클라우드 컴퓨팅의 활성화를 위한 클라우드 보안과 정책 요약

해당 게시물은 아래 간행물을 요약하였습니다

클라우드의 미래모습과 보안

https://www.nia.or.kr/site/nia_kor/ex/bbs/View.do?cbIdx=82618&bcIdx=22859&parentSeq=22859

국내 클라우드 컴퓨팅 활성화를 위한 정책과 방향

https://spri.kr/posts/view/22634?code=research

 

<서론>

클라우드 이전의 데이터센터

클라우드 이전의 데이터센터에서는 서버, 스토리지 등의 ICT 장비를 직접 운영하거나 외부 기업이 들어와서 서버와 관리자를 렌탈해 관리해주는 형식으로 진행되었다.

해당 형식은 공간부터 장비 도입, 데이터 관리 비용, 전력 소모량, 유지보수등의 어려움을 내포하고 있다.

클라우드 컴퓨팅은 가상화 기술을 이용해 여러 서버를 한데 모아 가상의 네트워크를 만들어 원격으로 접속해 IT자원을 사용하는 온-디맨드 방식의 서비스다.

접속량이 몰리거나 줄어들 때 자원을 추가로 끌어다 쓰거나 작업을 분산하여 처리해 유동적인 서비스를 가능하게 만든다는 특징이 있다.

이 과정에서 필요할 때 클릭 몇 번으로 쉽고 빠르게 자원을 사용하고 관리를 위탁하고 사용한 만큼만 페이를 낸다는 장점이 있다.

따라서 전 세계의 IT기업들과 특히나 서버에 큰 투자를 하기에는 리스크가 많은 신생 기업들에게 큰 영향을 미치게 되었다.

기업들의 업무 방식을 바꾸며 선진국들은 활발하게 도입하였고 클라우드 컴퓨팅 시장은 급성장하는 추세가 되었지만 국내는 전체 기업 중 4.1%가 클라우드를 도입하였다. OECD 35개국중 27위를 차지할 정도로 낮은 도입률을 보인다.

언택트 시대에 더욱 많은 소비자들이 다양한 장소에서 서비스를 이용하는데 큰 도움을 주면서 함께 덩치를 불려나가고 있다.

클라우드 유형에는 크게 세가지가 있다.

IaaS(Infrastructure as a Service)는 네트워크, 서버 및 데이터 스토리지와 같은 비즈니스 리소스를 제공하고 사용자가 더욱 디테일한 설정을 직접 할 수 있는 유형이다.

PaaS(Platform as a Service)는 인프라적 리소스가 준비되어 있으며 기업과 개발자가 소비자용 앱을 호스팅 하고 구축 및 배포할 수 있다.

SaaS(Software as a Service)는 지금까지 가장 일반적인 클라우드 서비스로 전문 지식이 없어도 누구나 사용할 수 있도록 애플리케이션 형태로 제공하는 유형이다.

클라우드 소비 유형으로 분류하면 4가지로 구분된다.

Public 클라우드는 인터넷을 통해 제공되고 조직 간에 공유되는 클라우드 컴퓨팅이다.

Private 클라우드는 조직 전용 클라우드 컴퓨팅이며 높은 수준의 보안을 요구하는 정부나 군사 기관 등에서 사용된다.

Community 클라우드는 개인정보 보호, 보안 및 규정 준수 등에서 비슷한 수준의 요구를 가진 기업들이 모여 함게 클라우드를 이용하고 관리한다.

Hybrid 클라우드는 퍼블릭 클라우드와 프라이빗 클라우드를 모두 사용하는 형태이다.

기존의 회사 내부에서 직접 보안을 관리하던 온프레미스 방식에 비해 클라우드는 외부에서 관리되기 때문에 침해 요소가 많아 보안이 굉장히 중요한 이슈로 자리잡는다.

클라우드가 많은 장점을 가지고 있음에도 국내에서 활성화 되지 않는 이유와 보안이 클라우드에 미치는 영향을 알아보고자 한다.

