클라우드 안전합니까?①:보안을 말하다

최근 정부기관과 엔터프라이즈 기업들이 상용 퍼블릭 클라우드 서비스 이용을 금지하는 조치를 내리기 시작했다. 주요 기밀 자료들이 외부에 유출될 수 있다는 우려 때문이다. 이에 퍼블릭 클라우드와 프라이빗 클라우드의 보안성에 대한 관련업계의 견해를 들어보고, 새로운 접근방법을 조망해본다. 더불어 이러한 움직임에 따른 클라우드 사업자와 업계의 판도 변화를 3회에 걸쳐 전망한다.<편집자 주>

얼마전 IBM은 사내 직원의 퍼블릭 클라우드 이용을 금지시켰다. 정부와 공공기관들도 퍼블릭 클라우드 사용을 제한하겠다고 밝혔다. 그리고, 이미 많은 기업들이 직원의 외부 서비스 이용을 제한하고 있다.

이유는 보안이다. 조직이 통제할 수 없는 영역에 중요한 정보를 넘겨줄 수 없다는 불안감이다. 수많은 정보유출 사고가 일어나고 있고, 그 피해사례도 빈번히 나타나니 당연한 조치다.망분리, 인트라넷, 가상사설망(VPN), 가상데스크톱인프라(VDI) 등이 외부로 중요한 정보를 유출하는 것을 막기 위해 고안된다.

클라우드 컴퓨팅 보안에 대한 우려는 하루 이틀 이야기가 아니다. 여기서 보안은 정보유출의 다른 말이다. 세 갈래 성격으로 나눌 수 있다. ▲외부인의 의도적인 해킹에 의한 정보유출 ▲내부자의 의도적인 정보 유출 ▲내부자의 의도치 않은 유출, 즉 우발적 사고 등이다.

이런 우려들의 가장 정점에 퍼블릭 클라우드가 서 있다. 서비스를 이용하는 사람으로부터 보안 통제권이 가장 멀리 떨어져있기 때문이다. 직원이 회사의 주요 자료를 외부에 저장해 공유하는 것으로 유출하거나, 해킹에 의해 의도치 않게 자료를 잃어버리거나, 공적인 자료의 사적으로 악용하는 것을 우려하는 것이다.

잘 모르는 곳에 위치하기 때문에 막연한 불안감이 생기는 건 당연하다. 아무리 서비스업체가 안전하다고 강조해도 불안감을 해소하기란 쉽지 않다.

그러므로 통제할 수 있는 프라이빗 클라우드가 해법으로 떠오른다. 직접 세운 정책으로 구성원의 행동을 감시하고 제한할 수 있다고 여겨지기 때문이다.

최근 벌어진 퍼블릭 클라우드 제한 움직임은 향후 국내 IT환경의 모습을 그려내는 중요한 움직임이다. 퍼블릭 클라우드보다 프라이빗 클라우드 시장이 커질 계기를 마련하는 탓이다. 하지만, 퍼블릭 클라우드도 경우에 따라 분명한 이점을 갖는다. 다소의 불안감 때문에 편리함을 버리고 과도한 비용을 지불하는 사례가 속출할 수도 있다.

과거가 그랬다. 기업과 공공기관의 IT예산은 과도하게 지출됐다. 중요하지도 않고, 고성능을 필요로 하지도 않는 업무의 IT인프라가 고가의 메인프레임, 유닉스 서버로 꾸려졌다. 그 속에서 얻은 것은 무엇이었을까. 과거의 낭비를 막연한 불안감 때문에 미래에도 되풀이하게 되는 것은 아닌가. 다시 생각해 볼 때다.

■퍼블릭 클라우드 금지령 “자료유출 우려”

지난달 국가정보원은 정부부처와 산하 기관 등에 정보보안 문제를 이유로 클라우드 서비스 사용을 중단하도록 하는 공문을 발송했다. 금지 대상 서비스 50개 목록을 첨부했다. 50개 목록에는 구글, 애플, 마이크로소프트(MS), 아마존, 오라클 등 글로벌 기업과 네이버, 다음, SK텔레콤, KT, LG유플러스 등 국내 기업들의 퍼블릭 클라우드 서비스가 올랐다.

