Home > 전체기사
보안위협 관점에서 클라우드와 온프레미스 환경의 차이
  |  입력 : 2018-09-25 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드, 온프레미스 환경보다 보안에 더 취약하지 않아

[보안뉴스= 박연주 KT IMO보안팀장] 클라우드 도입 초기이던 2008년, IDC가 시행한 클라우드 컴퓨팅 사용의 문제점에 대한 조사에서 ‘보안’은 1위를 차지했다. 그리고 2016년 클라우드가 보편화된 상황에서 클라우드 도입의 장벽이 무엇인지 조사한 결과에서 보안을 꼽은 응답자는 53%로 여전히 1위였다.

클라우드가 인터넷을 통해 컴퓨터 하드웨어와 소프트웨어의 기능을 이용할 수 있도록 하는 서비스이기에 사이버 침해에 대한 막연한 두려움이 있을 수 있다. 자체 전산실에 시스템을 구축하고 직접 시스템을 이용하는 것(이하 온프레미스)과 클라우드 서비스를 이용하는 것 사이에 사이버 침해 위협 관점에서 어떤 차이가 있는지 살펴보고자 한다.

[이미지=iclickart]


첫째, 네트워크 대역폭이나 시스템 자원을 고갈시켜 서비스 중단을 가져올 수 있는 디도스(DDoS) 공격을 살펴보면 자사 시스템을 목적지로 공격이 발생할 경우 클라우드나 온프레미스 환경 모두 서비스 중단이나 지연의 위험이 있다. 물론 클라우드 서비스 제공자의 논리적 환경 내에서 근접한 타 이용자가 받은 공격으로 서비스에 일시적 지연이나 제한이 발생할 수 있는 가능성이 잠재되어 있다는 점이 공유 인프라 환경의 약점이 될 수 있다. 하지만 많은 클라우드 서비스 제공자가 디도스 탐지·대응을 위한 시스템을 구축해 위험을 최소화하기 위한 노력을 하고 있다는 점은 고려해야 한다.

둘째, 시스템 OS나 미들웨어의 취약점을 노리는 공격의 관점에서 보면 이용하는 클라우드 서비스 모델에 따라 보안책임 공유의 모델이 서비스 제공자와 서비스 이용자 간에 공유되고 적용돼야 한다. 서버나 스토리지 같은 하드웨어 인프라(Iaas)를 사용하고 있다면 이용자가 스스로 취약점에 대한 정보를 수집하고 대응해야 한다. 아울러 공격 시도를 모니터링·분석해 공격시도를 차단할 책임이 있다. 플랫폼까지 서비스를 하는 PaaS 제공자나 소프트웨어 서비스를 제공하는 SaaS 제공자는 제공자가 시스템 OS나 미들웨어 취약점을 조치하고 공격시도를 탐지·차단하는 노력을 해야 한다.

그러나 많은 IaaS 이용자는 자사에 보안 관리의 책임이 있다는 것을 간과하는 경우가 많다. 클라우드에 있는 하드웨어, 소프트웨어 자원에 대해서 접근경로를 제한해 접근을 허용할 출발지와 서비스 포트만 열어야 한다. 그러나 확인된 현황은 그렇지 못한 경우가 많다. 2017년 RedRodk의 CSI팀은 인터넷에서 SSH의 접근 경로가 허용되는 것과 같은 위험도가 높은 보안 기준을 지키지 않는 경우가 46%라고 밝히고 있으며, 연구 대상의 37%는 인터넷에서는 숨겨져 있어 야 할 데이터베이스가 인터넷으로부터의 질의에 응답하고 있는 것을 확인했다. 클라우드 보안 위험은 이용자의 취약한 관행에서 기인되고 있는 것을 나타내고 있다.

▲박연주 KT IMO보안팀장[사진=KT]

셋째, 웹이나 모바일 앱 같은 서비스를 대상으로 발생하는 대부분의 해킹은 어플리케이션의 취약점을 이용해 시도된다. 이러한 해킹을 예방하는 방법은 안전한 소프트웨어 설계와 시큐어코딩 등이다. 앱 취약점을 이용하는 해킹은 소프트웨어의 소유권과 관리 책임을 가진 쪽에서 해킹에 대한 예방과 대응 책임을 가져야 한다. 즉, 온프레미스 환경으로 운영관리를 하는 기업이 자체 보안 시스템을 구축, 보안관제를 하고 취약점 진단을 통해 보안 설정 변경이나 취약한 앱을 수정하는 역할을 했던 것처럼 클라우드를 이용하더라도 동일한 보안활동을 해야 한다. 클라우드 사업자는 이러한 보안활동을 지원하기 위해 다앙한 보안 서비스 상품을 제공하고 있다. 대부분의 상품은 ‘기본’이 아닌 ‘옵션’으로 선택하는 것이므로 서비스 이용자가 보안 책임에 대해 잘 인식하고 자체적인 활동이나 옵션을 선택해 잘 해결할 수 있었으면 한다.

세 가지 관점에서 살펴본 내용의 결론을 내리면 클라우드가 온프레미스 환경보다 보안에 더 취약하다고 볼 수 없다는 것이다. 보안이 우려돼 클라우드를 사용하지 않았다면 이용자의 보안 책임이 달라지지 않는다는 점을 명심하고 운용비용이나 서비스의 성능과 같은 다른 요소를 고려해 결정해야 한다. 또한, 클라우드 서비스 제공자가 공유 인프라를 총괄하는 관점에서 필요한 보안 책임을 어떻게 이행하고 있는지 살펴봐야 한다. 클라우드에 적용되는 서비스제공자와 서비스이용자간 공동 책임 개념을 이해하고 각자가 자신을 몫을 다함으로 보안 우려를 벗고 클라우드의 다양한 혜택을 누릴 수 있기를 기대한다.
[글_ 박연주 KT IMO보안팀장(younju.park@kt.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향