보안 / 클라우드

IBM, 맞춤형 보안 솔루션으로 안정적인 클라우드 도입 돕는다

박형근 차장 | IDG Korea 2011.04.06

IBM의 최근 “IBM Market Insights Cloud Phase 2 opportunity assessment, Sept 11, 2010” 자료에 따르면, 전세계 퍼블릭 클라우드 서비스 시장은 2010년에는 약 300억 달러 규모이며, 연평균 성장율(CAGR)을 25%로 예측하여, 2011년에는 약 400억 달러로 보았고, 2015년까지 880억 달러의 시장 규모로 성장할 것으로 예상했다.

 

클라우드 컴퓨팅 환경에서 나타나는 보안 위협

이러한 클라우드 컴퓨팅 시장의 지속적인 성장율과 맞물려 고객들의 보안 우려도 함께 높아지고 있다. 2010년 IBM 비즈니스 가치 연구소(IBV)가 진행한 ‘2010 글로벌 리스크 서베이(Global Risk Survey)’에서 IT관리자와 CIO들은 소셜 네트워킹, 모바일 플랫폼과 함께 클라우드 컴퓨팅의 보안 문제를 가장 우려하는 것으로 나타났다.

 

조사 응답자 중 42%는 클라우드 컴퓨팅의 보안 문제를 매우 위험한 것으로 생각했으며, 35%는 위험하다고 응답했다. 클라우드 컴퓨팅과 관련된 두 가지 가장 큰 위험을 지적해 달라는 질문에 응답자의 다수가 데이터 보호 및 개인정보보호를 지적했다. 데이터 보호 및 개인정보보호는 클라우드 컴퓨팅의 서비스 모델과 무관하게 우려되는 공통의 보안 위험이다.

 

클라우드에는 데이터와 정보가 집중되어 있다 보니, 클라우드 서비스 공급업체의 직원 혹은 서비스 관계자에 의해 중요 정보가 유출될 수 있다. 또한, 외부에서 해커나 크래커가 쉽게 공격 목표로 정할 수 있다. 아울러, 클라우드 인프라는 동적으로 운영되므로 정해진 정책 적용의 실패/오류(예. 접근권한 정책이나 기술의 적용 실패 등)로 인한 데이터 유출 혹은 인프라 내 장애로 인한 데이터 손실 등이 주요한 보안 위협이 될 수 있다. 특히, 클라우드 컴퓨팅 환경 하에서의 보안 위협이나 취약점에 대한 영향은 동일한 환경의 다른 사용자나 기업에 대해 파급이 가능하다는 점에서 위험이 더 크다.

 

각 클라우드 컴퓨팅의 서비스 모델 따라 나타날 수 있는 보안 취약점은 다음과 같다.

 

서비스모델

클라우드 서비스 공급자 측면

클라우드 서비스 이용자 측면

SaaS

- 서비스 모델 중 공급자의 보안 책임이 가장 큼

- SaaS 형태로 제공하는 소프트웨어의 안전하지 않은 개발로 인한 보안 결함

- (가상화된 혹은 공급 받은) 미들웨어, 네트워크, 운영 체제 상의 보안 취약점과 패치 적용이 용이하지 않고, 접근 통제가 실패할 수 있음

- 네트워크 간 암호화되지 않은 중요 정보 전달 등

- 이용자가 필요한 보안 통제 및 관리 적용 어려움

- 내부 애플리케이션 연계를 위한SaaS 상의 소프트웨어와의 인터페이스를 통한 악의적인 공격

- 중요 데이터와 개인정보에 대한 실제 암호화 및 접근 통제 여부에 대한 확인 어려우며, 기업 및 이용자 표준 암호화 알고리즘 적용 및 변경 어려움.

- 감사 및 모니터링 등 보증 활동을 위한 데이터를 제공받기 어려움

- 가용성 확보가 용이하지 않은 높은 서비스 의존성

PaaS

- (가상화된 혹은 공급 받은) 미들웨어, 네트워크, 운영 체제 상의 보안 취약점과 접근 통제가 실패할 수 있음

- 네트워크 간 암호화되지 않은 중요 정보 전달 등

- PaaS 상에서 개발하는 소프트웨어와 인터페이스의 안전하지 않은 개발로 인한 보안 결함

- 개발 소스에 대한 보호가 용이하지 않거나, 원하는 보안 기능 구현이 어려울 수 있음.

- 개발 플랫폼과 서비스 플랫폼 사이의 차이로 인한 보안 결함

IaaS

- (가상화된) 네트워크 및 운영 체제 상의 보안 취약점

- (가상화된) 네트워크 간 암호화되지 않은 중요 정보 전달 등

- 서비스 모델 중 이용자의 보안 책임이 가장 큼

- 이용자의 활용 방식에 따라 다양한 보안 취약점 존재

 

클라우드 컴퓨팅 보안 필수 요소

이와 같은 클라우드 컴퓨팅 환경에 있어서의 보안 위험을 관리하기 위해 어떤 것이 필요할까?

