클라우드 서비스의 활용이 늘어남에 따라 클라우드의 ‘보안성’에 대한 관심도 높아지고 있다. 이 ‘보안성’의 중요한 취약점으로는 ‘사용자’가 꼽혔으며, 이를 완화하는 방법으로는 클라우드 보안을 위한 아키텍처와 전략의 수립이 꼽혔다.
백성광 SK쉴더스 클라우드컨설팅팀장은 29일 오전 서울 중구 웨스틴조선 호텔에서 열린 ‘클라우드 2023’ 콘퍼런스에서 안전한 클라우드 활용을 위한 보안 거버넌스 체계의 수립에 대해 소개했다.
클라우드 2023은 국내외 기업의 혁신적 클라우드 시장 전략과 미래 비전, 디지털 대전환과 ‘초거대 AI’ 등의 현황과 미래를 논의하는 행사다. IT조선이 주최하고 과학기술정보통신부, 정보통신산업진흥원, 한국지능정보사회진흥원, 정보통신기획평가원 등이 후원했다.
백 팀장은 "클라우드의 보안 문제에서 사용자 설정에 의한 사고의 비중이 높아지고 있다"고 지적하며, 이를 방지하는 방법으로 적절한 보안 아키텍처 및 전략의 수립을 제시했다. 클라우드 보안 거버넌스 수립에 중요한 점으로는 ‘기준 수립’과 ‘평가’를 꼽았다.
가트너의 보고서에 따르면, 클라우드의 ‘안전’은 클라우드 자체보다는 사용자의 보안을 위한 정책과 기술에 달린 것으로 나타난다. 특히 2024년까지 대부분의 기업은 클라우드 보안 위험 측정에 계속 어려움을 겪을 것이며, 2025년까지 클라우드 보안 실패의 99%가 고객의 잘못에 기인할 것으로 전망됐다. CSA(Cloud Security Alliance)가 꼽은 클라우드 보안 위험 요인에서도 ‘클라우드 보안 아키텍처 및 전략의 부재’는 4위에 위치할 정도로 중요하게 다루어지고 있다.
현재의 통합 보안 아키텍처는 서버와 애플리케이션, 스토리지와 네트워크, 계정관리와 접근통제 등에 이르기까지 폭넓은 영역을 포함하고 있다. 하지만 여전히 제대로 인지되지 않고 관리되지 않는 ‘그레이 존’이 존재하며, 백 팀장은 이 그레이 존이 보안 아키텍처에서 위협이 될 수 있다고 지적했다. 또한 하이브리드 클라우드나 멀티 클라우드, 데브옵스의 도입은 업무 환경에 복잡성을 높이며, 보안을 위한 가시성 확보는 점점 어려워지고 있다고 덧붙였다.
이를 기반으로 클라우드 보안 관리체계 수준 측정의 기준과 수행 계획을 수립하고, 이에 따른 수준 평가와 이행 과제를 도출하게 된다. 클라우드 보안 수준 평가의 기준 정의에서 참고해야 할 부분은 관련 규제에서 요구되는 부분과 ISO 표준 항목 정도가 꼽혔으며, 법규 영역 외 실효성에 대한 성숙도 측정 부분이 실무체계 수준측정 통제 항목에 포함된다. 또한 클라우드 보안 기술진단 기준에는 계정, 운영관리 등 인프라와 네이티브 서비스의 취약점 진단 및 위험평가 체계가 포함된다고 소개했다.
일련의 과정을 거쳐 평가 기준이 정의되면 이 기준을 기반으로 평가를 수행하고, 이행 과제를 정의한다. 이 때는 현재 수준 대비 목표 수준을 달성하기 위해 필요한 과제의 유형과 세부 내용, 기대 개선 수준 등을 고려한다. 개선대책의 구현과 지원 단계는 클라우드보안 표준 프레임워크를 기반으로 법규와 규제 등에 대한 관리체계, 정보보호 기술참조모델(STRM) 등의 기술요소체계, 관제나 자동화 등의 클라우드 보안 서비스와 솔루션 체계로 확장해 수립하게 된다고 소개했다.
한편, 백 팀장은 클라우드보안 솔루션의 적용에서 요구사항에 따른 ‘패키지’ 제안을 소개했다. 이 중 최소한의 법규, 규제 적용으로 충분한 기업들의 경우에는 ‘기본’ 보안 패키지 정도로 충분하지만, 금융이나 공공 등 강화된 규제가 적용되는 경우 DB와 서버 보안 측면이 강화된 ‘컴플라이언스’ 패키지를 제시했다. 고도의 보안 정책이 요구되는 경우에는 모든 면에서 높은 보안성을 제공하는 ‘옵티마이즈’ 패키지를 제시했다.
권용만 기자 yongman.kwon@chosunbiz.com