클라우드 전성시대! 보안 위협 요소와 대책 심층 분석

전세계 클라우드 서비스 시장 규모가 확대되고 있습니다. 개인의 영역에서부터 공공 영역까지 다양한 분야에서 활용되고 있는 만큼 클라우드 보안 이슈와 관련한 문제들을 간과할 수 없는데요. 클라우드 서비스의 보안 위협 요소는 어떤 것들이 있는지 보안 대책 마련을 위해 각 기업들은 어떤 노력을 기울이고 있는지 살펴보겠습니다.   

클라우드 서비스란?

클라우드 서비스는 인터넷을 기반으로 데이터, 서버, 저장공간, 특정 애플리케이션, 서비스 등을 언제 어디서나 접근 가능하도록 하는 것을 의미합니다. 여러 사람이 동시에 문서를 공유하며 작업하거나 프로그램을 설치하지 않고도 프로그램의 기능을 이용할 수 있어 무척 편리합니다. 

국내 한 조사 결과에 따르면 국내 기업 중 90%에 달하는 기업이 클라우드 서비스를 도입하거나 도입을 고려하고 있다고 답했는데요. 다만 현재 많은 기업들의 데이터가 클라우드로 옮겨가면서 보안에 대한 문제가 끊임없이 제기되고 있습니다.

CSA의 '클라우드 보안 위협 요소'

클라우드 보안 연합(CSA)에서는 클라우드 유관 관계자들이 우려하는 보안 관련 주요 위협 요소를 선별한 보고서를 발표한 바 있습니다. 클라우드를 도입하기 전 보안 측면에서 고려해야 하는 사항, 대책 등은 어떤 것들이 있을까요?

데이터유출

의도적으로 정보에 접근하려는 시도에 의해서 데이터가 유출되기도 하지만 기술적인 취약점으로 클라우드 내에 저장된 데이터가 유출되는 것에 대한 우려가 적지 않습니다. 개인에게 중요한 금융 정보, 지문 등 생체 정보를 비롯해 사생활 등의 문제가 발생할 수 있으며 기업의 경우 기업 기밀 등의 정보가 공개되어 곤란한 상황이 발생할 수 있습니다. 

접근 방식의 불충분성, 계정 권한 관리

계정 권환 관리 클라우드에 합법적인 사용자로 속여 접속해 클라우드 내 데이터를 열람하거나 수정, 삭제 하는 등의 위협이 있을 수 있습니다. 이러한 무단 접근은 기업의 중요한 정보를 왜곡시키거나 사라지게 해 큰 손실을 끼칠 수 있는데요. 악성코드 등을 배포하는 수단으로 활용한다면 다수의 컴퓨터에 부정적인 영향을 미칠 수도 있어 치명적입니다. 

안전하지 않은 인터페이스와 API

클라우드 공급 업체는 클라우드 서비스의 관리 및 조정, 모니터링을 위해 인터페이스를 사용하게 되는데요. 기본 API가 어떤 보안 수준을 가지고 있는지에 따라 클라우드 서비스의 보안도 판가름된다고 볼 수 있습니다. 해당 인터페이스가 암호화, 모니터링 등에 성공적으로 기능한다면 악의적인 접근으로부터 보호할 수 있겠죠. 

시스템 취약성

시스템 취약점은 프로그램에 존재하는 버그를 악용할 수 있는 것을 의미하며 공격자가 서비스 운영을 방해하는 일련의 행동을 할 수 있게 합니다. 클라우드는 멀티 테넌트(multi-tenancy)가 확산되면서 다양한 시스템이 연결되게 되는데 이것이 새로운 공격 취약점을 발생시키는 원인이 되기도 합니다. 

계정 도용

클라우드 서비스에서 계정 도용은 새로운 위협을 의미합니다. 공격자가 클라우드의 자격 증명을 획득하면, 데이터를 조작하거나 중요한 금융 거래 등 기밀에 접근할 수 있게 됩니다. 심지어 클라이언트의 사이트를 불법적 사이트로 전환해 활용할 수 있는 등 공격자에게 새로운 기반을 제공합니다. 

