"강력한 보안 정책으로서 물리적 망분리가 필요하다는 주장이 있지만, 실제로 살펴보면 오히려 사이버공격 위험을 늘릴 수도 있습니다. 최근 많았던 분산서비스거부(DDoS) 공격을 생각해도, 데이터센터에 조직 자산이 몰려 있는 경우라면 대응이 어려웠을 겁니다. 망분리 환경 내부에서는 전혀 보안 체계를 구축해놓지 않는다는 점도 고려해야 합니다. 장단점을 따져볼 때, 가상화 기술 기반의, 가용성과 재해 복구 능력이 우수한 IT 환경으로 바꿔가야 할 필요가 있습니다."
성재모 AWS코리아 부문장은 3일 온라인으로 열린 '해킹방지워크샵' 기조연설자로 나서 이같이 말했다.
성재모 부문장은 약 20년간 한국인터넷진흥원(KISA), 금융보안원, 삼성카드 등에서 20사이버보안 업무를 수행해왔다. AWS코리아에서는 보안 보증 업무를 담당하고 있다.
최근 인공지능(AI), 빅데이터, 5G 기반 엣지컴퓨팅 등 신기술을 적극 도입하는 디지털트랜스포메이션(DT)이 분야를 막론하고 추진되고 있다. DT를 위해 기존 데이터센터에서 클라우드 환경으로 IT 자산을 이전하는 사례도 지속적으로 나타나고 있다. 그런데 클라우드 환경에서, 물리적 망분리에 버금가는 강력한 보안 체계를 구축할 수 있는지가 주요 관심사로 떠오르고 있다.
이에 성 부문장은 클라우드 환경에서 구성할 수 있는 논리적 망분리 체계가 사이버위협 예방 및 피해 복구 등 여러 측면에서 물리적 망분리보다 이점이 있다고 강조했다. 조직의 보안 수준을 상시 모니터링할 수 있다는 점도 클라우드 환경에서 기존 데이터센터 대비 보안을 강화할 수 있는 부분이라고 덧붙였다.
■"보안, 클라우드의 또다른 강점"
데이터센터 인프라를 클라우드로 대체하면 필요한 만큼 서버, 스토리지 등을 바로 사용할 수 있고, 사용량에 따른 비용을 지불할 수 있다. 클라우드 사업자가 제공하는 AI, 양자컴퓨팅 등 신기술을 활용할 수 있다는 것도 장점이다.
보안 체계를 편리하게 관리할 수 있다는 것 또한 클라우드 환경의 장점이라는 게 성 부문장의 설명이다.
성 부문장은 "기업에서 최고정보보호책임자(CISO)를 맡았을 때, 기업이 보유한 수많은 PC 등 기기에 탑재된 보안 솔루션을 관리하기 쉽지 않았다"며 "인사 이동이나 직원 휴가 등의 이유로 보안 업데이트가 제때 이뤄지지 않거나, 솔루션이 동작하지 않게 되는 경우도 발생했다"고 언급했다.
반면 클라우드에서는 소프트웨어 기반으로 기업이 자산 보유 현황과 보안 솔루션을 실시간으로 관리할 수 있으며, 마켓플레이스에서 제공하는 보안 솔루션을 손쉽게 선택, 적용할 수 있다는 것.
그러나 외부 접근을 원천 차단하는 물리적 망분리에 비해, 클라우드의 보안 수준이 떨어지는 게 아니냐는 우려가 제기돼왔다. 이에 성 부문장은 "물리적 망분리가 안전하다 하지만, 데이터센터에서 사용하는 장비를 직접 노린 공격 등 피해가 발생할 가능성은 존재한다"며 "스마트팩토리나 자율주행차 등 클라우드 환경을 활용하는 기술이 확산되는 점을 고려할 때 보안 체계는 가용성, 복구 능력에 초점을 맞춰 변화할 필요가 있다"고 주장했다.
이런 장점을 누리면서, 물리적 망분리에서 제공하는 보안은 가상 프라이빗 클라우드(VPC)로 대체할 수 있다고 봤다. 논리적인 가상 공간을 제공받아 외부로부터의 접근 및 악성코드 감염을 차단할 수 있다는 것이다.
■"책임 공유 모델 하에서 클라우드 보안 구축해야"
클라우드를 통해 강력한 보안 체계를 구축할 수 있지만, 유념해야 할 사항도 있다. '책임 공유 모델'이다.
성 부문장은 "서비스형 인프라(IaaS)나 플랫폼(PaaS), 소프트웨어(SaaS) 등 어떤 클라우드 서비스를 이용하느냐에 따라 보안에 대한 책임 소재가 달라진다"며 "SaaS의 경우 애플리케이션의 데이터에 대한 암호화나 접근제어 등은 고객이 책임지게 된다"고 말했다.
이어 "유럽 일반 개인정보보호법(GDPR)에서도 이같은 보안 책임 공유 모델이 언급되는데, 클라우드 고객사가 데이터를 관리하는 부분을 맡고, 클라우드 사업자는 '프로세서', 즉 시스템 운영에 대한 보호 및 안전성을 보장하는 식으로 구분하고 있다"며 "책임 공유 모델에 대한 정확한 개념을 숙지하고 클라우드를 이용할 때 개인정보 보호 정책도 적절히 적용할 수 있다"고 강조했다.
■"ISMS 중심 보안 인증 체계 확장이 바람직"
클라우드 보안 인증 체계에 대해서는 기존 보안 인증 제도를 활용하면서, 금융, 의료, 교육 등 세부 분야별로 특화된 항목을 추가 반영하는 식의 정책 추진이 바람직하다는 의견을 제시했다.
국제 표준화 기구 사례를 들었다. 정보보호 국제 표준인 'ISO/IEC 27001'을 중심으로 클라우드에 특화된 기준인 'ISO/IEC 27017', 클라우드 상에서의 개인정보 보호를 다루는 'ISO/IEC 27018'이 마련됐으며, 금융·통신 등 세부 영역에서 요구되는 보안 기준이 표준화되고 있다는 것.
성 부문장은 "국내 인증의 경우 '정보보호 및 개인정보보호관리체계 인증(ISMS-P)' 외에 클라우드 서비스 보안 인증(CSAP)가 별도로 존재하는 게 아쉬운 부분"이라며 "ISMS 체계가 잘 갖춰져 있는데, 여기에 추가 보호조치를 반영하는 식으로 클라우드 인증 관련 제도, 금융이나 보건, 교육 등의 인증 제도를 운영하는 방향이 바람직해보인다"고 제안했다.
관련기사
- 정부, DaaS용 클라우드 보안 인증제 확정2020.11.25
- "클라우드 보안, 자동화가 곧 위험 최소화"2020.04.22
- AWS, 하이브리드 클라우드로 진격2020.12.02
- 맥OS, AWS 클라우드에서 쓸 수 있다2020.12.02
클라우드 보안 인증 제도의 경우 특히 데이터별 중요도에 따라 요구하는 보안 수준을 다양화한 해외 사례들을 참고해볼 수 있다고 조언했다.
성 부문장은 "독일, 싱가폴 등에서는 일반적인 데이터와 금융 또는 의료 분야 등에서 다루는 민감한 정보, 국가 방위 등 정부 차원에서 보안이 중요한 데이터 순으로 강화된 보안 수준을 요구한다"며 "가장 높은 보안 수준에서는 상시적인 보안 체계 감사 및 제어, 관리가 가능하도록 해야 한다"고 덧붙였다.
