"클라우드로 보안 역량 강화할 수 있다"

기업기밀이나 대외비 문서 등과 같이 별도로 분리된 내부망에서만 운용돼야하는 정보가 아니라면 퍼블릭클라우드서비스를 활용하는 것이 오히려 더 저렴한 가격에 더 높은 보안성을 유지시켜줄 수 있다는 메시지에 힘이 실리고 있다. 집 안 금고 보다는 경비요원이 지키고 있고, 24시간 출동경비시스템이 운영되고 있는 은행에 돈을 맡기는 것이 훨씬 안전하다는 논리다.

기업, 기관 등이 데이터센터를 통해 프라이빗클라우드서비스를 운영하거나 기본적인 서버, 스토리지를 활용해 웹서비스를 제공할 때 가장 어려움을 겪는 분야 중 하나가 보안이다. 분산서비스거부(DDoS) 공격에서부터 개인정보나 민감정보 유출을 노린 해킹까지 수많은 공격자들에 대응하면서 서비스를 운영하는 일이 만만치 않은 작업이기 때문이다.

퍼블릭클라우드는 이러한 기업, 기관들이 여러가지 필요한 보안기술이나 국제 보안인증을 받지 않고서도 서비스를 활용할 수 있게 한다는 점에서 효율성을 높일 수 있다.

21일 서울 종로구 소재 한국마이크로소프트 사옥에서 개최된 기자간담회에서 개발자 플랫폼 사업부를 맡고 있는 이건복 이사는 클라우드 환경이 어떻게 기업, 기관들이 보안성을 높이는데 도움을 줄 수 있는지에 대해 설명했다.

이 이사에 따르면 클라우드 보안은 크게 전용 데이터센터에 대한 물리보안, 네트워크 보안, 계정인증과 접근권한통제, 호스트, 애플리케이션, 데이터에 대한 보안 등으로 분류된다. 마이크로소프트의 경우 미식축구장 10배 크기의 데이터센터를 운영하면서도 내부에는 USB드라이브와 같은 외부저장매체를 갖고 들어가지 못하게 차단하고 있다.

이밖에도 접근통제, 화재진압장비, 본인확인절차 등을 오프라인에서 구현하고 있다.이와 함께 퍼블릭클라우드서비스 관리자가 '이런 공격유형에는 이런 식으로 막으면 된다'는 시나리오 기반 보안조치(assume breach)에 안주하지 않도록 상시 침투테스트를 수행하는 레드팀, 이를 방어하는 블루팀을 통해 공격에 대한 대응력을 향상시킬 수 있도록한다.또한 망분리, 클라우드서비스를 통해 주고 받는 데이터에 대한 암호화, 방화벽, 가상사설망(VPN) 등 기본적인 보안서비스와 함께 접속한 계정에 대한 인증 및 권한에 따른 접근통제 등이 적용돼 있다.

퍼블릭클라우드서비스를 제공하고 있는 마이크로소프트 애저, 아마존웹서비스, 구글 클라우드 플랫폼 등은 모두 이러한 기본적인 보안기능을 제공하는 것에 더해 전 세계에 공통으로 쓰이는 보안인증을 받고 있다.정보보안표준인 ISO27001, ISO27002 등과 함께 보안제어와 관련된 SOC1 타입2, SOC2 타입2, 정부 및 산업계 표준인 PCI-DSS, HIPAA/HITECH, FedRAMP/FISMA 등이 그것이다. 중국 내 클라우드서비스를 위해 필요한 CCCPPF, 영국의 UK-G클라우드, 호주 IRAP 등도 모두 퍼블릭클라우드서비스 회사들이 받고 있는 인증항목들이다.

이 이사는 마이크로소프트 애저의 경우 지난해 7월 발표된 ISO27018에 대해서도 인증을 획득해 클라우드 상에 저장된 고객들의 개인식별정보(PII)를 관리하고 있다는 점은 확인받았다고 밝혔다.

보안인증을 받았다고 해서 모든 서비스를 안전하게 제공한다고 확신할 수 있는 것은 아니다. 그러나 기업, 기관들이 프라이빗클라우드서비스를 구축하고, 이러한 서비스가 글로벌 환경에서 안전하다는 점을 증명하기 위해 개별서비스별로 보안인증을 받기 위한 시간과 비용을 생각하면 이미 서비스별로 인증을 받은 퍼블릭클라우드서비스를 활용하는 것이 저렴하면서도 안전할 수 있다는 것이다.

이 이사는 예를들어 체지방 분석용 의료장비를 미국, 유럽 등지에 수출하는 국내 모기업의 경우 해당 국가에서 체지방 분석기와 관련된 분석정보를 활용한 서비스를 제공하기 위해 HIPPA 등에 대한 준수여부를 묻는다는 것이다. 수출국이 필요로 하는 HIPPA 인증을 받기 위해 시간과 노력을 들일 여건이 안 된다면 이미 관련 인증을 확보하고, 거의 매년 인증을 갱신하고 있는 퍼블릭클라우드 서비스를 활용하는 것이 하나의 방법이 될 수 있다는 설명이다.

최근에는 사이버범죄자들이 퍼블릭클라우드 서비스를 악용해 DDoS 공격을 수행하거나 악성코드 파일을 공유하는 사례도 등장하고 있다. 공격대상으로부터 수집한 정보를 저장하는 용도로 퍼블릭클라우드를 사용하기도 한다. 이런 점에 대해 이 이사는 애저와 같은 클라우드 자원을 고객들이 어떻게 활용했는지 세부적인 사항에 대해서까지 초기에 파악할 수 있는 방법은 없다며 그러나 대부분 이런 작업들이 과도한 외부트래픽 유입을 초래하거나 IP를 우회해 접속을 시도하는 등 방법을 쓰고 있기 때문에 최대한 모니터링을 통해 악용될 가능성을 최소화하려고 노력하고 있다고 밝혔다.