Home > 전체기사
보안위협 관점에서 클라우드와 온프레미스 환경의 차이
  |  입력 : 2018-09-25 15:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드, 온프레미스 환경보다 보안에 더 취약하지 않아

[보안뉴스= 박연주 KT IMO보안팀장] 클라우드 도입 초기이던 2008년, IDC가 시행한 클라우드 컴퓨팅 사용의 문제점에 대한 조사에서 ‘보안’은 1위를 차지했다. 그리고 2016년 클라우드가 보편화된 상황에서 클라우드 도입의 장벽이 무엇인지 조사한 결과에서 보안을 꼽은 응답자는 53%로 여전히 1위였다.

클라우드가 인터넷을 통해 컴퓨터 하드웨어와 소프트웨어의 기능을 이용할 수 있도록 하는 서비스이기에 사이버 침해에 대한 막연한 두려움이 있을 수 있다. 자체 전산실에 시스템을 구축하고 직접 시스템을 이용하는 것(이하 온프레미스)과 클라우드 서비스를 이용하는 것 사이에 사이버 침해 위협 관점에서 어떤 차이가 있는지 살펴보고자 한다.

[이미지=iclickart]


첫째, 네트워크 대역폭이나 시스템 자원을 고갈시켜 서비스 중단을 가져올 수 있는 디도스(DDoS) 공격을 살펴보면 자사 시스템을 목적지로 공격이 발생할 경우 클라우드나 온프레미스 환경 모두 서비스 중단이나 지연의 위험이 있다. 물론 클라우드 서비스 제공자의 논리적 환경 내에서 근접한 타 이용자가 받은 공격으로 서비스에 일시적 지연이나 제한이 발생할 수 있는 가능성이 잠재되어 있다는 점이 공유 인프라 환경의 약점이 될 수 있다. 하지만 많은 클라우드 서비스 제공자가 디도스 탐지·대응을 위한 시스템을 구축해 위험을 최소화하기 위한 노력을 하고 있다는 점은 고려해야 한다.

둘째, 시스템 OS나 미들웨어의 취약점을 노리는 공격의 관점에서 보면 이용하는 클라우드 서비스 모델에 따라 보안책임 공유의 모델이 서비스 제공자와 서비스 이용자 간에 공유되고 적용돼야 한다. 서버나 스토리지 같은 하드웨어 인프라(Iaas)를 사용하고 있다면 이용자가 스스로 취약점에 대한 정보를 수집하고 대응해야 한다. 아울러 공격 시도를 모니터링·분석해 공격시도를 차단할 책임이 있다. 플랫폼까지 서비스를 하는 PaaS 제공자나 소프트웨어 서비스를 제공하는 SaaS 제공자는 제공자가 시스템 OS나 미들웨어 취약점을 조치하고 공격시도를 탐지·차단하는 노력을 해야 한다.

그러나 많은 IaaS 이용자는 자사에 보안 관리의 책임이 있다는 것을 간과하는 경우가 많다. 클라우드에 있는 하드웨어, 소프트웨어 자원에 대해서 접근경로를 제한해 접근을 허용할 출발지와 서비스 포트만 열어야 한다. 그러나 확인된 현황은 그렇지 못한 경우가 많다. 2017년 RedRodk의 CSI팀은 인터넷에서 SSH의 접근 경로가 허용되는 것과 같은 위험도가 높은 보안 기준을 지키지 않는 경우가 46%라고 밝히고 있으며, 연구 대상의 37%는 인터넷에서는 숨겨져 있어 야 할 데이터베이스가 인터넷으로부터의 질의에 응답하고 있는 것을 확인했다. 클라우드 보안 위험은 이용자의 취약한 관행에서 기인되고 있는 것을 나타내고 있다.

▲박연주 KT IMO보안팀장[사진=KT]

셋째, 웹이나 모바일 앱 같은 서비스를 대상으로 발생하는 대부분의 해킹은 어플리케이션의 취약점을 이용해 시도된다. 이러한 해킹을 예방하는 방법은 안전한 소프트웨어 설계와 시큐어코딩 등이다. 앱 취약점을 이용하는 해킹은 소프트웨어의 소유권과 관리 책임을 가진 쪽에서 해킹에 대한 예방과 대응 책임을 가져야 한다. 즉, 온프레미스 환경으로 운영관리를 하는 기업이 자체 보안 시스템을 구축, 보안관제를 하고 취약점 진단을 통해 보안 설정 변경이나 취약한 앱을 수정하는 역할을 했던 것처럼 클라우드를 이용하더라도 동일한 보안활동을 해야 한다. 클라우드 사업자는 이러한 보안활동을 지원하기 위해 다앙한 보안 서비스 상품을 제공하고 있다. 대부분의 상품은 ‘기본’이 아닌 ‘옵션’으로 선택하는 것이므로 서비스 이용자가 보안 책임에 대해 잘 인식하고 자체적인 활동이나 옵션을 선택해 잘 해결할 수 있었으면 한다.

세 가지 관점에서 살펴본 내용의 결론을 내리면 클라우드가 온프레미스 환경보다 보안에 더 취약하다고 볼 수 없다는 것이다. 보안이 우려돼 클라우드를 사용하지 않았다면 이용자의 보안 책임이 달라지지 않는다는 점을 명심하고 운용비용이나 서비스의 성능과 같은 다른 요소를 고려해 결정해야 한다. 또한, 클라우드 서비스 제공자가 공유 인프라를 총괄하는 관점에서 필요한 보안 책임을 어떻게 이행하고 있는지 살펴봐야 한다. 클라우드에 적용되는 서비스제공자와 서비스이용자간 공동 책임 개념을 이해하고 각자가 자신을 몫을 다함으로 보안 우려를 벗고 클라우드의 다양한 혜택을 누릴 수 있기를 기대한다.
[글_ 박연주 KT IMO보안팀장(younju.park@kt.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
6월 25~26일 열리는 국내 최대 규모 개인정보보호 축제 ‘2019 개인정보보호 페어’에서 가장 중점적으로 논의되어야 할 이슈는 무엇이라고 보시나요?
개인정보 손해배상책임보험(사이버 보험) 의무화
개인정보처리시스템 접속기록 보관기간 확대 등 개인정보의 안전성 확보조치 기준 개정
개인영상정보의 보호 또는 활용 위한 법제도 마련
클라우드 환경 확대에 따른 개인정보보호 이슈
이미지속 개인정보 유출 위험과 대응방안
개인정보보호 관련 한-EU 적정성 평가 논의
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

엘세븐시큐리티
정보보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향