 

<본론>

실제 기업의 클라우드 도입 사례

산업계 측면의 클라우드 활용

세계적으로 많은 수요를 가지고 성장하고 있는 클라우드 시장이 국내에 잘 자리잡기 위해서 많은 노력이 필요하다. 이미 해외에는 큰 규모와 자본으로 비용에 비해 안정적인 서비스를 제공하는 AWS, AZURE 등의 클라우드 대기업이 있다.

대기업을 상대로 국내 클라우드 산업이 활성화 되기 위해서는 정부에서 기반을 마련해 주어야 한다.

실제로 2009년부터 정부에서 클라우드 산업을 성장시키기 위해 다양한 정책을 마련하여 법 제도적 가이드를 만들고 있다.

제도 개선 및 기반 조성을 위해 보안인증제를 운영하고 도입 원칙을 세워 다양한 사고에 대비할 수 있도록 가이드라인도 마련했다.

클라우드 산업의 물꼬를 트기 위해 공공기관에 우선적으로 클라우드를 적극적으로 도입할 수 있도록 컨설팅을 제공하고 인센티브를 주는 방안도 고려되고 있다.

대구에 국가정보자원관리원 데이터센터를 정부 주관의 클라우드로 구축하는 사례도 있었다.

공공 기관을 넘어 민간 영역으로도 확대될 수 있도록 예비창업자에게 클라우드 환경을 제공하고 스타트업 관련 기업을 위주로 클라우드를 홍보, 교육 및 시범적용하는 등의 편의도 제공하였다.

원천기술을 개발하기 위해 클라우드 기술을 개발하는 기업과 파트너쉽 멘토링을 통해 중소기업을 양성하였다.

인재를 양성하기 위해 대학을 선정하여 재직자 및 채용예정자를 대상으로 훈련을 진행했다.

 

정부가 앞서 말한 투자와 노력을 하고 있음에도 국내 10인 이상 전 사업체를 대상으로 조사하였을 대 클라우드 이용률이 12.9%로 아직 활성화 정도가 크지 않은 원인을 분석하면 크게 다섯 가지가 있다.

1. 보안 우려 인식

정보자원의 종류에 따라 보안때문에 활용이나 데이터 공유가 어렵다. 클라우드는 하나의 또는 여러 개의 IT자원을 다양한 공유 방식을 통해 여러 소비자가 공유해서 사용한다. 데이터센터 외부의 다양한 장소에서 수많은 사람들이 접속해서 쓰는 경우가 많기 때문에 비교적 보안에 취약할 수밖에 없고 실제로도 크고 작은 보안사고가 많이 발생한다.

크게 세가지 유형이 있다.

첫 번째는 사용자가 클라우드 서비스 내부 설정을 잘못 만졌을 때 에러가 생기는 경우이다. 고객의 정보가 유출되거나 접속 오류 사고가 빈번하게 발생된다. 유출된 정보를 또다시 해킹에 이용하는 2차 사고도 생겼다.

두 번째는 사용자나 관리자의 계정을 훔쳐 고의적으로 에러를 만들고 업무를 마비시키는 경우이다.

세 번째는 클라우드 인프라와 컨테이너의 취약점을 노려 악성코드나 악성 이미지를 심고 자원을 사용하여 채굴하는 등의 경우다.

2. 도입 비용 부담

온프레미스 방식은 구축비 이외에도 유지비나 관리비가 숨어있다. 그에 반해 모든 변수가 드러나 있어 처음부터 매달 가격에 반영되어서 나타나는데 총 합을 계산해보면 클라우드가 더 싸지만 눈에 보이는 가격 때문에 사용자가 부담을 느끼게 된다.

Public이 아닌 private 클라우드를 쓰는 경우에는 오히려 비용이 더 많이 들 수도 있다.

3. 시장변화 대응 부족

AWS와 AZURE 같은 대기업은 시장의 흐름에 따라 다양한 마케팅과 기술 개발을 적극적으로 진행하여시장 점유율을 더욱 늘려가고 있다.