클라우드 컴퓨팅 보안 체계는 우선 정보보호 거버넌스나 정보보호 관리체계 하에서 고려되어야 한다.

 

또한, 기술적으로는 정보보안 아키텍처나 정보보호 프레임워크를 기반으로 설계되어야 한다. 클라우드 컴퓨팅을 지원하기 위한 이러한 체계 수립을 위해서는 다양한 참조 모델이 필요한데, IBM에서 제공하는 “IBM 클라우드 컴퓨팅 참조 아키텍처 ? 보안 컴포넌트 모델” 역시 좋은 시작점이 될 수 있다.

 

AP43EC.JPG

IBM 클라우드 컴퓨팅 참조 아키텍처 ? 보안 컴포넌트 모델

 

다음으로는 비즈니스 전략에 따라 선택된 클라우드 서비스 모델 상에서의 보안 위험 평가 및 위험 관리 활동을 수행하는 것이 필요하다. 클라우드 컴퓨팅의 보안을 설계함에 있어 필수적으로 고려해야 할 사항은 다음과 같다.

 

- 보안 관점에서 클라우드 서비스 업체의 선택과 보안 서비스 수준 협약은 어떻게 할 것인가? 클라우드 컴퓨팅의 서비스 모델에 따라 공급자의 보안 책임은 상이하며, 계약 이후에는 보안에 관한 서비스 수준 변경은 쉽지 않다. 따라서 초기 서비스 업체 선정 시부터 보안 관점에서 검토가 필요하며, 서로 간의 보안 서비스 수준에 대한 협의와 수용을 통해 보안 서비스 수준 협약을 계약에 포함시키는 것이 중요하다.

 

- 사용자 인증 및 개인정보를 어떻게 관리하고 서비스할 것인가? 가능하면 퍼블릭 클라우드 영역에는 사용자의 개인정보의 저장을 최소화하고, 프라이빗 클라우드 영역에서 사용자의 인증 및 개인정보를 관리하는 방안이 바람직하다. 이 둘 사이의 인증 정보의 전달은 웹 서비스 기반인 SAML(Security Assertion Markup Language)이나 OpenID, OAuth 등의 표준화된 방식을 활용하는 것이 권장된다.

 

- 암호화를 어떻게 관리하고 적용할 것인가? 퍼블릭 클라우드 영역의 중요 데이터나 법이나 규제에서 암호화가 요구되는 개인정보는 반드시 암호화된 채로 저장되어야 한다. 이때, 특히 주의할 사항은 암호화 키는 퍼블릭 클라우드 영역에 함께 저장되어서는 안 된다는 점이다. 이를 위해서는 프라이빗 클라우드 영역에서 퍼블릭 클라우드 영역에서 요구 시 암호화 키에 대한 서비스 제공이 필요하고, 이를 위해서는 KMIP(Key Management Interoperability Protocol)와 같은 표준화된 방식의 활용이 필요하다.

 

- 보안 취약점 및 구성 관리는 어떻게 할 것인가? IaaS나 PaaS 상에서 애플리케이션을 개발하는 경우에는 가능한 한 보안 결함을 최소화하기 위해 SDLC(Secure Development Life Cycle)를 수립하고, 다양한 테스트 방법론들을 활용하여, 보안 코딩에 대한 보증 활동을 계획하고 수행하는 것이 권고된다. 이용하고 있는 클라우드 환경 상에서 발견되는 외부 보안 전문가 조직이나 공급업체에서 제공하는 보안 권고문 정보를 수집하고, 해당 보안 취약점에 대한 위험 및 영향도 평가 후 적절한 위험 완화 방안을 수립한다. 적절한 보안 구성 관리를 수행하고, 특히 클라우드 서비스 공급업체의 경우에는 서비스와 연관된 전체 인프라에 대한 취약점 및 보안 구성 관리를 수행하고, 적절한 유지 보수 활동을 계획하고 이행해야 한다.

 

- 보안 감사를 위한 증적 데이터를 어떻게 확보할 것인가? 클라우드 컴퓨팅 서비스 모델에 따라 보안 감사 데이터를 제공 받기가 어려울 수도 있으며, 멀티 테넌트의 활동에 대한 감사가 기술적으로 어려울 수도 있다. 그러나, 컴플라이언스 준수를 위해서는 다양한 대안과 기술의 적용으로 보안 감사를 위한 증적 데이터를 확보해야만 한다.

 

- 가용성 확보를 어떻게 할 것인가? 클라우드 서비스를 이용하는 기업이나 사용자 측면에서는 서비스 의존도가 매우 높으며, 현재 클라우드 서비스에 대한 표준화가 없는 상황에서 타 클라우드 공급업체 간 서비스 이전은 매우 어렵다. 따라서, 가용성 확보는 서비스 혹은 데이터 이전을 위해서 정기적인 데이터 백업을 공급 받거나, 가능한 수준에서 백업을 받고, 복구할 수 있는 방안에 대해서 고려해야 한다.

