석관리 솔루션이 지원할 수 있다.

보안감사 솔루션 역시 중요하다. 사용자들의 이상행위를 파악하고 법규준수를 위해선 보안정보이벤트관리(SIEM)과 같은 로그관리·감사가 반드시 이행돼야 한다.

무엇보다 중요하게 부각되는 기술이 가상화 환경에서 발생할 수 있는 새로운 보안위협에 대응할 특화된 보안기술이다.

이 때문에 시만텍, 트렌드마이크로, 티핑포인트, CA, EMC RSA, IBM 등 많은 IT·보안업체들은 VM웨어, 마이크로소프트, 시트릭스 등의 가상화 솔루션을 지원하는 가상버전의 보안 제품 개발을 진행하거나 선보이기 시작했다.

대표적으로 VM웨어는 이를 위해 분산서비스거부(DDoS)·악성코드 등 데이터센터 네트워크 위협에서부터 애플리케이션과 데이터를 보호할 수 있는 가상 보안 솔루션을 보안업체들이 개발할 수 있도록 협력프로그램을 운영하고 있으며, 지원 솔루션도 제공하고 있다.

<이유지 기자>yjlee@ddaily.co.kr