클라우드, 전통적 보안 환경보다 안전하다?

끊임없이 보안 신뢰성 문제로 몸살을 앓고 있는 클라우드 서비스. 그러나 막연히 안전성에 우려만 증폭될 뿐 클라우드 보안 자체에 대한 보안성 판단 기준은 없다. 다만 기존 보안 환경에 대한 보안 체계가 제대로 갖춰져 있지 않다면 오히려 전통적 보안 환경보다 클라우드 환경에서 더욱 안전할 수 있다.

지난해 IBM 공식 리서치에 따르면, 3년 이내 모든 인프라가 클라우드 서비스로 변화하게 될 것이라고 전망했다. 클라우드 컴퓨팅의 도입이나 확산은 이제 시대 흐름이란 것이다. 이 때문에 클라우드 보안 위협에 대한 논의는 이제 필수가 됐다.

■보안 취약한 클라우드?

최근 업계에서는 클라우드 컴퓨팅 환경에서의 보안이 전통적인 컴퓨팅 환경 보다 더 안전할 수 있다는 의견이 나오고 있다. 단 기존 전산 시스템 보다 클라우드 환경에서 더욱 강력한 보안 수준을 지원할 경우라는 조건이 붙는다.

클라우드 컴퓨팅 도입을 고려하고 있는 기업의 전산 담당자들은 보안 안정성이나 신뢰성에 대한 객관적 기준이 모호하다고 지적한다. 또 클라우드 보안 수준 척도를 판단하기 어려원 혼란스럽다고 하소연하기도 한다.

이에 대해 보안 전문가들은 “기업마다 IT인프라 특징에 맞게 상대적인 보안 수준을 판단해야 한다”면서 “기업 비즈니스 보안 수준에 따른 클라우드 서비스를 사용한다면 기술적이나 관리적 측면에서 전통적 환경보다 더 안전할 수 있다”고 말했다.

보안 전문가들은 보안 영역에서의 투자 여력을 볼 때 클라우드 서비스를 도입하는 것이 비용 대비 최대 효과를 거둘 수 있다고 인정하는 분위기다. 이 때문에 기존 보안 체계가 제대로 구축돼 있지 않다면 클라우드를 도입하는 것이 더욱 안전할 수 있다는 설명이다.

이처럼 클라우드 컴퓨팅 보안은 ▲특화된 워크로드 보안 ▲보안 자원 ▲보안 서비스 ▲보안 기술적으로 보면 기존 환경보다 더 안전할 수 있다. 전통적인 환경의 보안 체계가 제대로 구축돼 있지 않다면 보안 관리적 측면에서도 더 신뢰성을 높일 수 있다는 것이다.

■클라우드 위협하는 공격 뭐길래?

그렇다면 클라우드 컴퓨팅 환경에서 주요 보안 이슈는 무엇일까. 박형근 한국IBM 보안사업부 차장은 한국침해사고대응팀협의회(CONCERT)가 2일 서울 삼성동 코엑스에서 개최한 ‘기업 정보보호 이슈전망2012’ 발표에서 “공인되거나 명확한 기준없이 클라우드 서비스에 대한 보안성을 판단하는 것은 문제가 있다”면서 “공인된 기준이나 기업 비즈니스적 관점에서 위협 기준을 세울 필요가 있다”고 말했다.

클라우드 컴퓨팅 환경에서 위협은 크게 ▲통제 ▲보안관리 ▲데이터 ▲의존성 ▲컴플라이언스로 분류할 수 있다.

통제로 인해 발생하는 위협은 정보가 어디에 저장되고 위치하는지 또한 누가 접근하고 백업하는지 어떻게 모니터링되는지 등의 비상 대응을 포함한 다양한 관리적 이슈가 존재한다. 보안관리적 측면에서는 클라우드 내 애플리케이션과 런타임 환경을 위한 방화벽 관리, 보안 설정을 위한 통제가 제대로 이뤄지는지가 화두다.

클라우드 상에서는 데이터 및 정보의 손실과 유출 위험이 가장 핵심 보안 쟁점이다. 공유된 네트워크와 컴퓨팅 인프라에 워크로드를 이전할 때 잠재적으로 권한없는 노출이 증가할 수 있기 때문에 여기에는 위협이 존재하고 있다. 클라우드 인프라 상에서 몇 몇 애플리케이션에 대해서는 산업 규제에 의해 제한될 소지도 있어 법규 및 규제 적용의 어려움도 나타나고 있다.

박 차장은 “서비스 가용성에 대한 이슈도 클라우드 환경에서는 중요하다”면서 “공격 목표가 되면 사용자에게 제공하는 동적 서비스 및 인프라 운영에 차질을 빚을 수 있어 피해를 입을 수 있다”고 말했다.