2014.01.02

2014년 클라우드 보안, “아무도 믿지 않는 제로 트러스트 모델로”

Jaikumar Vijayan | Computerworld
미 NSA의 데이터 수집 활동에 대한 기밀 문서가 폭로되면서 클라우드에 저장된 기업 데이터의 취약성에 대한 해묵은 논쟁이 다시금 점화됐다. 하지만 일부 전문가들이 예상한 것처럼 기업들은 클라우드에서 발을 빼기보다는 보안과 프라이버시 정책의 변화를 도모하고 있다.

2013년 6월 에드워드 스노우든이 NSA의 정보 감시 활동을 폭로하자 업계 전문가들은 기업의 클라우드 도입 계획에는 심각한 영향을 미치지 않을 것이라고 전망했다. 예를 들어 정보기술혁신재단은 NSA에 대한 폭로로 미국의 클라우드 서비스 업체가 해외 시장의 10~20% 정도를 잃을 수 있을 것이라고 분석했다. 클라우드 보안 연합 역시 유럽 기업들이 미국 정부의 데이터 감시에 대한 우려로 비슷한 영향을 받을 것이라고 전망했다.

하지만 스노우든의 폭로 이후 6개월이 지나면서 그 영향은 예상했던 것보다 심각하지 않은 것으로 나타나고 있다. 일부 미국 클라우드 서비스 업체의 매출 둔화가 보고되고 있기는 하지만, 전문가들은 장기적인 영향은 거의 없을 것으로 예상하고 있다. 클라우드 기반 서비스를 통해 기업이 얻는 이점이 정부 감시에 대한 우려를 넘어서고 있는 것이다.

이와 동시에 NSA의 정보 감시 프로그램은 클라우드 데이터 보안과 보호에 대한 관심을 증폭시켜 2014년에는 이 분야가 큰 폭으로 성장할 것으로 예상된다.

컨설팅 업체인 IT 하베스트의 대표 리처드 스티넌은 클라우드에 저장된 데이터에 대해 기업의 통제권이 얼마나 빈약한가를 여실히 보여줬다고 평가하며, “클라우드에서 아무도 신뢰하지 않는 제로 트러스트(Zero Trust) 모델로의 근본적인 변화가 일어나고 있다”고 강조했다. 즉 스노우든의 폭로는 기업에게 내부 자원과 클라우드 간에 존재하는 신뢰의 고리에 어떤 틈도 있어서는 안된다는 것을 명확하게 보여줬다는 것이다.

애널리스트들은 기업의 IT 보안 임원이 데이터 암호화나 암호키 관리, 데이터 소유권, 지역화 등 클라우드 보안을 향상시키기 위한 핵심 영역을 찾고 있다고 말한다.

데이터 암호화
암호화는 최근 가장 많은 관심을 모으고 있는 분야이다. 마이크로소프트나 야후, 구글 등의 주요 서비스 업체는 자사가 고객들을 위해 호스트하고 관리하는 데이터에 대한 엔드 투 엔드 암호화를 추가함으로써 암호화의 중요성을 확고히 했다.

예를 들어, 구글 클라우드 스토리지는 이제 새로 추가되는 데이터는 모두 자동으로 암호화하며,이런 서버 쪽의 암호화는 조만간 구글 클라우드에 저장된 기존 데이터에 대해서도 적용될 예정이다. 마이크로소프트도 NSA의 감시 활동이 폭로된 이후 아웃룩닷컴, 오피스 365, 윈도우 애저, 스카이드라이브 등 자사의 다양한 서비스에 암호화 지원을 강화할 계획이라고 발표했다.

마이크로소프트는 2014년 말이면 자사 데이터센터 간의 데이터 이전은 물론 자사 데이터센터와 고객 간의 데이터 이전에도 암호화를 위한 방안이 갖춰질 것으로 예상하고 있다. 또한 구글과 마찬가지로 자사 클라우드에 저장된 모든 데이터를 암호화할 계획이라고 밝혔다.

이외에도 드롭박스나 소닉닷넷 등의 클라우드 서비스 업체들이 이와 유사한 데이터 암호화 프로그램을 지원한다고 발표했으며, 2048비트 암호키나 완전 순방향 비밀성(Perfect Forward Secrecy)처럼 향후의 데이터 암호화를 위한 방안도 모색되고 있다.

전문가들은 이런 방안들이 고객 기업과 클라우드 서비스 업체 간을 오가는 데이터를 보호하는 데 필수적이라고 평가한다. 공개된 기밀 문서에 따르면, NSA는 암호화 알고리즘을 약화시키거나 서비스 업체로 연결되는 광 케이블을 가로채려고 시도하고 있기 때문이다.

암호키 관리 및 데이터 소유권
암호화 이메일 서비스 업체인 라바비트(Lavabit)와의 분쟁에서 미국 정부의 입장은 클라우드 서비스 업체는 정부가 요구할 시 암호화 키를 넘겨줘야 한다는 것이었다. 이 때문에 키 관리와 데이터의 소유권이 상당한 관심을 모았다.

