클라우드가 PC보다 위험?…오해와 진실

'역시 클라우드에 파일을 저장하는 것은 위험해', '클라우드는 공개된 영역인데 누구나 마음만 먹으면 내 정보를 볼 수 있는 것 아닌가?'

애플 아이클라우드를 통해 제니퍼 로렌스를 포함한 100여명의 여배우들의 누드사진, 동영상 등이 유출되면서 클라우드의 보안성을 의심하는 시선이 부쩍 늘었다.

그러나 클라우드는 안전하지 않다는 것과 클라우드가 상대적으로 더 위험하다는 것은 별개 사안이라는게 전문가들의 지적이다.

널리 알려진 아마존웹서비스(AWS), 구글 드라이브, 마이크로소프트 애저 등 해외 공공기관에서도 쓰는 클라우드 서비스들은 개인 PC보다 보안성이 높다고 보는 게 맞다는 것이 보안전문가들의 의견이다.

개인 사진이 유출된 아이클라우드는 물론 드롭박스, 에버노트 등은 공공영역에서는 잘 사용되고 있지 않고 있으나 이들 업체가 관리하고 있는 서버 역시 해커 공격에 쉽게 뚫릴 정도로 허술하게 관리되고 있지는 않다.

11일 국내 클라우드 보안 협의체인 클라우드섹 위원장을 맡고 있는 서울여대 정보보안학과 박춘식 교수는 클라우드가 PC보다 보안성이 낮다는 것은 일반 사용자들의 오해에 가깝다고 밝혔다.

박 교수에 따르면 클라우드 산업이 가장 활성화돼 있는 미국에서는 사업자들이 정보보호관리체계(ISMS), 카드결제에 필요한 민간보안기술표준인 PCI-DSS 등에 더해 클라우드에 특화된 보안인증을 받고 있다.

미국연방준비제도(FED)가 부여하는 'FED RAMP'과 클라우드보안협회(CSA), 영국표준협회(BSI)가 공동으로 운영하고 있는 'STAR' 인증 프로그램 등이 그것이다.

이중 FED RAMP 인증은 일반적인 보안인증에 포함되지 않은 가상화 영역에 대한 보안성까지 검토하고 있다. 예를들어 가상화 한 영역에 대한 방화벽, 보안게이트웨이 등을 구축할 것을 요구한다. AWS의 경우는 사용자들이 보안툴을 옵션 형태로 적용할 수 있도록 제공하고 있기도 하다. STAR 인증 역시 이러한 특화된 요소들을 포함하고 있다.

물론 클라우드에 특화된 인증을 받았다고 해킹 등 보안위협에 반드시 안전하다고 보기는 힘들다.

이와 관련 라온시큐어 보안기술연구팀 박찬암 팀장은 클라우드 서비스 사업자들이 운영하는 서버가 직접 뚫린 적은 거의 없다고 봐도 될 정도라며 그만큼 클라우드 사업자들이 보안에 신경을 쓰고 있는 것은 분명하다고 말했다.

백신에만 보안성을 맡긴 개인 PC에 비해서는 보안 전문가들이 실시간으로 보안성을 확인하고 있는 클라우드 서비스가 상대적으로 보안성이 높다는 것이다.

아이클라우드 누드 사진 유출 사건의 경우에도 아이클라우드 서버가 직접 뚫렸다기 보다는 여배우들이 허술한 비밀번호를 쓰고, 자동으로 동기화되는 내역을 일일이 확인하지 못했다는 점이 원인으로 지목되고 있다.

박 팀장은 일종의 메모에 대한 클라우드 서비스를 제공하고 있는 에버노트의 경우도 아이디와 비밀번호가 유출되는 해킹 사건이 발생했지만 이베이 계정유출과 같이 큰 위협이 될 만한 수준은 아니었다고 밝혔다.

다만 여전히 클라우드에 개인이 소장하고 있는 사진 외에 정말 중요하게 생각하는 데이터들을 믿고 맡길 만큼 보안성을 유지할 수 있는지에 대해서는 여전히 의문이다.

바이두가 클라우드 저장공간 몇백 기가바이트(GB)를 무료로 제공하고 있는데 핵심 데이터를 올리지 않는다는 점을 고려하면 클라우드는 아직 보안적으로 봤을 때 신뢰성을 주기 위해 개선돼야할 부분들이 남아있다고 박 팀장은 설명했다.

인포섹 대표 출신인 KT 정보보안단장 신수정 전무도 자신의 저서 '보안으로 혁신하라'에서 클라우드가 상대적으로 안전하다는 견해를 밝힌 바 있다.

AWS, 랙스페이스 등 등 글로벌 클라우드 서비스에 보안 파트너 사업자로 선정된 보메트릭은 이러한 한계를 해결하기 위해 퍼블릭 클라우드 사용자들이 저장한 데이터를 암호화한 뒤 이를 풀 수 있는 키를 사용자들만 알 수 있게 하는 서비스를 제공하고 있다. 트렌드마이크로는 클라우드 보안 업계에서 오랫동안 기술개발에 전념해 왔다.