국가정보원은 이들 서비스를 금지하라는 이유로 클라우드 활용에 따른 중요자료 외부 유출, 좀비PC 양산에 악용 등으로 꼽았다.

국정원의 지침은 클라우드 계엄령 논란을 일으키면서 일파만파 퍼졌다. 차후 국정원 측이 오해와 실수가 있었다고 설명했고, 지식경제부와 행정안전부가 공공 클라우드 조기 구축, 클라우드 보안 인증제 등의 보완정책을 내놨다.

정부기관의 움직임에 대해 클라우드 서비스업체들은 시장 안착을 가로막는 정책이라며 불편해했다. 반면, 글로벌 솔루션업체들은 이해 못할 일은 아니라는 반응을 보였다. 기업 보안의 관점에서 받아들일 이유가 충분하다는 것이었다.

한 글로벌 IT업체 관계자는 “사업상 외부에 공개해서는 안되는 주요정보를 많이 갖고 있다면, 아무런 통제없이 정보가 외부에 저장되는 것을 막는 게 당연하다”라며 “불특정 다수의 서비스 이용내용을 모두 감시할 수 없기 때문에 자료 유출 우려에서 나온 정부 조치는 이해할 만하다”라고 말했다.

문제는 대안 모델이었다. 퍼블릭 클라우드 사용을 금지하기에 앞서 최소한의 대안을 마련해놨어야 했다.

비슷한 시기 퍼블릭 클라우드 이용을 제한한 곳이 있었다. IBM이다.

IBM의 경우는 이달부터 회사 정책상 퍼블릭 클라우드 사용을 제한하고 있다. 본래 IBM은 퍼블릭 클라우드 이 외 공개된 웹사이트나 스토리지 상에는 회사관련 정보나 고객 정보를 게시하거나 저장하는 것을 금지해왔는데, 최근 퍼블릭 클라우드로 제한 범위를 넓혔다.

박형근 한국IBM 보안사업부 차장은 “IBM 시큐어 컴퓨팅 가이드라인에 따라 소셜 비즈니스등 퍼블릭 서비스를 활용한 비즈니스를 하더라도 주요 IBM 및 고객 데이터 저장은 IBM 내부의 프라이빗 클라우드 서비스를 이용하도록 강제화했다”고 설명했다.

그는 “IBM이 퍼블릭 클라우드를 사용제한 조치한 것은 무조건 사용을 금지하는 것이 아니라 관련 보안 정책을 재확인하려는 의도”라고 강조했다.

국정원과 IBM의 사례는 동일한 우려에서 시작했지만, 결말에서 약간의 다른 면모를 보인다. IBM은 퍼블릭 클라우드 이용을 제한하기에 앞서, 자체적인 프라이빗 클라우드 환경을 준비해, 대안 모델을 제시했다. 반면, 국정원의 경우 대안을 아직 마련하지 않은 상황에서 설익은 정책으로 구설수에 올랐다.

■내부 정보유출 방지 위한 방안은?

클라우드 환경에서는 외부에 의한 공격보다는 내부자에 의한 정보유출에 대한 우려가 더욱 높다. 이로 인해 클라우드에서 강조되고 있는 보안은 계정접근 관리와 데이터 보호다. 이에 따라 기업의 정책 및 프로세스를 반영한 계정 및 접근관리(IAM) 솔루션과 인증 솔루션이 각광받고 있다. 내부직원의 계정관리와 접근제어를 통해 네트워크나 데이터 접근하는 권한을 관리할 필요가 있다는 것이다.

데이터 보안은 그 다음 문제다. 데이터 보호를 위해서는 기본적으로 독립된 데이터 관리와 암호화된 송수신 등이 기본적으로 제공되어야 한다. 데이터의 입력, 처리, 이동, 변환, 폐기 등 일련의 데이터 흐름에 따라 적절한 사용자에게만 데이터가 공개될 수 있도록 클라우드 보안 설계를 구현해야 한다.

이를 위해 정보의 식별과 분류를 위해 데이터유출방지(DLP)와 접근권한관리(DRM) 솔루션을 도입이 필요하다. 파일 및 문서관리 시스템 등의 접근제어를 통해 정보 접근 자체를 관리해야한다. 또한 로그 등 데이터 운용의 모니터링 강화도 요구된다.