보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

클라우드 보안, 어떻게 해야 하나요?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-05-06

20IT 환경의 빠른 변화에 따라 최근에는 클라우드 환경이 대세로 자리잡고 있다. 다수의 기업이 클라우드 환경으로의 전환을 고려하고 있지만, 여러가지 이유로 인해 도입을 망설이고 있는 경우도 많다. 클라우드 환경으로의 전환에 있어 많은 기업의 우려 사항은 클라우드 전문 인력 부족, 비용 관리, 보안 등이다. 지난해 말 A사의 DNS 설정 오류에 따른 장애로 수많은 기업의 서비스가 마비된 사례로 인해 클라우드 서비스에 대한 불안감이 높아진 것도 이러한 고민을 가중시키는 이유라고 할 수 있다. 

 

클라우드 서비스 안전성 확보와 관련해 컴플라이언스 요구사항 및 보안 위협을 분석하는 한편, 클라우드 서비스 이용자와 서비스 제공자의 요구사항을 반영한 안랩의 클라우드 정보보호 컨설팅을 소개한다. 

 

컴플라이언스 관점에서의 클라우드 보안 요구사항 

클라우드 관련 국내 주요 법령은 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드컴퓨팅법)’과 ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령(약칭: 클라우드컴퓨팅법 시행령)’이 있다. 동법 행정규칙으로는 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준’과 ‘클라우드컴퓨팅서비스 품질.성능에 관한 기준’이 있다. 

 

클라우드컴퓨팅법 및 행정규칙의 주요 내용을 살펴보면 표준계약서 작성, 침해사고 통지, 이용자 정보보호 등 서비스 안전성 확보 관련 내용을 법령에서 정하고 있으며, 서비스 신뢰성 확보를 위한 보호조치 세부내용과 서비스 품질과 성능 기준, 품질 측정 방법 및 절차에 대해서는 행정규칙에 명시하고 있다.

 

 

[표 1] 클라우드컴퓨팅법 및 행정규칙 주요 내용

 

 

또한, 클라우드 환경에서도 온프레미스(On-premise) 환경의 정보보호 요구사항을 준수해야 하며, 전자금융감독규정 등 일부 법령에서 클라우드 관련 요구사항을 추가로 정하고 있기 때문에 업종별로 관련 법규정에 대한 확인이 필요하다. 

 

 

[표 2] 업종별 클라우드 규제 주요 내용

 

 

클라우드 정보보호인증 제도는 국내 인증인 클라우드 서비스 보안인증제와 해외 인증인 ISO 27017/27018, CSA STAR 등이 있다.

 

 

[표 3] 클라우드 정보보호 인증제도

 

 

클라우드 보안 위협

클라우드 보안 위협은 최근 발생한 보안 사고 사례와 관련 기관에서 정의한 내용을 바탕으로 살펴본다.

 

클라우드 환경에서의 주요 보안 위협은 관리자나 직원의 실수에서 비롯된 내부자 관리 실수가 대부분을 차지했다. 또한, SW취약점 해킹, 인증 및 권한 관련 위협 등 온프레미스 환경에서 발생하는 사고 유형과 거의 유사하다고 볼 수 있다.

 

최근 클라우드 환경에서 발생한 사고 사례를 보안 위협 기준으로 정리하면 [그림 1]과 같다. 

 

 

[그림 1] 클라우드 환경에서의 주요 보안 사고 

 

 

클라우드 보안 위협은 기존의 IT 환경에서 발생한 보안 위협이 클라우드 환경에서도 그대로 상속되고 있는 부분과 클라우드 환경 특성에 의해 발생 가능한 보안 위협으로 분류할 수 있다.

 

미국 표준기술연구소(National Institute of Standards and Technology, NIST), 가트너(Gartner), CSA(Cloud Security Alliance) 등 관련 기관에서 정의한 보안 위협을 기존의 보안 위협과 클라우드 보안 위협으로 정리하면 다음과 같다.

 

 

[표 4] 기존 보안 위협과 클라우드 보안 위협

 

 

클라우드 서비스의 보안 사고 사례와 국내외 관련 기관에서 정의한 보안 위협을 바탕으로 선정한 보안 이슈 Top5는 다음과 같다.

 

1. 내부자 관리 실수

클라우드 환경 운영 프로세스를 포함한 내부 정책 수립 및 관련 업무 담당자 역할 정의 필요

 

2. 사용자 인증과 접근제어

클라우드 서비스 업무별 계정 및 권한 관리 정책 적용 및 서비스별 접근통제 정책 적용

 

3. 데이터 손실 및 유출

중요 데이터 암호화 및 주기적인 백업 수행

 

4. 시스템 및 네트워크 취약점

가상 서버에 대한 하드닝된 표준 운영 체제 선정 및 서버, 네트워크 등 정보 시스템에 대한 기술적 보호 대책 적용

 

5. 안전하지 않은 API

API 무결성 주기적 점검 및 모니터링 강화

 

클라우드 서비스 이용자 관점에서의 정보보호보안 위협이 실제 보안 사고로 이어질 수 있는 위험을 최소화하기 위한 클라우드 서비스 이용자 관점의 고려사항을 서비스 도입 단계와 서비스 운영 단계로 나눠서 살펴보겠다. 먼저, 클라우드 서비스 도입 과정은 크게 현황 분석, 도입대상 선정, 분석/설계, 서비스 이관의 단계로 이루어진다.

