클라우드 보안의 기초 : 계층별 보안 방안

클라우드 컴퓨팅은 요즘 IT 전문가들 간에서 가장 많이 논의되고 있는 주제 중 한가지다. 하지만 가장 많이 언급되는 클라우드 모델인 SaaS(Software-as-a-Service), IaaS(Infrastructure-as-a-Service), 또는 PaaS(Platform-as-a-Service)에 대해 대화를 하다 보면, 얼마 지나지 않아 화제가 클라우드 보안으로 집중된다.

가트너의 분석가인 밀린드 고브카에 따르면, 클라우드는 가트너의 핵심 기술 투자에 대한 연례 CIO 설문 조사에서 16위에서 2위로 수직상승 했다. 고브카는 “다른 어떤 새로운 것에 대해서와 마찬가지로, 가장 큰 걱정은 보안”이라고 말했다. 실제로, 클라우드에 대해 문의하는 대다수의 고객은 클라우드 컴퓨팅에 대해 제기된 보안 문제와 문제를 해결하려는 업계의 능력에 불편함을 느낀 나머지, 차라리 구내에 가상 데이터 센터, 일부에서 사설 클라우드라고 부르는 것을 구축하려 한다.

가트너의 분석가인 제이 하이저(Jay Heiser)도 “우리는 새로운 컴퓨팅 모델로의 멋진 여행의 초기 단계에 있어서, 장점이 많다고는 하지만, 보안과 위험의 관점에서 보면 다루기가 까다롭다”고 지적했다. 또 “클라우드 컴퓨팅을 쉽고 매력적으로 보이게 하는 것들, 즉 즉각적인 플러그 앤드 플레이 생산성 같은 것이 또한 상대적인 위험을 확실하게 평가할 수 없게 만들고 있다”고 덧붙였다. SAS 70이나 ISO 27002 같은 현행 인증은 충분치 않아서 구매자나 판매자 양측 모두가 불만스러워 하고 있다고 것.

포레스터의 분석가 조나단 펜은 이런 이유 때문에, 클라우드 컴퓨팅 환경을 안전하게 하는 것이 공급업체들이 2011년에 노력을 기울일 주요 관심사라고 강조한다. 단기적으로는, 사용자들이 발품을 많이 팔아야만 하겠지만, 시간이 흐름에 따라, “클라우드 공급업체들이 보안을 통합시킴으로써 차별화 기회가 있음을 스스로 알게 될 것”이라는 것.

엔터프라이즈에 대한 직접 판매에 익숙해 있던 보안 공급업체도 시장에 진입하기 위해서는 그런 클라우드 공급업체가 필요하다는 사실을 알게 될 것이. 그리고, 시장에 성숙해감에 따라, 고객은 이런 것이 자신들이 구매하는 서비스에 포함되어 있기를 바랄 것이다. 펜은 “이는 아주 급진적인 변화인 동시에 혼란”이라고 부연했다.

그러는 사이에, CSA(Cloud Security Alliance) 같은 단체는 보안 문제와 이를 해결하기 위한 방안에 대해 몇 가지 구체적인 작업을 하고 있다. CSA는 최근 클라우드 환경 내에서의 전술적이고 전략적인 보안 애로사항에 대한 요약 보고서를 문제 해결 방법에 대한 권고사항과 함께 발표했다. 이 단체는 보안 관련 도메인을 크게 거버넌스(Governance: 지배구조)와 운영(Operations)으로 구분했다.

거버넌스 영역으로 분류된 도메인

- 거버넌스와 ERM

- 합법적이고 전자적인 탐색(Discovery)

- 컴플라이언스와 감사

- 정보 라이프사이클 관리(ILM: Information Lifecycle Management)

- 이식성(Portability)과 상호운영성

운영 영역으로 분류된 도메인

- 기존의 보안, 비즈니스 연속성 그리고 재해 복구

- 데이터센터 운영

- 침해 대응, 통보 그리고 교정

- 애플리케이션 보안

- 암호화와 키(Key) 관리

- ID와 액세스 관리

- 가상화

CSA는 클라우드 컴퓨팅에 대한 최고의 위협도 요약했으며 개개 위협과 가장 관련 깊은 클라우드 모델과 교정 지침을 함께 발표했다.

이런 위협을 해결하는 데 도움이 되는 도구로는 ▲XML, SOA 그리고 애플리케이션 보안 ▲전송 중이거나 머물러 있는 데이터에 대한 암호화 도구 ▲스마트 키 관리 ▲로그(Log) 관리 ▲ID와 액세스 관리; 가상 방화벽과 다른 가상화 관리 도구 ▲데이터 손실 방지 등이 있다. 라이저는 “기존 보안 아키텍처를 클라우드에 맞게 변환시키는 것이므로, 상이한 도구가 많이 필요할 것이며, 일부는 이미 존재하는 기술이고 그렇지 않은 경우에는 신기술이 필요하다”고 설명했다.

