미국은 '클라우드 보안' 어떻게 하나

올해 전 세계적으로 불어온 클라우드 열풍과 함께 클라우드 환경에서 화두로 떠오르고 있는 보안에 대한 준비와 논의도 구체화되고 있는 모양새다. 단순 기술개발 단계만이 아닌 환경에 맞춘 보안 서비스 형태로 본격 도입 및 적용도 시작됐다.

이러한 행보는 IT 선진국이라 할 수 있는 미국에서 가장 활발하게 진행 중이다. 미국 정부가 주도적으로 나서고 있는 것은 물론 기업에서도 클라우드 보안 강화를 위한 행보에 적극 나서고 있기 때문이다.

■미국 정부 “클라우드 보안도 인증 받아라”

미국 연방정부가 클라우드 보안인증 서비스를 시작했다. 정부가 나서서 효율적인 보안체계 구축을 위해 힘쓰겠다는 뜻이다. 그동안 클라우드 열풍으로 보안에 대한 중요성은 높아졌지만 이를 어떻게 적용해야 할 것인지 구체적인 대응책이 없었다.

이에 미국 정부는 ‘FedRAMP(Federal Risk and Authorization Management Program)' 클라우드 보안인증 서비스를 시작했다. 각 정부기관 및 민간분야는 물론 학계와의 협력을 통해 개발된 FedRAMP서비스는 기존의 적용하고 있는 보안인증 절차 간소화를 통해 인증 소요시간을 단축할 수 있을 것으로 보인다.

또한 이를 통해 클라우드 보안인증 절차나 표준에 대한 투명성도 높일 수 있다. 보안인증을 받은 클라우드 서비스는 다른 정부기관들이 별도 인증절차 없이도 일괄적으로 도입할 수도 있게 됐다. 이로 인해 정부기관들에 의해 보안성, 상호 운용성, 이동성 등이 보장돼 비용절감 효과를 낼 수 있는 클라우드 시스템 도입이 날개를 달 수 있게 됐다.

인증 서비스를 위한 담당 관리국이 설치돼 클라우드 도입 시 주요 장애요인으로 지적된 보안 문제도 효율적으로 해소 가능해졌다. 기존에는 각 기관마다 해당 서비스에 대한 별도의 인증절차를 요구했기 때문에 행정적, 시간 및 비용까지 비효율적인 부분이 많았지만 이러한 불편함을 해소했다.

미국 정부는 “이번 인증 서비스 도입을 통해 산하기관들의 클라우드 도입 촉진은 물론이고 클라우드 서비스의 평가, 인가, 조달 등에 관한 예산 지출을 30~40%까지도 절감할 수 있을 것으로 기대한다”고 말했다.

■클라우드 도입 기업도?...보안강화 행보

일찍이 클라우드 서비스를 도입한 이베이는 효율적인 클라우드 컴퓨팅 운영과 고객 개인정보보호를 위해 보안을 강화하고 있다. 제대로 클라우드 보안을 적용하기 위해서는 침해사고 대응, 애플리케이션 보안, 인증 및 접근제어, 암호화 및 키 관리, 가상화 보안, 방화벽 등이 필수요소로 꼽힌다.

이에 이베이는 ID 접근제어, 컴퓨팅 리소스 격리 방안, 네트워크 접근통제, 보안관제 등을 강화하기 위해 각 각의 보안 프로토콜을 설계해 적용한다는 방침이다.

이베이는 클라우드 컴퓨팅 서비스를 제공하기 시작하면서 수집, 이용되는 개인정보에 대한 보안성 확보도 숙제로 남게 됐다. 이로 인해 별도 저장장치에 의한 개인정보의 저장, 목적 달성 개인정보의 파기, 개인정보 운영 시 식별, 데이터 손상 복구, 규제 당국 수사에 필요한 증거 제공 등 기밀성 보장도 필수가 됐다.

클라우드 환경에서의 개인정보보호 강화를 위해서 ‘클라우드 컴퓨팅 개인정보 라이프사이클별 보호방안’도 만들었다.

먼저 개인정보를 수집할 때 개인정보 식별과 분류는 물론이고 접근권한관리(DRM)을 위한 솔루션을 도입한다. 또한 개인정보를 저장하게 될 경우에는 파일 시스템이나 문서관리 시스템 등의 접근제어를 통해 정보 접근 자체를 원천 차단하기로 했다.

개인정보를 이용 및 제공할 때에도 로그 등 개인정보 운용상의 모니터링 강화를 통해 이용실태를 파악한다.