[아이티데일리] 코로나 19로 인해 클라우드 컴퓨팅에 대한 관심이 높아지기 시작했다. 기업들은 기존 업무 방식을 바꾸기 위해, 혹은 비즈니스가 위축되는 것을 방지하기 위해, 디지털 트랜스포메이션(Digital Transformation)의 기반 기술인 클라우드로의 전환을 서두르고 있다.

이로 인해 클라우드 환경 내 조직의 자산을 보호하기 위한 방안도 활발하게 논의되고 있다. 하지만 클라우드 환경은 기존 온프레미스 환경과 다른, 새로운 개념의 보안 체계가 요구되고 있다. 또한 CSP들이 책임 공유 모델을 제시하면서, 보호해야할 대상과 보안 체계를 구축하는 방법 모두 변화가 요구되고 있다. 보안 분야에서 클라우드 환경에 최적화된 ‘클라우드 네이티브 보안’ 기술을 제시하고 있는 이유이다.

본지(컴퓨터월드/IT DAILY)는 지난 30일 ‘2021 클라우드 네이티브 보안 웨비나’를 개최, 클라우드 환경을 보호하는 웹 애플리케이션 방화벽 ‘AWS WAF’ 소개와 클라우드 환경에서의 정보보호 관리체계 수립 방안을 공유했다. 웨비나의 주요 내용을 정리했다. 

클라우드 환경에서의 정보보호관리체계 수립

연수권 티앤디소프트 서비스사업본부장은 ‘클라우드 환경에서의 정보보호관리체계 수립’이라는 주제로 발표를 진행했다. 연수권 본부장은 발표에 앞서, “전 사업 분야에서 클라우드 전환이 활발하게 논의되고 있다. 공공기관은 클라우드 발전법을 바탕으로 2025년까지 클라우드로 전환한다는 계획을 수립했다. 많은 시스템이 클라우드 전환되는 상황에서 보안 담당자는 많은 보안 리스크에 직면해 있다. 특히 클라우드 환경에 맞게 정보보호관리체계를 수립하기 위한 방안이 필요하다”고 강조했다.

연수권 본부장은 ▲CSP의 보안 공동 책임 모델 ▲온프레미스와 클라우드의 차이 ▲클라우드 정보보호 관리체계 수립시 고려사항 ▲티앤디소프트 클라우드 정보보호컨설팅 서비스 등의 순서로 발표를 진행했다.

연 본부장은 먼저 CSP의 보안 공동 책임 모델을 소개했다. 클라우드 환경에서 사용자가 보안과 관련해 책임져야 하는 범위가 존재한다. IaaS의 경우 이용자는 게스트 OS 및 미들웨어 영역에 대한 보안, 구성 및 설정까지 책임져야 하며, PaaS는 애플리케이션 및 데이터 보안은 물론, 관리자·사용자 권한 관리 등에 책임이 부여된다. SaaS는 앱 관리자 및 사용자의 권한 관리 등에만 신경쓰면 된다. SaaS 같은 경우 앱까지 모두 제공하기 때문에 앱 보안 및 일부 데이터 보안 기능을 CSP가 제공한다.

온프레미스와 클라우드 환경의 차이는 명확하다. 온프레미스는 모든 자산을 조직이 소유한다. IP기반의 환경으로 구성되며, 소유자가 전체 영역에 대한 보안 책임을 갖고 있다. 이에 반해 클라우드는 필요시 서비스를 임대하는 것이기 때문에 소유권이 없다. 가상의 SW 환경으로 구현되며, 도메인 기반으로 구성된다. CSP가 물리적인 영역에 대한 보안 책임을 갖고 있으며, 이용자는 클라우드 서비스 유형에 때라 임대한 영역에 따라 보안 책임을 갖고 있다.

클라우드 정보보호 관리체계를 수립할 때는 클라우드의 특성과 보안 책임 모델을 고려해야 한다. 클라우드 정보보호관리체계는 크게 변하는 것은 없다. 클라우드 정보보호관리체계 수립의 특징은 물리적인 부분이 제외된다는 것이다. 클라우드는 물리적인 부분을 CSP가 책임지기 때문이다.

연수권 본부장은 “기존 온프레미스 환경을 유지하던 기업이 클라우드로 전환하더라도, 보안 정책을 유지하는 경우가 있다. 정보보호 정책을 개정할 때 클라우드 서비스 부분을 추가하거나 클라우드 보안 지침을 별도로 제정해야 한다. 특히 클라우드 서비스 모델에 따른 책임 범위와 보안 요구사항을 반영해야 하며, 개인정보 및 금융정보를 클라우드에 저장·이용할 때는 컴플라이언스 사항을 꼼꼼히 검토해야 한다”고 설명했다. 이어 “특히 ▲클라우드 환경에서의 서비스 개발 및 배포 프로세스 정책 ▲클라우드 제공 서비스 사용 표준 정책 ▲자산 관리 정책 ▲계정관리 정책 ▲보안솔루션 구축 및 운영 정책 등을 클라우드 환경에 맞춰 정의해야 한다”고 강조했다.

연 본부장은 보안 조직과 관련해 전담 조직이 있는 경우가 많지 않다고 지적했다. 사업부에서 특정 서비스만 넘기는 경우가 있기 때문에 기존 보안팀에서 대응하기 어려운 상황이 발생한다. 전담 조직을 구성할지, 기존 조직에 해당 내용을 포함할지 고민해야 한다고 설명했다. 클라우드 서비스를 초기 이용하거나 이관하는 경우에는 보안팀에서 컨트롤하기 어렵기 떄문에, 개발자, 시스템 관리자, 보안관리자가 포함된 별도의 TF를 운영하는 것이 바람직하다고 강조했다.

