기존 PC에 설치하는 형태의 소프트웨어(SW)가 클라우드 서비스형 소프트웨어(SaaS)로 넘어가고 있는 추세다. 이에 따라 클라우드 환경에서의 보안조치는 애플리케이션, 인증세션, 서버구간에 대한 보안 등이 필수요건으로 고려되고 있다.
최근 클라우드 기반 환경에서도 SW를 불법복제해 사용하는 일이 벌어졌다. 외신에 따르면 지난달 말 어도비시스템즈의 경우 포토샵 등 자사 솔루션을 클라우드 서비스 형태로 공급하기 시작한 지 하루 만에 불법복제판이 나돌았다.
이는 어도비 크리에이티브클라우드(CC) 버전으로 일부 하이브리드형 SaaS 형태를 띄고 있다. 사용자는 자신의 PC에 CC 버전 관련 기본 프로그램을 설치한 뒤 한 달에 한번 어도비로부터 라이선스를 확인하는 식으로 이 제품을 사용한다. 이는 마이크로소프트오피스 365에도 적용되는 방식이다. 이 때문에 클라우드 환경에서도 소프트웨어 보호를 위한 조치가 필요해진 것이다.
국내에서는 더존비즈온이 지난해부터 전사적자원관리시스템(ERP)을 자사 데이터센터를 활용한 SaaS 방식으로 제공하고 있다.
클라우드 환경에서 SW의 안전한 서비스를 위해 미국 보안회사 세이프넷, 국내 더존비즈온 등은 세 가지 부분에서 보호가 필요하다고 강조했다.
먼저 애플리케이션 자체에 대한 보안이다. 세이프넷 코리아 최장욱 팀장은 어도비 CC버전의 경우 한 달에 한번씩 라이선스를 확인하는데 해커는 이를 분석해 확인 관련 부분만 삭제하는 방법을 썼을 가능성이 높다고 밝혔다. 클라우드 기반에서 제공하는 솔루션 자체에 대한 보안이 필요하다는 것이다.
또한 라이선스 인증을 관리해주는 서버 영역에서의 보안이 별도로 필요하다. 어도비의 경우 사용자 라이선스를 인증하는 서버단을 해킹해 본인의 사용기간을 무제한으로 늘리는 방법이 사용된 것으로 나타났다.
세번째로는 애플리케이션과 서버 간에 통신 채널 영역에 대한 보안이다. 사용자가 라이선스에 대한 사용권한을 요청하면 이 애플리케이션은 서버와 통신을 거친다. 이 과정을 중간자 공격(Man in the middle attack)을 통해 라이선스 내용을 가로챌 수 있기 때문이다.
관련기사
- 아마존, 프라이빗 클라우드 확대하나2013.07.04
- KT, 어도비 마케팅 클라우드로 매출 개선2013.07.04
- 오라클-MS, 클라우드 동맹2013.07.04
- 어도비, 클라우드 배포판도 불법복제에 노출2013.07.04
더존비즈온의 경우 지난해부터 클라우드 기반의 ERP를 중소기업들을 상대로 서비스하고 있다. 이 회사는 기업들이 내부에 프라이빗 클라우드를 구축한 뒤 더존비즈온의 데이터센터를 퍼블릭 클라우드로 활용하는 하이브리드 클라우드 형태의 사업도 진행 중이다.
더존비즈온 송호철 부장은 클라우드 기반 ERP 제품은 SSL 암호화 통신을 통한 프로토콜에 대한 보안, 퍼블릭-프라이빗 클라우드 간에 통합인증세션, 데이터무결성 확보 등을 핵심적인 보안사항으로 적용하고 있다고 밝혔다. 통합인증세션은 퍼블릭 클라우드와 기업 내에 구축된 프라이빗 클라우드 간에 한번의 인증만으로도 서로 통신할 수 있게 하는 방식이다. 해커 등 공격자들이 두 클라우드 서비스의 일부 구간에 관여해 정보를 빼가는 것을 막기 위한 조치다.