"통신업계 고객사 가운데 내부 인프라를 클라우드로 옮길지 검토하는 곳도 있다. 클라우드 활용 자체는 거스를 수 없는 흐름 같다. 실무자와 운영자들은 이 과정에 컴플라이언스 충족 여부를 되짚어봐야 한다. 기업의 온프레미스 환경과 클라우드 환경에 필요한 조직과 정책은 다를 수 밖에 없다. 기존 정책과 아키텍처를 가지고 그대로 클라우드에 가려고 하지는 않는지 되짚어봐야 한다."
안랩 보안 컨설턴트가 자체 구축한 전산 환경을 운영하고 국내 산업 관련 규제를 준수해 왔던 기업 담당자들에게 과거의 체계를 그대로 클라우드에 적용할 수 있을 거라 기대하면 안 된다고 당부했다.
안랩 구형모 컨설팅팀장은 17일 서울 코엑스 아마존웹서비스(AWS) 서밋 행사장에서 '클라우드 보안 컴플라이언스 체크포인트'라는 주제로 강연을 진행했다. 그는 클라우드 사용자인 기업과 기관 또는 클라우드서비스제공자(CSP)가 따라야 할 주요 컴플라이언스와 대응 방안을 제시했다. 보안 실무자 관점의 업무상 주안점이 돼야할 항목도 꼽았다.
구 팀장에 따르면 클라우드를 활용하려는 기관과 기업의 상황과 관련 업종에 따라 여러 법규가 적용된다. 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보법, 위치정보보호법, 의료법 등은 온프레미스 인프라 구축 당시부터 적용돼 왔다. 이를 클라우드로 전환할 경우 클라우드컴퓨팅발전 및 이용자보호에관한 법률, 그리고 행정·공공기관의 민간클라우드 이용, 국가 공공기관의 클라우드컴퓨팅 보안, 금융분야의 클라우드컴퓨팅 서비스 이용 등 시나리오별 가이드라인까지 고려해야 한다.
구 팀장은 "클라우드 보안 규제의 경우 주요 요구사항은 온프레미스 영역에서와 동일하게 인증 및 권한관리, 접근 통제, 암호화, 운영관리를 포함한다"면서 "다만 클라우드 활용의 주요 이유인 손쉬운 확장과 민첩성이란 장점이, 보안 담당자에겐 아킬레스건이 될 수 있다"고 지적했다. 이어 "처음 클라우드를 이용하는 주체는 대개 개발자들인데 서비스를 손쉽게 시작할 수 있지만 이후 관리가 안 되는 문제가 있다"면서 "이 서비스를 어떻게 통제영역에 넣을지가 보안관리자들의 최대 고민"이라고 지적했다.
산업별 클라우드 보안 규제 설명이 이어졌다. 민간 기업은 개인정보보호법, 정보통신망법 규율을 받는다. 금융 영역에선 전자금융감독규정 제14조의 2를 따라야 한다. 공공조직은 클라우드컴퓨팅 발전 및 이용자보호에관한 법률을 준수해야 한다. 민감정보 처리 시스템 또는 개인정보영향평가(PIA) 대상은 민간클라우드를 이용할 수 없다. 행정안전부 국가정보자원관리원이 운영하는 'G클라우드'가 제공하는 인프라가 법률 요건이 대응하는지 확인해야 한다.
구 팀장은 "온프레미스 환경과 클라우드는 (운영과 보안 관점에서 갖춰야 할) 조직과 정책이 다를 수밖에 없다"면서 "기존 정책과 아키텍처를 갖고 그대로 클라우드로 가려고 하지는 않는지 되짚어봐야 한다"고 지적했다.
클라우드 활용시 보안 요건은 클라우드 이용자인가, 이용자에게 서비스를 제공하려는 사업자인가, 이런 사용 주체별로 나눠 볼 수 있다. 이용자는 서비스도입 측면에서 환경분석, 도입대상선정, 분석설계를 거쳐 서비스 이관을 진행해야 한다. 클라우드서비스제공자(CSP)의 서비스제공 측면으로는 서비스 유형과 대상 고객을 고려한 보안인증 획득여부, 책임소재가 관건이다.
보안 요건을 유사시 대응 주안점으로 묶어 보면 크게 내부자 관리 실수, 사용자 인증과 접근 제어, 데이터 손실 및 유출, 시스템 및 네트워크 취약점 관리, 네 갈래다.
클라우드 기반 서비스의 개인정보 유출 원인 대다수가 내부자 관리 실수로 발생한다. 자원 권한 관리와 패스워드 설정 등 사용자인증 및 접근제어의 미흡함도 주요 사고 원인이다.
구 팀장은 "모든 사고의 핵심은 인력"이라며 "클라우드서비스를 잘 다룰 운영인력이 확보돼 있느냐가 핵심이고, 없다면 그런 교육체계를 만들거나 스카웃해 대응하는 것이 좋은 방법"이라고 강조했다.
이어 "데이터 손실 및 유출 발생시에는 책임소재를 따져 봐야 하고 내부자 소행일 경우 어떤 경위인지도 파악해야 한다"면서 "금융권의 경우 필수 요건인 '서비스 중단시 출구전략 수립'과 같이 사고 발생에 따른 손실을 최소화할 방안을 갖췄느냐가 중요하다"고 덧붙였다.
관련기사
- "AWS 올라탄 보안 관제 플랫폼, 편의·비용 일거양득"2019.04.18
- AWS "금보원 클라우드 평가항목 '기본 보호조치' 생략 가능"2019.04.18
- "한국, 클라우드 '혜택' 잘 활용할 수 있는 시장"2019.04.18
- 롯데정보통신, 롯데 온라인몰 AWS 기반으로 전환2019.04.18
또 "클라우드에서 시스템 설정, 운영체제(OS)와 가상 네트워크 취약점 보완이 미흡한 경우가 많다"며 "개발자들은 개발 업무에 집중하느라 상대적으로 보안에 둔감할 수 있는데, CSP 측에서도 제공하지만 (이용자측) 내부적으로도 주기적 점검 체계를 갖춰야 한다"고 말했다.
그에 따르면 안랩은 AWS코리아와 협력해 한국 금융사를 위한 'AWS클라우드보안가이드'를 작성 중이다. 6월말~7월초 전체 국내 금융권 기관과 기업 대상으로 제공할 예정이다.