보안 / 클라우드

EU 보안기구 ENISA, "클라우드 컴퓨팅 위험하다“ 평가

Mikael Ricknas | IDG News Service 2009.11.23

EU의 사이버 보안 담당 기관인 ENISA(European Network and Information Security Agency)가 고 클라우드 컴퓨팅의 위험요소에 대한 평가 결과를 공개하며, 사용자가 여러 가지 보안 문제에 직면해 있다고 밝혔다. 사용자가 데이터에 대한 통제권을 잃는다는 점, 컴플라이언스를 증명하기 어렵다는 점, 그 외 데이터 이전으로 인한 법적 관할권 이전 등의 문제가 지적됐다.

 

ENISA는 기업이 클라우드 컴퓨팅으로 전환할 경우 위험할 수 있는 자산들에 대해 검사했는데, 고객 데이터와 평판, 클라우드 컴퓨팅 시스템 내의 취약점, 이들 취약점이 노출시키는 위험과 발생 가능성 등을 따졌다.

 

클라우드 기반 컴퓨팅 서비스로 이전할 경우, 기업은 여러 가지 이슈에 대한 통제권을 클라우드 서비스 업체에 넘겨줘야 하는데, 이는 보안에는 부정적인 영향을 미친다. 예를 들어, 서비스 업체의 사용 조건은 포트 스캔이나 취약점 평가, 침입 테스트 등을 허용하지 않는다. 물론 SLA에도 이런 서비스는 포함되지 않는다. 결과적으로 방어에 허점이 생길 수 있다는 거이 ENISA의 주장이다.

 

컴플라이언스 역시 서비스 업체가 적절한 수준의 증명 절차를 제공하지 않거나 구조를 클라우드 서비스에 맞게 수정하지 않으면 큰 문제에 봉착하게 된다.

 

클라우드 서비스의 한 가지 장점은 데이터가 여러 곳에 저장되어 특정 데이터센터에 사고가 생겨도 데이터 자체는 안전하다는 것이다. 하지만 이 역시 해당 데이터센터가 법률 시스템이 불안정한 국가에 위치할 경우 위험 요소가 될 수 있다.

 

이외에도 특정 벤더에 구속되는 문제, 고객 기업들을 격리해 처리하는 메커니즘의 오류, 해커가 액세스할 수 있는 관리 인터페이스, 데이터가 적절하게 삭제되지 않는 문제 등이 제기됐다.

 

ENISA는 이런 위험을 최소화하기 위해 클라우드 서비스 업체에 요구할 질의서 목록을 만들 것으로 제안했다. 예를 들어, 고객의 자원이 완전히 격리되어 있다는 것을 보증하는 것은 무엇인지, 직원들을 위한 보안 교육은 어떻게 운영되는지, 서드파티 서비스 레벨을 만족시키는지를 확인하는 측정 기준은 무엇인지 등을 목록으로 정리하라는 것이다.

 

마지막으로 좋은 계약은 이런 위험을 줄일 수 있다. 기업들은 데이터 전송에 관한 자사의 권리와 의무, 사법기관에 의한 데이터 액세스, 보안 위반에 대한 공지 등에 특히 주의를 기울여야 한다.

 

물론 ENISA의 조사 보고서가 이런 어두운 측면만을 나타내는 것은 아니다. ENISA는 클라우드 컴퓨팅 서비스를 사용하면 특정 공격에 대해서는 한층 더 강력하고 확장성 있고 비용 효율적인 방어 시스템을 갖출 수 있다고 강조했다. 예를 들어, 자원을 동적으로 배치하는 클라우드의 기능은 DDoS 공격에 더 좋은 방어책을 제공한다.  editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.