2012.01.09

'클라우드와의 30일' 20일차: 보안은 어떨까?

Tony Bradley | PCWorld
단 한 주도 데이터 침해와 관련된 사건사고 없이 지나치는 법이 없다. 필자는 클라우드와의 30일이라는 여정을 밟으면서, 다른 누군가가 필자의 데이터를 보호해줄 것이라고 철석같이 믿고 있다. 어떻게 보면 지나칠 정도다. 이런 이유에서 "데이터를 클라우드에 믿고 보관해둘 수 있을까?"라는 질문이 불가피하다.
 
기가바이트에 달하는 중요한 데이터를 계속 온라인에 보관해두고 있다면, 안전한지 확신이 필요하다. 데이터에 대한 보안과 더 나아가 암호화가 필요하다. 데이터를 보관해 둔 스토리지에 사고가 발생해도 보호를 받을 수 있기 때문이다. 그러나 클라우드 스토리지 제공업체의 서비스를 이용할 경우, 심지어는 암호화한 데이터조차도 방심할 수 없다.
 
예를 들어, 클라우드 스토리지 제공업체인 드롭박스(Drobox)는 지난해 파일 암호화와 관련해 논란의 중심에 섰던 적이 있다. 드롭박스는 모든 파일을 암호화해, 승인받지 않은 접근으로부터 보호하고 있다고 주장했다. 그러나 실제 암호화 키를 계속 관리하는 장본인이 드롭박스다.
 
무슨 이야기냐 하면, 다른 누군가가 필자의 데이터에 접근할 수 없을지는 모르겠지만, 드롭박스의 직원들은 접근할 수 있다는 것이다. 법 집행 기관의 강요로 필자의 데이터를 공유할 수 있다. 또는 직원 개인이 파일에 접근해 확인할 수도 있다. 
 
정책적으로는 엄격히 금지된 행위다. 그러나 은밀히 데이터를 볼 정도의 사람들이 이런 정책을 중시할 도덕심이 있을 리는 만무하다.
 
드롭박스는 암호화 키를 계속 관리하는 이유가 있다고 설명했다. 간단하기 때문이다. 고객으로 하여금 직접 자신의 데이터 암호화 키를 관리하도록 하는 것이 더 안전할 수 있지만, 심각한 문제가 초래될 수도 있다. 
 
고객이 이 암호화 키를 잃어버리고, 드롭박스를 포함해 다른 누구도 정보에 접근할 수 없을 때이다. 또한 고객들은 원한다면 자신의 키를 가지고 다른 수단을 이용해 여전히 데이터를 암호화할 수 있다.
 
유일하게 실현 가능한 해법으로 생각되는 방법이다. 스스로 데이터를 암호화한다면, 내가 키를 갖고 있다는 사실과 이론적으로 내가 승인한 사람들만 내 파일에 접근할 수 있다는 사실을 안다. 
 
그러나 이로 인해 일이 복잡해질 수도 있다. 또한 관리와 처리에 별도 비용이 추가될 수 있다.
이와함께 클라우드로의 이전을 계획 중인 기업들은 의무적으로 지켜야 할 사항들을 고려해야 한다. 온라인에 데이터를 보관하다 보면 일부 위험이 따른다. 따라서 기업들은 데이터가 노출이 되거나 위험해지지 않도록 별도의 예방대책을 수립할 필요가 있다.
 
'클라우드와의 30일' 21일차에는 이렇듯 동전의 양면과 같은 문제를 살펴볼 계획이다. 또한 필자의 데이터를 클라우드에 더욱 안전하게 보관할 몇 가지 방법에 대해 자세히 조사해볼까 한다.


2012.01.09

'클라우드와의 30일' 20일차: 보안은 어떨까?

Tony Bradley | PCWorld
단 한 주도 데이터 침해와 관련된 사건사고 없이 지나치는 법이 없다. 필자는 클라우드와의 30일이라는 여정을 밟으면서, 다른 누군가가 필자의 데이터를 보호해줄 것이라고 철석같이 믿고 있다. 어떻게 보면 지나칠 정도다. 이런 이유에서 "데이터를 클라우드에 믿고 보관해둘 수 있을까?"라는 질문이 불가피하다.
 
기가바이트에 달하는 중요한 데이터를 계속 온라인에 보관해두고 있다면, 안전한지 확신이 필요하다. 데이터에 대한 보안과 더 나아가 암호화가 필요하다. 데이터를 보관해 둔 스토리지에 사고가 발생해도 보호를 받을 수 있기 때문이다. 그러나 클라우드 스토리지 제공업체의 서비스를 이용할 경우, 심지어는 암호화한 데이터조차도 방심할 수 없다.
 
예를 들어, 클라우드 스토리지 제공업체인 드롭박스(Drobox)는 지난해 파일 암호화와 관련해 논란의 중심에 섰던 적이 있다. 드롭박스는 모든 파일을 암호화해, 승인받지 않은 접근으로부터 보호하고 있다고 주장했다. 그러나 실제 암호화 키를 계속 관리하는 장본인이 드롭박스다.
 
무슨 이야기냐 하면, 다른 누군가가 필자의 데이터에 접근할 수 없을지는 모르겠지만, 드롭박스의 직원들은 접근할 수 있다는 것이다. 법 집행 기관의 강요로 필자의 데이터를 공유할 수 있다. 또는 직원 개인이 파일에 접근해 확인할 수도 있다. 
 
정책적으로는 엄격히 금지된 행위다. 그러나 은밀히 데이터를 볼 정도의 사람들이 이런 정책을 중시할 도덕심이 있을 리는 만무하다.
 
드롭박스는 암호화 키를 계속 관리하는 이유가 있다고 설명했다. 간단하기 때문이다. 고객으로 하여금 직접 자신의 데이터 암호화 키를 관리하도록 하는 것이 더 안전할 수 있지만, 심각한 문제가 초래될 수도 있다. 
 
고객이 이 암호화 키를 잃어버리고, 드롭박스를 포함해 다른 누구도 정보에 접근할 수 없을 때이다. 또한 고객들은 원한다면 자신의 키를 가지고 다른 수단을 이용해 여전히 데이터를 암호화할 수 있다.
 
유일하게 실현 가능한 해법으로 생각되는 방법이다. 스스로 데이터를 암호화한다면, 내가 키를 갖고 있다는 사실과 이론적으로 내가 승인한 사람들만 내 파일에 접근할 수 있다는 사실을 안다. 
 
그러나 이로 인해 일이 복잡해질 수도 있다. 또한 관리와 처리에 별도 비용이 추가될 수 있다.
이와함께 클라우드로의 이전을 계획 중인 기업들은 의무적으로 지켜야 할 사항들을 고려해야 한다. 온라인에 데이터를 보관하다 보면 일부 위험이 따른다. 따라서 기업들은 데이터가 노출이 되거나 위험해지지 않도록 별도의 예방대책을 수립할 필요가 있다.
 
'클라우드와의 30일' 21일차에는 이렇듯 동전의 양면과 같은 문제를 살펴볼 계획이다. 또한 필자의 데이터를 클라우드에 더욱 안전하게 보관할 몇 가지 방법에 대해 자세히 조사해볼까 한다.


X