이미 국내 시장도 많이 점유하고 있으며 준비되어 있는 기술력과 자본력으로 빠르게 국내에 데이터센터를 신설하고 시장은 선점하고 있다.

클라우드는 한 번 인프라를 구축하게 되면 바꾸기 어렵기 때문에 선점하는 것이 중요하다.

국내에서 대표 통신사들이 노력중이나 외국 기업들은 이미 세계적인 통신망을 확보하고 있으며 가격경쟁력에서도 밀려서 점유율 확보 못하고 있다.

4. 원천 기술 부족

국내 기업이 Saas정도의 기술은 일부 경쟁력을 보유하고 있지만 pass나 iaas 유형은 해외 대비 원천기술이 부족하다.

자원 가상화, 통합, 데이터 저장, 보안 등의 기술 분야에서 기술력을 어느정도 확보하고 있지만 그 외적인 부분 산업 여건, 경험, 전문 인력 확보 등이 부족하다.

5. 제도의 미비

2009년부터 정부가 클라우드 활성화를 위해 계획을 세우고 법과 제도를 만들고 있지만 실효성이 떨어지고 규제가 너무 많다.

정부에서 실험적으로 도입한 클라우드는 외부에서 접근이 불가능하기 때문에 민간에 케이스 사례로 활용되기는 어렵다.

건강한 클라우드 산업이 발전하기 위해 만들어진 가이드라인은 오히려 클라우드 산업의 도입에 발목을 잡고 있다.

이외에도 금융이나 의료 등 주요 서비스 분야에서 수준 높은 개인정보 보호 규제 때문에 클라우드 정책과 상충한다.

6. 예산 부족

2017년 클라우드에 할당된 예산은 337억원으로 조 단위의 해외 예산보다 한참 부족하다.

2018년에 추가로 클라우드 산업에 필요한 인력 양성과 마케팅에 365억원을 할애했지만 물꼬를 트기에는 충분하지 않았다.

 

회사 또는 기관에서 운영하는 정보 시스템을 클라우드 환경으로 전환하는 경우 성격에 따라 다양한 클라우드 환경을 선택할 수 있다. 이에 따라 클라우드 환경의 보안, 클라우드 종류, 데이터의 중요성 등 다양한 요인을 고려하여 효과적인 전략을 선택해야 한다.

클라우드 환경의 보안 전략은 레거시 환경에서 추진되는 보안 전략과 크게 다르지 않다. 기존에 없던 새로운 보안 전략을 도입하기보다 기존 환경에서 잘 운영되는 보안 전략을 확장하여 적절한 보안 전략을 보완하는 방법이 더 효과적이다.

첫 번째는 워크로드 중심의 보안 시스템이다. 클라우드 서버의 워크로드를 대시보드 형태로 직관적이게 관리하여 실시간으로 모니터링 하는 것이 중요하다. 보안 사고를 예방할 수 있고 통제하고 대응 할 수 있어서 가장 효과적이라고 볼 수 있다.

두 번째로 애플리케이션 수명 주기 전반에 걸친 보안은 한마디로 기존의 DevOps를 DevSecOps로 바꾸는 것이다. DevOps란 개발 업무와 관리 업무를 통합하여 협업을 강화고 더 빠르고 안정적으로 접근할 수 있는 서비스다. DevSecOps란 해당 서비스에 보안을 추가로 통합하여 개발 하면서 동시에 관리와 보안 취약점 확인까지 함께 진행하는 것이다. 개발 단계에서부터 보안을 고려하고 반복적으로 테스트와 검증을 했을 때 더욱 수준 높은 보안을 갖출 수 있게 된다.

세 번째로 지능화된 대응체계 구축은 보안체계의 운영을 자동화 하여 사람이 직접 관리하기보다 인공지능, 머신러닝 등의 기술을 활용하여 실시간으로 다양한 해킹에 자동으로 대응하도록 한다.

기존에 있었던 여러 보안 사고 사례를 수집하고 분석하여 대응 할 수 있도록 하여 빠르고 정확하게 캐치하여 해결할 수 있다.

