세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
클라우드 보안시장, 풀어야 할 숙제 3가지
  |  입력 : 2018-07-12 18:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 보안 전문인력 확충, 클라우드 보안 서비스·솔루션 다양화돼야

[보안뉴스 김경애 기자] 공공기관 및 기업의 클라우드 도입이 증가 추세를 보이고 있지만, 클라우드 보안 분야는 아직 더딘 흐름을 보이고 있다. 각종 보안 이슈와 함께 클라우드 보안 전문인력 부족 등 풀어야 할 숙제가 만만치 않기 때문이다. 이에 본지는 클라우드 도입에 있어 고려해야 할 점과 향후 개선사항을 짚어봤다.

[이미지=iclickart]


1. 클라우드의 다양한 보안위협
클라우드를 도입하는 데 있어 가장 우려하는 이유 중 하나가 바로 각종 보안 문제다. 클라우드 보안이슈과 관련해 한국인터넷진흥원은 △가상화 취약점 △정보위탁 △자원공유 및 정보 집중화 △분산처리에 따른 보안적용의 어려움 △법규·규제 이슈 등을 꼽았다.

가상화 취약점의 경우 가상화 환경에서의 다양한 공격경로를 통한 악성코드 전파가 용이하다는 점이 꼽힌다. 또한, 정보위탁의 경우 클라우드 정보위탁의 특성으로 인해 악의적인 내부자 또는 관리자 실수에 의해 정보 유출이나 손실이 발생할 위협이 존재한다.

자원공유 및 정보 집중화의 경우 IT 자원이 클라우드 센터에 집중된 상황에서 침해사고 발생 시 자원을 공유하는 모든 사용자의 서비스에 장애가 발생할 수 있다는 점이다.

분산처리에 따른 보안적용 어려움의 경우 데이터가 많은 서버들에 분산 저장·관리됨에 따라 데이터 암호화, 사용자 인증, 접근제어 등의 어려움이 증가한다는 점이다.

법규 및 규제 이슈 측면에서는 클라우드 서비스는 정보의 소유와 관리 주체 분리, 서버의 분산배치 등으로 인해 기존 법규와 규제로 적용이 어렵다.

이와 관련 한국인터넷진흥원(KISA) 관계자는 “클라우드 이용자는 가상자원 활용과 보안 서비스 등 클라우드 특성을 고려해 효율적이고 안전한 방식으로 클라우드를 도입해야 한다”며 “특히, 클라우드 도입 시 이용자는 보안 책임을 인식하고 클라우드 환경에 맞는 보안 아키텍처를 수립해야 한다”고 당부했다. 또한, 보안업체가 다양한 세카스(SecaaS: Security as a Service) 모델을 개발하고, 개발된 서비스가 시장에 적용될 수 있도록 클라우드 마켓플레이스 활성화가 필요하다고 덧붙였다.

2. 클라우드 보안 책임 공유 이슈
안랩은 클라우드 도입에 있어 가장 큰 장애물로 IT 담당자에 의한 보안 운영의 어려움과 클라우드 보안 책임 공유 문제를 꼽았다. 안랩 측은 “현재 주요 퍼블릭 클라우드 제공업체는 클라우드 보안 책임 공유 모델을 도입하고 있는데, 이는 클라우드 서비스 제공사와 이용자 간에 보안 책임이 분산된다는 의미”라고 설명했다.

이어 “클라우드 서비스 제공사는 데이터, 스토리지 등 클라우드 인프라 보안을 책임지고, 이용자는 내부 정보보안을 직접 관리해야 한다”며 “이용자는 보안 강화를 위해 웹방화벽, IPS(침입방지시스템) 등 보안 솔루션을 구축해야 하고, 보안장비를 효율적으로 운영하고 유지보수하기 위해서는 보안전문 인력이 필수적이다. 보안을 위한 솔루션 구축, 보안전문 인력 채용 등 준비과정에서 상당한 시간과 초기 비용이 발생한다”고 말했다.

3. 비용 및 운영인력 부족
클라우드 보안에 있어 세카스(SECaaS)와 캐스비(CASB: Cloud Access Security Broker) 모델 모두 해외에서는 활성화되고 있는 반면, 국내는 상대적으로 더딘 흐름을 보이고 있다.

이와 관련 보안업계의 한 관계자는 “캐스비의 경우 비용과 운영인력을 확보할 수 있는 일정 수준의 규모가 있는 기업이 아니면 도입하기 어려운 게 현실”이라며 “세카스의 경우 도입이 상대적으로 쉽다는 시장의 인식이 있지만, 실제로는 비용 및 운영인력 문제, 그리고 클라우드 사업자별로 제공되는 서비스가 제한되는 문제가 있다”고 지적했다.

이러한 문제점을 해결하기 위해 그는 “클라우드 사업자들이 좀 더 다양한 보안 솔루션을 제공할 필요가 있고, 클라우드 보안을 위해 어떻게 해야 하는지 다양한 적용사례가 만들어져야 한다”고 제시했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)