더불어 외부 클라우드 서비스 이용시 보안 요구사항을 정의해 선정 기준을 마련하고 계약시 반영해야 한다. 대부분 클라우드 서비스 이용시 표준 계약서를 활용하는데, 보안과 관련된 항목이 모두 반영되지 않은 경우가 있다는 것이다. 이에 협약서 등을 통해 계약 내용을 보충하는 방안이 필요하다고 설명했다. 공공기관 경우에는 클라우드 인증 보유 여부가 중요하다. 이외에도 계약 만료 시 주요정보 파기 및 서비스 이관 지원 업무 등을 확인해야 한다.

클라우드 환경을 관리하는 직무를 정리할 필요성도 제기됐다. 클라우드 환경에서 관리자 계정은 모든 권한을 갖고 있기 때문에, 권한 오남용등 고의적인 행위로 인한 피해를 예방하기 위해 직무 분리 기준을 수립하고 적용해야 한다. 하지만 개발도 데브옵스(DevOps) 형태가 많기 때문에 직무 분리로 통제하기 어려운 경우가 있다. 이에 상호 모니터링 방안도 고려해야 한다.

자산관리와 관련해서는 기존 정보자산 분류기준이 클라우드 가상자산 분류에 유효한지 확인하고, 필요시 클라우드 가상자산 분류기준을 별도로 수립해야 한다. 특히 클라우드 서비스의 정보자산이 누락되지 않도록 식별하고 관리할 수 있는 방안을 마련해야 한다.

클라우드를 선택할 때 접근권한을 차등으로 부여하는 기능을 제공하고 있는지도 검토해야 한다. IaaS나 PaaS의 경우 접근권한을 세부적으로 설정할 수 있는 기능을 제공하지만, SaaS의 경우 관리자의 권한만 제공하고, 권한을 설정하지 못하는 경우도 있다. 접근권한은 도입 전부터 고려가 돼야 하는 부분이다. 더불어 접근권한의 부여, 변경, 말소 등 처리 이력을 저장할 수 있는 기능도 제공되는지 살펴야 한다.

접근통제 및 보안솔루션 구축시에는 서비스 확장성에 맞게 확장될 수 있는지를 고려해야 한다. 방화벽, IPS, WAF 등 구축된 보안 솔루션이 서비스 확장성에 영향을 준다면 다른 솔루션으로 교체하거나 아키텍처를 다시 설계해야 한다.

특히 침입차단시스템(IPS)을 적용할 때는 클라우드 서비스 업체에서 제공하는 방식을 명확히 확인해야 한다. 보통 네트워크 기반의 SW형태와 네트워크 가상화 방식을 이용해 접근통제 기능을 구현하는데, SW 형태는 서버에 솔루션을 설치하는 방식으로 서버의 성능 영향을 받는다. 가상화 방식은 기존 네트워크 솔루션 기반 접근통제 방식과 다른 방식으로 일반적으로 많이 사용하고 있다. 서버 및 DB 접근통제의 경우 기존 관련 솔루션을 클라우드 환경에서도 활용할 수 있다. 하지만 IP기반에서 도메인 기반으로 전환되는지를 확인해야 한다.

취약점 점검과 관련해서는 가상환경에서 발생할 수 있는 취약점에 대해 추가적인 점검이 필요하다. 특히 클라우드 서비스의 리소스를 관리하는 계정의 권한 검토나 클라우드 공용 서비스에 대한 취약점 점검을 필수적으로 진행해야 한다. 특히 이용자가 클라우드 서비스에 대해 취약점 점검 및 모의해킹을 진행하는 경우 클라우드 서비스 제공자에게 관련 활동에 대한 승인 또는 공유가 필요한 것이 특징이다.

취약점 점검시 ▲계정관리 권한 검토 ▲접근통제 정책 검토 ▲스토리지 취약점 점검 ▲네트워크 아키텍처 검토 등이 필요하다. 먼저 계정관리 권한과 관련해 정책 수립 여부, 계정별 권한 관리 매트릭스 작성 및 시스템 적용, 계정에 부여된 패스워드 정책, 모든 계정관리 활동에 대한 로그 생성 여부 등을 확인해야 한다.

접근통제 정책과 관련해서는 서비스에 기반한 접근통제 정책이 제정돼 있는지 살펴야 하며, 불필요하게 오픈된 서비스 포트, 만료된 접근통제 정책 등이 있는지 검토해야 한다. 스토리지와 관련해서는 권한 관리 현황, ACL 적정성 여부, 주요정보 암호화 여부 등을 점검해야 한다. 네트워크 아키텍처에서는 네트워크 구성 및 보안 솔루션 설치 등의 적절성을 살펴야 한다.

마지막으로 연수권 본부장은 티앤디소프트에서 제공하고 있는 클라우드 정보보호 컨설팅에 대해 소개했다. 티앤디소프트는 클라우드 이용자 정보보호 컨설팅 방법론 및 클라우드 제공자 정보보호 컨설팅 방법론에 기반해 안전한 클라우드 정보보호 관리체계를 구현할 수 있도록 컨설팅 서비스를 제공하고 있다.

구체적으로 티앤디소프트는 ISMS-P 기반 클라우드 정보보호 관리체계 점검 체크리스트를 보유하고 있으며, 각 CSP별 취약점 진단 체크리스트도 제공하고 있다. 더불어 클라우드 취약점 보호대책을 수립할 수 있도록 CSP 별 클라우드 보안 가이드와 클라우드 정보보호 관리체계 수립을 위한 표준 클라우드 보안 지침도 지원하고 있다.