 


[그림 2] 클라우드 서비스 도입 절차

 

클라우드 서비스 도입 과정에서는 온프레미스 환경과의 차이점을 구분하여 안전한 서비스 운영을 위한 정책과 클라우드 서비스를 담당할 조직을 구성해야 한다. 클라우드 서비스 도입 시 주요 고려사항은 다음과 같다.

 

■ 정보보호 조직 재구성 및 R&R 정의

  •기존 IT 시스템 구축 및 운영 중심에서 서비스 운영 중심으로 변경

 

■ 정보보호 정책 수립

  •클라우드 서비스 운영 관점에서 정책 개정 및 관련 법규정 반영

 

■ 클라우드 보안 아키텍처 수립

  •클라우드 환경에 요구되는 보안 요소를 식별해 보안 아키텍처 수립

 

■ 클라우드 서비스 제공자와 계약 관리

  •클라우드 서비스 표준계약서 작성 및 관련 법규정 반영

 

클라우드 서비스 구성을 마친 후 운영 단계에서는 온프레미스 환경과 동일한 정보보호 요건을 적용해야 하며, 추가적으로 가상 자원 관리 등 클라우드 환경 특성에 따른 요구사항을 고려해야 한다. 

 

클라우드 서비스 운영 시 주요 고려사항은 다음과 같다. 

 

■ 접근통제

  • 클라우드 서비스 자원 관리 계정 및 VM 서버 운영 체제 계정 관리

  • 사용자 접속 시 인증 절차 적용 및 업무별 권한 차등 부여

 

■ 네트워크 보안

  • Security Group 등 CSP에서 제공하는 네트워크 접근 통제 기능을 활용해 트래픽 제어

  • 통신 구간 암호화

 

■ 데이터 보호 및 백업

  •안전한 암호화 알고리즘으로 데이터 암호화 및 키 관리

  •데이터 백업 정책에 따른 주기적 백업

 

■ 시스템 개발 및 도입

  •신규 시스템 설계 시 감사 증적 확보 등 보안 요구사항 반영

  •클라우드 시스템 용량 모니터링으로 추가 시스템 도입 계획 수립

 

■ 가상화 보안

  •가상 자원 변경 내용(수정, 이동, 삭제, 복사) 모니터링

  •가상화 실행 이력을 스냅샷 등 이미지 형태로 저장 관리

 

클라우드 서비스 제공자 관점에서의 정보보호

클라우드 서비스 제공자가 준수해야 할 보안 요구사항은 컴플라이언스 요구사항과 CSP 보안 요구사항으로 분류된다.

 

컴플라이언스 보안 요구사항은 정보보호 관련 법적 준거성 확보, CC 인증 획득 등과 같은 기존 온프레미스 환경과 동일한 요구사항이 있으며, 클라우드 서비스 보안 인증과 같은 클라우드 환경 특성에 따른 요구사항이 있다.

 

CSP 보안 요구사항은 AWS, MS 애저(Azure), 구글 클라우드(Google Cloud), IBM 클라우드(Cloud) 등과 같은 IaaS 클라우드 사업자 마켓에 SaaS 서비스 등을 등록할 경우 준수해야 하는 사항이다. 

 

AWS를 예로 들어보면, ‘AWS 마켓플레이스(Marketplace) 판매자 가이드라인’에서 다음의 보안 요구사항을 준수하도록 정하고 있다.

 

■ 불필요한 서비스와 프로그램은 비활성화하거나 제거

■ 네트워크 트래픽에 종단간 암호화 기술 적용

■ Security Group을 사용해 인스턴스에 대한 인바운드 트래픽 제한

■ 정기적인 침투 테스트 수행

■ OWASP Top10 취약점에 주의

 

컴플라이언스 요구사항과 CSP 보안 요구사항을 바탕으로 선정한 클라우드 서비스 제공자가 준수해야 할 주요 보안 고려사항은 다음과 같다.

 

■ 클라우드 서비스 개발 등 운영 전 주요 고려사항

  •컴플라이언스 보안 요구사항 반영

  •서비스 관련 자산 식별 및 보호조치 적용

  •소스코드 관리, 운영 환경 이관 관리 등 개발 보안 강화

  •시스템 및 소스코드 취약점 진단 수행

 

■ 클라우드 서비스 운영 시 주요 고려사항

  •침해 시도 모니터링

  •안전한 업데이트 및 유지보수 방안 마련

  •인터페이스 및 API에 대한 취약점 주기적 분석

  •서비스 연속성 확보 방안 마련

 