클라우드 인프라 관리 전문업체인 하이트러스트(HyTrust)의 사장 에릭 치우는 서비스 업체의 암호화 노력은 클라우드 보안 향상의 중요한 부분인 반면, 그 한계이기도 하다고 지적했다. 치우는 “암호화는 키 관리 시스템의 안전성만큼만 안전하다”라며, “클라우드 서비스 업체가 암호화를 도입한다고 하더라도 암호키를 업체가 가지고 있는 한, 여전히 고객의 데이터에 액세스할 수 있고, 그 암호키를 필요로 하는 누군가에게 넘겨줄 수 있다는 점을 알아야 한다”고 설명했다.

이런 우려 때문에 클라우드 서비스를 사용하는 기업이 암호키와 암호키 관리 프로세스를 관장하는 접근 방안에 대한 관심이 높아졌다. 이미 적지 않은 업체가 기업이 클라우드 서비스의 이점을 누리면서도 데이터에 대한 통제권을 좀 더 쉽게 유지할 수 있도록 해 주는 툴을 제공하고 있다.

예를 들어 사이퍼클라우드(CipherCloud)는 기업이 클라우드로 데이터를 옮길 때 데이터를 암호화할 수 있는 게이트웨이 기술을 판매하고 있다. 이 게이트웨이는 기업이 암호키를 자체적으로 저장할 수 있도록 해 준다.

이런 기술은 정부기관이 기업의 데이터에 액세스하기 위해서는 해당 데이터의 소유주에게 직접 도움을 요청해야 한다는 것을 의미한다. 궁극적인 목표는 클라우드 서비스 업체가 데이터의 실질적인 소유주에게 알리지 않고 암호키를 정부기관에 넘겨주지 못하도록 하는 것이다.

보안 전문가들은 오래 전부터 클라우드에 저장하는 데이터를 보호하기 위해 지속적인 암호화를 사용할 것을 권고해 왔다. 하지만 비용과 키 관리의 어려움 때문에 도입률은 저조했는데, 이런 상황이 바뀌고 있는 것이다.

하이트러스트의 치우는 “컴플라이언스나 내부적인 목적으로 제대로 된 데이터 보호를 필요로 하는 기업이 자체적으로 암호화를 도입하고 암호키를 자체적으로 보관하게 될 것”이라고 덧붙였다. 관련 업체들 역시 NSA의 정보 감시 활동이 폭로되면서 자사 제품에 대한 기업의 관심이 증가하고 있다고 말한다.



2014.01.02

2014년 클라우드 보안, “아무도 믿지 않는 제로 트러스트 모델로”

Jaikumar Vijayan | Computerworld
미 NSA의 데이터 수집 활동에 대한 기밀 문서가 폭로되면서 클라우드에 저장된 기업 데이터의 취약성에 대한 해묵은 논쟁이 다시금 점화됐다. 하지만 일부 전문가들이 예상한 것처럼 기업들은 클라우드에서 발을 빼기보다는 보안과 프라이버시 정책의 변화를 도모하고 있다.

2013년 6월 에드워드 스노우든이 NSA의 정보 감시 활동을 폭로하자 업계 전문가들은 기업의 클라우드 도입 계획에는 심각한 영향을 미치지 않을 것이라고 전망했다. 예를 들어 정보기술혁신재단은 NSA에 대한 폭로로 미국의 클라우드 서비스 업체가 해외 시장의 10~20% 정도를 잃을 수 있을 것이라고 분석했다. 클라우드 보안 연합 역시 유럽 기업들이 미국 정부의 데이터 감시에 대한 우려로 비슷한 영향을 받을 것이라고 전망했다.

하지만 스노우든의 폭로 이후 6개월이 지나면서 그 영향은 예상했던 것보다 심각하지 않은 것으로 나타나고 있다. 일부 미국 클라우드 서비스 업체의 매출 둔화가 보고되고 있기는 하지만, 전문가들은 장기적인 영향은 거의 없을 것으로 예상하고 있다. 클라우드 기반 서비스를 통해 기업이 얻는 이점이 정부 감시에 대한 우려를 넘어서고 있는 것이다.

이와 동시에 NSA의 정보 감시 프로그램은 클라우드 데이터 보안과 보호에 대한 관심을 증폭시켜 2014년에는 이 분야가 큰 폭으로 성장할 것으로 예상된다.

컨설팅 업체인 IT 하베스트의 대표 리처드 스티넌은 클라우드에 저장된 데이터에 대해 기업의 통제권이 얼마나 빈약한가를 여실히 보여줬다고 평가하며, “클라우드에서 아무도 신뢰하지 않는 제로 트러스트(Zero Trust) 모델로의 근본적인 변화가 일어나고 있다”고 강조했다. 즉 스노우든의 폭로는 기업에게 내부 자원과 클라우드 간에 존재하는 신뢰의 고리에 어떤 틈도 있어서는 안된다는 것을 명확하게 보여줬다는 것이다.

