세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
보안위협 관점에서 클라우드와 온프레미스 환경의 차이
  |  입력 : 2018-09-25 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드, 온프레미스 환경보다 보안에 더 취약하지 않아

[보안뉴스= 박연주 KT IMO보안팀장] 클라우드 도입 초기이던 2008년, IDC가 시행한 클라우드 컴퓨팅 사용의 문제점에 대한 조사에서 ‘보안’은 1위를 차지했다. 그리고 2016년 클라우드가 보편화된 상황에서 클라우드 도입의 장벽이 무엇인지 조사한 결과에서 보안을 꼽은 응답자는 53%로 여전히 1위였다.

클라우드가 인터넷을 통해 컴퓨터 하드웨어와 소프트웨어의 기능을 이용할 수 있도록 하는 서비스이기에 사이버 침해에 대한 막연한 두려움이 있을 수 있다. 자체 전산실에 시스템을 구축하고 직접 시스템을 이용하는 것(이하 온프레미스)과 클라우드 서비스를 이용하는 것 사이에 사이버 침해 위협 관점에서 어떤 차이가 있는지 살펴보고자 한다.

[이미지=iclickart]


첫째, 네트워크 대역폭이나 시스템 자원을 고갈시켜 서비스 중단을 가져올 수 있는 디도스(DDoS) 공격을 살펴보면 자사 시스템을 목적지로 공격이 발생할 경우 클라우드나 온프레미스 환경 모두 서비스 중단이나 지연의 위험이 있다. 물론 클라우드 서비스 제공자의 논리적 환경 내에서 근접한 타 이용자가 받은 공격으로 서비스에 일시적 지연이나 제한이 발생할 수 있는 가능성이 잠재되어 있다는 점이 공유 인프라 환경의 약점이 될 수 있다. 하지만 많은 클라우드 서비스 제공자가 디도스 탐지·대응을 위한 시스템을 구축해 위험을 최소화하기 위한 노력을 하고 있다는 점은 고려해야 한다.

둘째, 시스템 OS나 미들웨어의 취약점을 노리는 공격의 관점에서 보면 이용하는 클라우드 서비스 모델에 따라 보안책임 공유의 모델이 서비스 제공자와 서비스 이용자 간에 공유되고 적용돼야 한다. 서버나 스토리지 같은 하드웨어 인프라(Iaas)를 사용하고 있다면 이용자가 스스로 취약점에 대한 정보를 수집하고 대응해야 한다. 아울러 공격 시도를 모니터링·분석해 공격시도를 차단할 책임이 있다. 플랫폼까지 서비스를 하는 PaaS 제공자나 소프트웨어 서비스를 제공하는 SaaS 제공자는 제공자가 시스템 OS나 미들웨어 취약점을 조치하고 공격시도를 탐지·차단하는 노력을 해야 한다.

그러나 많은 IaaS 이용자는 자사에 보안 관리의 책임이 있다는 것을 간과하는 경우가 많다. 클라우드에 있는 하드웨어, 소프트웨어 자원에 대해서 접근경로를 제한해 접근을 허용할 출발지와 서비스 포트만 열어야 한다. 그러나 확인된 현황은 그렇지 못한 경우가 많다. 2017년 RedRodk의 CSI팀은 인터넷에서 SSH의 접근 경로가 허용되는 것과 같은 위험도가 높은 보안 기준을 지키지 않는 경우가 46%라고 밝히고 있으며, 연구 대상의 37%는 인터넷에서는 숨겨져 있어 야 할 데이터베이스가 인터넷으로부터의 질의에 응답하고 있는 것을 확인했다. 클라우드 보안 위험은 이용자의 취약한 관행에서 기인되고 있는 것을 나타내고 있다.

▲박연주 KT IMO보안팀장[사진=KT]

셋째, 웹이나 모바일 앱 같은 서비스를 대상으로 발생하는 대부분의 해킹은 어플리케이션의 취약점을 이용해 시도된다. 이러한 해킹을 예방하는 방법은 안전한 소프트웨어 설계와 시큐어코딩 등이다. 앱 취약점을 이용하는 해킹은 소프트웨어의 소유권과 관리 책임을 가진 쪽에서 해킹에 대한 예방과 대응 책임을 가져야 한다. 즉, 온프레미스 환경으로 운영관리를 하는 기업이 자체 보안 시스템을 구축, 보안관제를 하고 취약점 진단을 통해 보안 설정 변경이나 취약한 앱을 수정하는 역할을 했던 것처럼 클라우드를 이용하더라도 동일한 보안활동을 해야 한다. 클라우드 사업자는 이러한 보안활동을 지원하기 위해 다앙한 보안 서비스 상품을 제공하고 있다. 대부분의 상품은 ‘기본’이 아닌 ‘옵션’으로 선택하는 것이므로 서비스 이용자가 보안 책임에 대해 잘 인식하고 자체적인 활동이나 옵션을 선택해 잘 해결할 수 있었으면 한다.

세 가지 관점에서 살펴본 내용의 결론을 내리면 클라우드가 온프레미스 환경보다 보안에 더 취약하다고 볼 수 없다는 것이다. 보안이 우려돼 클라우드를 사용하지 않았다면 이용자의 보안 책임이 달라지지 않는다는 점을 명심하고 운용비용이나 서비스의 성능과 같은 다른 요소를 고려해 결정해야 한다. 또한, 클라우드 서비스 제공자가 공유 인프라를 총괄하는 관점에서 필요한 보안 책임을 어떻게 이행하고 있는지 살펴봐야 한다. 클라우드에 적용되는 서비스제공자와 서비스이용자간 공동 책임 개념을 이해하고 각자가 자신을 몫을 다함으로 보안 우려를 벗고 클라우드의 다양한 혜택을 누릴 수 있기를 기대한다.
[글_ 박연주 KT IMO보안팀장(younju.park@kt.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술