클라우드 환경 특성에 따른 정보보호

시장 조사기관인 IDC의 ‘클라우드 및 AI 도입에 관한 조사(2018 Cloud and AI Adoption Survey)’에 따르면, 설문에 참여한 응답자 가운데 단일 클라우드를 사용할 것이라는 응답은 28%에 불과하고 대부분의 응답자가 멀티 클라우드(64%), 하이브리드 클라우드(7%)를 사용할 것이라고 답했다. 이러한 응답 결과는 AWS와 같은 클라우드 서비스 제공 업체에 대한 종속성 탈피, 서비스 가용성 확보, 클라우드 서비스 제공 업체별 기술 특성의 활용에 따른 것으로 분석된다. 하지만, 하이브리드 및 멀티 클라우드를 사용할 경우 관리해야 할 구간이 많아진다는 점에서 보안 솔루션 구성과 정책 관리, 통합 모니터링 등의 보안 이슈가 발생한다.

 

하이브리드 클라우드와 멀티 클라우드는 단일 퍼블릭 클라우드를 온프레미스나 다른 퍼블릭 클라우드와 연결한다는 점에서 네트워크 보안, 정책 관리, 모니터링 등의 공통적인 보안 요구사항과 각 환경 특성에 따른 보안 요구사항이 있다.

 

■ 하이브리드 클라우드 및 멀티 클라우드의 공통 보안 요구사항

  •VPN, 전용선 등 네트워크 구간 암호화

  •보안 솔루션 통합 관리 방안 마련(서로 다른 환경에 동일한 제품 사용을 권고)

  •통합 모니터링 방안 마련

 

■ 하이브리드 클라우드 보안 요구사항

  •온프레미스 또는 프라이빗(Private) 클라우드의 망분리 요건 만족

 

■ 멀티 클라우드 보안 요구사항

  •클라우드 관리의 복잡성 고려한 서비스 배분

 

안랩 클라우드 정보보호 컨설팅

안랩에서는 앞서 살펴본 다양한 보안 위협과 요구사항에 대응하고 클라우드 서비스 안전성을 확보하기 위해 C3(Cloud Compliance Consulting) 서비스를 제공한다. C3 서비스는 P(Privacy), D(Diagnostic), C(Compliance), A(Assurance)로 구성되어 있으며 각 항목에서 제공하는 세부 내용은 다음과 같다.

 

■ P(Privacy)

  •개인정보 영향평가 컨설팅 / GDPR 대응 컨설팅

  •개인정보 수탁사 실태 점검 컨설팅

  •개인정보보호 마스터플랜 수립 컨설팅

 

■ D(Diagnostic)

  •AWS 등 CSP 이용 고객의 정보보호 요구사항 대응을 위한 전문적인 컨설팅 제공

  •CSP와 협업해 클라우드 환경에 특화된 심화 정보보호 컨설팅 제공

 

■ C(Compliance)

  •주요정보통신기반시설 취약점 분석평가 컨설팅

  •전자금융기반시설 취약점 분석평가 컨설팅

  •금융회사 클라우드 서비스 정보보호 컨설팅

 

■ A(Assurance)

   •클라우드 정보보호 체계 수립

  •클라우드 보안 인증 / ISO27017, ISO27018, CSA STAR 인증

  •ISO27001, ISMS-P 등

 

안랩은 온프레미스 환경에 제공하고 있는 정보보호 컨설팅을 클라우드 환경에 최적화하여 제공하며, 클라우드 서비스 보안 인증 등 컴플라이언스 준수를 위한 컨설팅 서비스를 제공한다. 특히, AWS 등 CSP와 협업해 클라우드 환경에 특화된 정보보호 요구사항에 대한 전문 컨설팅 서비스를 제공하고 있다. 

 

지금까지 클라우드 서비스 안전성 확보를 위해 컴플라이언스, 보안위협, 클라우드 서비스 이용 및 제공 기업, 클라우드 구성 환경 관점에서의 정보보호 요구사항을 살펴봤다. 

 

클라우드는 환경 구성 방법과 대상 서비스에 따라 다양한 보안 요구사항이 발생하기 때문에 클라우드 환경으로의 이전 계획 단계부터 보안 요구사항을 식별 및 대응해야 서비스 안전성을 보장할 수 있다. 

 

특히, 많은 기업이 하이브리드나 멀티 클라우드 환경으로 구성하고 있고 다양한 서비스를 도입하고 있어 관리해야 할 보안 포인트가 증가하고 있다. 따라서, 사전에 클라우드 서비스 활용 방안을 명확하게 파악하고 이에 대한 보안 요구사항을 식별해야 안전한 클라우드 서비스 환경을 구축할 수 있다.

 

안랩은 클라우드 이전 단계부터 운영 단계까지 고객사의 다양한 서비스 운영 환경에 특화된 C3(Cloud Compliance Consulting) 서비스를 제공한다. 안랩의 C3 서비스를 통해 클라우드 환경에서 발생 가능한 위험을 사전에 식별하고 대응함으로써 정보보호 컴플라이언스 이슈 등과 같은 다양한 보안 우려사항을 해소할 수 있을 것으로 기대된다.

  • AhnLab 로고
  • 컨설팅팀 전윤구 과장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.