네 번째로 Public 환경에서의 보안 대책은 클라우드 서비스 제공자 뿐만 아니라 사용자도 책임이 있기때문에 노력을 기울여야 한다. 해킹 및 악성코드 방어, 접근통제, 인증 및 권한관리, 암호화, 로깅 및 모니터링, 취약점 관리, 컴플라이언스 준수와 같은 보안 서비스를 확인하고 사용자도 보안 조치를 준비해야 한다.

다섯 번째로 컴플라이언스는 개이정보 보호법 등 데이터 3법 개정으로 중요성이 부각되고 있으며 중요한 데이터가 저장됨에 따라 컴플라이언스 법규를 준수하는 것은 회사의 경쟁력을 높이는데 중요한 요소중에 하나가 되었다.

클라우드 보안의 고려 사항

보안 솔루션은 어느 하나로 보안 위협에 완벽하게 대응할 수 없으며 적절한 위협 대응 시스템이 마련되어 있어야 한다.

보안 위협은 언제든 발생할 수 있으며 사전에 복구 시스템을 마련하여 주기적으로 백업하고 재해복구시스템을 구축하여 업무 연속성을 확인하는 것이 중요하다.

활성화를 위해 필요한 보안

현재 국가정보자원관리원은 중앙정부기관으로부터 전자정부 서비스를 제공하고 서버, 스토리지, 네트워크, 보안 등 부처의 정보를 안전하게 구축, 운영, 관리하고 있다.

 

<결론>

앞으로 국내 클라우드 도입 활성화를 위해서 정부 차원에서 더욱 다양한 대응을 해야 한다.

선진국처럼 클라우드에서 공공 데이터를 적극적으로 활용할 수 있도록 허용하고 공공 데이터의 질을 높여야 한다.

그리고 신규 시스템을 구축할 때 클라우드 컴퓨팅 도입을 강조해야 한다.

국내 기업의 클라우드 시장 진입이 늦기 때문에 다양한 비즈니스 모델을 발굴하여 글로벌 경쟁업체보다 더 잘할 수 있는 분야에 선택과 집중을 통해 경쟁력을 확보할 수 있는 틈새시장을 노려 전문화시켜야 한다.

각종 산업간의 데이터를 공유하고 부처간의 협력을 통해 플랫폼 구축을 강화시켜야 한다.

클라우드 기반 기술 강화를 통해 고성능의 반도체를 개발하거나 더 고차원의 통신망을 활성화 하고 다른 종류의 클라우드간에 연계가 가능하도록 하는 기술을 개발해야 한다.

클라우드가 자리잡을 수 있도록 제도를 지속적으로 개선하고 이해관계를 조율하여 클라우드가 데이터를 잘 활용할 수 있도록 지원해야 한다.

데이터 활용을 통한 클라우드 생산성을 높이기 위해서는 국내 공공 데이터 시장 확대가 필수적이다. 데이터를 활용할 수 있어야 빅데이터를 이용하여 분석하고 인공지능과 결합해 다양한 서비스를 만들 수 있다.

클라우드를 도입할 때 가장 진입장벽이 높은 보안 이슈를 해결하기 위해서 민간 클라우드 이용 절차 및 안정성 확보 기준 등을 반영해 대상정보 이용 기준을 구체화 해야 한다.

클라우드 도입 관련해서 제도를 개선하기 위해 클라우드 서비스를 쉽게 구매하고 수요에 따라 빠르게 변경할 있도록 유통 절차를 변경하여 서비스 계약 제도를 변경해야 한다.

제도적인 개선 뿐만 아니라 인센티브를 통해 클라우드를 도입하였을 때 실질적으로 느껴지는 이익을 주는 것도 효과적이다.

예산을 더욱 많이 편성하고 기술 개발과 교육 등 적절한 곳에 분배한 것도 중요하다.

클라우드 보안 인증 및 대응체계를 확립하기 위해 해외의 사례를 잘 분석하여 국내 시장을 고려해 서면평가, 현장평가, 취약점 테스트, 인증기준, 적합여부 평가 등을 시행하는 것에 도움을 주어야 한다.