악의적인 내부자

시스템 관리자가 악의적인 내부자인 경우 민감한 정보에 접속할 수 있으며 중요한 시스템과 권한을 가져 더 큰 위험에 노출하는 결과를 초래할 수 있습니다. 클라우드 서비스 공급자에만 보안을 의존하는 것은 더 핵심적이고 큰 문제가 발생 될 수 있음을 가정하고 있는 것과 같은 의미입니다. 

APT

APT(Advanced Persistent Threats)는 시스템에 기생하며 데이터, 지적 재산 등을 유출하기 위한 사이버 공격입니다. 장기간에 걸쳐 은밀하게 공격하며 차단하려는 시도에 의해 자체적으로 적응하는 경우가 많습니다. 복잡한 APT에 대응하기 위해서는 보다 전문적인 교육이 필요하며, 이에 따른 더 많은 예산이 확보되어야 할 수 있습니다. 

데이터 손실

악의적인 공격 외에도 단순히 실수로 삭제하거나 자연재해 등을 입었을 경우에도 문제가 발생할 수 있습니다. 이와 같은 형태의 데이터 손실을 예방하기 위해서는 공급업체 또는 소비자가 정기적으로 데이터 백업을 진행하는 것이 좋습니다.

불충분한 실사

클라우드 공급업체를 선정할 때에도 전략적으로 체크리스트를 만들고 평가에 소홀해서는 안됩니다. 클라우드 서비스를 충분한 검토 없이 도입하는 경우 다양한 위험에 노출될 수 있음을 인지하고 사전 검증에 최선을 다해야 합니다. 

DoS

DoS(Denial of service) 공격은 서비스 사용자가 데이터 또는 프로그램에 접근할 수 없도록 하는 것 입니다. 공격자는 클라우드 서비스의 시스템 속도를 저하시켜 합법적으로 이용하는 사용자들이 서비스를 원활하게 이용하지 못하도록 하는데요. 이로 인해 사용자들은 서비스가 응답하지 않는 것에 의문을 제기하고 데이터에 접속하지 못하는 점에 불편을 느끼게 됩니다. 

공유 기술 취약점

클라우드 서비스는 인프라, 플랫폼, 애플리케이션을 공유하며 서비스의 확장성을 제공하는데요. 동시에 보안 파트가 희생되기도 합니다. 이러한 공유 기술이 잠재적으로 취약점을 가질 수 있으며 전체 클라우드가 손상될 수 있는 가능성도 내포하고 있으므로 주의해야 합니다.   

정보보안 솔루션 '시큐펜스'

신도리코는 최근 정보 관리와 유출 방지에 특화된 정보보안 솔루션 ‘시큐펜스’를 선보인다고 밝힌 바 있습니다. 클라우드 기반의 정보 보안 서비스 업체인 지란지교소프트와 MOU를 체결하고 회사 PC 및 복합기를 통한 정보 유출을 방지하는 데 특화된 ‘DLP 및 복합기 통합관리 솔루션 시큐펜스(SecuFence) 솔루션’을 선보일 계획이라는 것이 골자입니다. 

시큐펜스는 출력물 보안, 이동식 저장 매체, 인터넷 파일 첨부, 기밀 정보 담긴 민감 정보의 암호화 및 반출 제어 등 정보 및 문서를 안전하게 관리하기 위한 프로그램입니다. 여러 정보 보안 문제가 대두되고 있는 가운데 이러한 통합적 관리는 활용도가 높을 것으로 기대되고 있습니다.   

 

지금까지 클라우드 서비스 확장에 따라 염두에 두어야 할 보안상 유념해야 하는 내용들에 대해 살펴보았습니다. 서비스를 이용할 때뿐만 아니라 클라우드 서비스 공급업체를 선택하는 과정에서부터 꼼꼼한 검토가 필요한데요. 

언제 어디서나 회사 정보에 접속하고 데이터를 수정하고 애플리케이션을 활용할 수 있는 클라우드 서비스! 편리한 서비스임에는 이견이 없지만 그만큼 보안에도 절대 소홀하지 않아야 할 것입니다.