애널리스트들은 기업의 IT 보안 임원이 데이터 암호화나 암호키 관리, 데이터 소유권, 지역화 등 클라우드 보안을 향상시키기 위한 핵심 영역을 찾고 있다고 말한다.

데이터 암호화
암호화는 최근 가장 많은 관심을 모으고 있는 분야이다. 마이크로소프트나 야후, 구글 등의 주요 서비스 업체는 자사가 고객들을 위해 호스트하고 관리하는 데이터에 대한 엔드 투 엔드 암호화를 추가함으로써 암호화의 중요성을 확고히 했다.

예를 들어, 구글 클라우드 스토리지는 이제 새로 추가되는 데이터는 모두 자동으로 암호화하며,이런 서버 쪽의 암호화는 조만간 구글 클라우드에 저장된 기존 데이터에 대해서도 적용될 예정이다. 마이크로소프트도 NSA의 감시 활동이 폭로된 이후 아웃룩닷컴, 오피스 365, 윈도우 애저, 스카이드라이브 등 자사의 다양한 서비스에 암호화 지원을 강화할 계획이라고 발표했다.

마이크로소프트는 2014년 말이면 자사 데이터센터 간의 데이터 이전은 물론 자사 데이터센터와 고객 간의 데이터 이전에도 암호화를 위한 방안이 갖춰질 것으로 예상하고 있다. 또한 구글과 마찬가지로 자사 클라우드에 저장된 모든 데이터를 암호화할 계획이라고 밝혔다.

이외에도 드롭박스나 소닉닷넷 등의 클라우드 서비스 업체들이 이와 유사한 데이터 암호화 프로그램을 지원한다고 발표했으며, 2048비트 암호키나 완전 순방향 비밀성(Perfect Forward Secrecy)처럼 향후의 데이터 암호화를 위한 방안도 모색되고 있다.

전문가들은 이런 방안들이 고객 기업과 클라우드 서비스 업체 간을 오가는 데이터를 보호하는 데 필수적이라고 평가한다. 공개된 기밀 문서에 따르면, NSA는 암호화 알고리즘을 약화시키거나 서비스 업체로 연결되는 광 케이블을 가로채려고 시도하고 있기 때문이다.

암호키 관리 및 데이터 소유권
암호화 이메일 서비스 업체인 라바비트(Lavabit)와의 분쟁에서 미국 정부의 입장은 클라우드 서비스 업체는 정부가 요구할 시 암호화 키를 넘겨줘야 한다는 것이었다. 이 때문에 키 관리와 데이터의 소유권이 상당한 관심을 모았다.

클라우드 인프라 관리 전문업체인 하이트러스트(HyTrust)의 사장 에릭 치우는 서비스 업체의 암호화 노력은 클라우드 보안 향상의 중요한 부분인 반면, 그 한계이기도 하다고 지적했다. 치우는 “암호화는 키 관리 시스템의 안전성만큼만 안전하다”라며, “클라우드 서비스 업체가 암호화를 도입한다고 하더라도 암호키를 업체가 가지고 있는 한, 여전히 고객의 데이터에 액세스할 수 있고, 그 암호키를 필요로 하는 누군가에게 넘겨줄 수 있다는 점을 알아야 한다”고 설명했다.

이런 우려 때문에 클라우드 서비스를 사용하는 기업이 암호키와 암호키 관리 프로세스를 관장하는 접근 방안에 대한 관심이 높아졌다. 이미 적지 않은 업체가 기업이 클라우드 서비스의 이점을 누리면서도 데이터에 대한 통제권을 좀 더 쉽게 유지할 수 있도록 해 주는 툴을 제공하고 있다.

예를 들어 사이퍼클라우드(CipherCloud)는 기업이 클라우드로 데이터를 옮길 때 데이터를 암호화할 수 있는 게이트웨이 기술을 판매하고 있다. 이 게이트웨이는 기업이 암호키를 자체적으로 저장할 수 있도록 해 준다.

이런 기술은 정부기관이 기업의 데이터에 액세스하기 위해서는 해당 데이터의 소유주에게 직접 도움을 요청해야 한다는 것을 의미한다. 궁극적인 목표는 클라우드 서비스 업체가 데이터의 실질적인 소유주에게 알리지 않고 암호키를 정부기관에 넘겨주지 못하도록 하는 것이다.

보안 전문가들은 오래 전부터 클라우드에 저장하는 데이터를 보호하기 위해 지속적인 암호화를 사용할 것을 권고해 왔다. 하지만 비용과 키 관리의 어려움 때문에 도입률은 저조했는데, 이런 상황이 바뀌고 있는 것이다.

하이트러스트의 치우는 “컴플라이언스나 내부적인 목적으로 제대로 된 데이터 보호를 필요로 하는 기업이 자체적으로 암호화를 도입하고 암호키를 자체적으로 보관하게 될 것”이라고 덧붙였다. 관련 업체들 역시 NSA의 정보 감시 활동이 폭로되면서 자사 제품에 대한 기업의 관심이 증가하고 있다고 말한다.



X