예를 들면, 악성 소프트웨어 스캐닝 도구는 가상 플랫폼을 타깃으로 하는 신흥 악성 소프트웨어를 중점적으로 검색할 필요가 있고, ID 관리 시스템은 사용자뿐만 아니라 기기와 애플리케이션까지도 인증할 필요가 있다. 그리고 SIM(Security Information Management) 시스템은 수십만 건에 이르는 이벤트와 분석정보를 기록할 필요가 있다.

포레스터는 자신들의 클라우드 구현물을 보호하기 위해 엔터프라이즈가 확인해야 할 질문 목록도 발표했는데, 보안과 사생활에 대한 영역, 법령 준수, 그리고 다른 법률이나 계약상의 문제를 다루고 있다.

클라우드 계층별 보안 방안

전문가들은 3가지 클라우드 모델의 노출과 위험 수위는 크게 다르므로, 어떤 계층에 대한 작업을 하고 있는 지에 따라, 보안을 해결하는 방법도 달라야만 한다는 점도 강조하고 있다. 캐비스 테크놀로지 컨설팅의 설립자이자 CTO인 마이크 캐비스는 “보안 요구조건은 실제로 똑같지만, SaaS에서 Paas나 IaaS로 옮겨가면, 확보하고 있는 보안 제어 수준이 달라진다”며, “논리적인 관점에서 보면, 바뀐 것은 아무것도 없지만, 물리적으로 어떻게 하는지가 극적으로 바뀐다”고 강조했다.

SaaS

CSA가 설명하듯이, SaaS에서는 공급업체의 애플리케이션은 클라우드 인프라 상에서 구동되며, 웹 브라우저를 통해서 액세스할 수 있다. 사용자는 네트워크, 서버, 운영 체제, 스토리지 혹은 심지어 개개 애플리케이션의 기능까지도 관리하거나 제어하지 않는다.

이런 이유로, SaaS 모델에서는 대부분의 기능성이 서비스에 직접 통합되어 있다. 라이저는 사용자의 확장성이 가장 낮고, “보안 책임은 거의 전적으로 공급업체가 지고 있다”며, “만약 공급업체가 데이터를 암호화하지 않는다면, 암호화되지 않는 거다. 활동 감시 기능이 없다면, 그것 역시 할 수 없다”고 설명했다.

PaaS

PaaS에서는, 소비자가 프로그래밍 언어와 공급업체가 지원하는 도구를 사용해서 애플리케이션을 작성해서 클라우드 인프라에 설치한다. SaaS에서와 마찬가지로, 사용자는 인프라, 즉 네트워크, 서버, 운영체제, 또는 스토리지를 관리하거나 제어하지 않지만, 설치한 애플리케이션과 가능하다면 애플리케이션 호스팅 환경 구성 사항에 대한 제어권을 가지고 있다.

PaaS에서는 SaaS에 비해 고객 대신 준비했거나 내장된 보안 기능수가 더 적으며, 그나마 존재하는 것들도 덜 완벽하지만, 추가 보안 계층에 대한 유연성은 더 높다. 이는 사용자가 인증, 권한 부여, 그리고 감사 같은 관리 API를 둘러싼 보안 문제뿐 아니라 애플리케이션 보안에도 주의를 기울일 필요가 있음을 의미한다.

IaaS

CSA에 따르면 여기서는, 사용자가 운영체제와 애플리케이션을 설치하고 구동할 수 있을 뿐 아니라 처리, 스토리지, 네트워크, 그리고 다른 기본적인 컴퓨팅 자원까지도 제공할 수 있다고 한다. 사용자가 근본적인 클라우드 인프라를 관리하거나 제어하지는 않지만, 운영체제, 스토리지 그리고 설치한 애플리케이션에 대한 제어권을 가지고 있으며, 호스트 파이어월 같은 엄선된 네트워킹 구성요소에 대한 제한된 제어까지도 할 수 있다.

CSA는 IaaS에서는, 인프라 자체를 보호하는 것 이상의 보안 기능이 별로 통합되어 있지 않지만, 엄청난 확장성이 있다고 설명했는데, 이는 사용자가 운영체제, 애플리케이션과 콘텐츠를 대부분은 API를 통해서 관리하고 보호할 필요가 있음을 의미한다.

캐비스는 “상당 부분의 주변 보안은 공급업체가 처리하지만, 공급업체는 가상머신에 대한 액세스를 제공하므로, 사용자는 여전히 애플리케이션을 구축해서 인프라 제어를 제공해야만 한다”고 설명했다.

하이저는 IaaS에서는 가상화 관리가 큰 걱정이라고 지적하고, 특히 침입 감지와 가상머신의 구획화에 대한 무결성을 강조했다. 또 “분리를 조정해서 확실하게 상호작용을 하지 않도록 해야 한다”고 덧붙였다.

Wescorp의 CIO인 크리스 바버에게는 멀티테넌시(Multitenancy)와 하이퍼바이저의 취약점이 가장 우려되는 점이다. 바버는 “한 대의 물리적인 하드웨어 상에 여러 사용자가 존재하므로, 한 사용자가 다른 사용자의 가상머신을 어떻게든 액세스할 수도 있다는 보안상의 취약점이 있을 수도 있다”고 지적했다.