 

- 가상화에 특화된 보안을 고민해야만 한다. 클라우드 컴퓨팅의 IT 인프라의 효율성을 극대화하기 위해서 흔히 도입되는 기술이 가상화이다. 그러나, 가상화로 인해 야기되는 특화된 보안 취약점이나 보안 기술이 존재한다.

#######

IBM에서 제공하는 클라우드 보안 솔루션 소개 및 차별점

IBM은 클라우드 컴퓨팅을 사용하거나 도입을 고려하는 기업들이 보다 안전하게 클라우드 컴퓨팅을 비즈니스에 적용할 수 있도록 돕기 위해 최근 “클라우드 컴퓨팅 보안 이니셔티브”를 발표했다. IBM은 획일적인 클라우드 보안 전략을 모든 기업에 적용하는 것은 옳지 않다고 생각하며, 고객이 클라우드 환경을 최대한 활용할 수 있는 맞춤형 솔루션을 개발하기 위해 노력하고 있다.

 

IBM 왓슨 연구소와 취리히 보안 연구소 연구원들은 퍼블릭 클라우드 환경에서 데이터 무결성, 복구, 프라이버시 및 고객 격리를 강화함으로써 클라우드 보안을 강화할 수 있는 방안을 찾는 다양한 연구를 진행하고 있다. 또한, 미 공군이나 유럽 연합 등과 같이 안전한 클라우드 서비스(예. 유럽 연합과 IBM과의 Trustworthy Cloud 프로젝트 등)를 만들고자 하는 고객과 함께 다양한 프로젝트를 진행하고 있다.

 

IBM 연구원들은 더 강력한 격리 또는 ‘인프라 강화’를 고객 간에 제공함으로써 클라우드 보안을 강화하는 메커니즘을 개발했다. 이 메커니즘은 인프라의 무결성을 검증하고 사용 중인 워크로드와 하이퍼바이저를 승인하여 스푸핑 같은 저급 공격을 방지하는데 도움이 된다.

 

IBM은 최근 ‘IBM 스마트 비즈니스 테스트 및 개발(IBM Smart Business Test and Development)’ 클라우드에 이러한 보안 기능을 새로 추가했다. 이러한 보안 메커니즘의 일부는 현재 ‘IBM 컴퓨트 클라우드 및 IBM 시스템 디렉터 VM컨트롤(IBM Compute Cloud and IBM Systems Director VMControl™)’에서 제공되고 있다.

 

AP116E.JPGIBM 연구원들이 개척한 새로운 클라우드 보안 기술을 신속히 활용한 예는 IBM 버추얼 서버 프로텍션 (IBM Virtual Server Protection)에 ‘내부 모니터링’을 통합한 것이다. 이 기능은 클라우드 환경에 일종의 ‘가상 문지기(virtual doorman)’를 두고, 가상 머신 외부로부터의 잠재적인 악성코드 공격을 검출하고 내부 운영체계가 제대로 실행되고 있는지를 확인하고 루트킷(root-kit) 같은 악성코드 포함 여부를 판단한다. 이와 같은 수준의 보안은 가상 머신 내에서만 통신과 점검이 이루어질 수 있는 종전 내부 솔루션에서는 제공되지 않는다. 루트킷 검출 시스템은 현재 IBM 버추얼 서버 프로텍션(IBM Virtual Server Protection) 시스템의 일부로 제공된다. 또한 오프라인 가상 머신에 대한 패치 적용 기술, 클라우드 스토리지 환경에서의 암호화 기술과 키 관리 및 키 서비스 기술 등 클라우드 보안에 있어서의 핵심 기술들에 대한 연구 개발을 지속적으로 수행하고 있다.

 

IBM은 클라우드 보안을 획기적으로 개선하려는 고객을 위해 다음과 같은 접근을 하고 있다.

 

(1) 클라우드 보안 전략에 대한 계획과 평가

IBM 클라우드 보안 전략 로드맵 (IBM Cloud Security Strategy Roadmap) ? 서비스 공급업체나 서비스 사용자로서 클라우드 전략을 수립하려는 고객들을 돕는 로드맵이다. 고객이 자사 클라우드 컴퓨팅 전략과 관련된 보안 목표를 달성하기 위한 단계를 파악, 수립, 요약하는 것을 지원한다. IBM 보안 전문가들이 고객과 현장 실무 세션을 실시해 클라우드 컴퓨팅 이니셔티브 및 목표를 설정하고, 관련 보안 및 프라이버시 문제를 파악하며, 적절한 취약성 완화 전략을 결정하여 클라우드 보안 목표를 달성할 수 있는 고급 보안 전략 로드맵 개발을 지원한다.

 

IBM 클라우드 보안 평가 (IBM Cloud Security Assessment) ? 클라우드 인프라를 보유하고 있거나 도입을 검토중인 고객을 대상으로 현용 및 예정된 클라우드 솔루션의 보안 통제, 메커니즘, 아키텍처 현황을 심도 있게 파악할 수 있는 평가이다. IBM 평가 전문가들이 클라우드 솔루션의 보안 프로그램을 업계 베스트 프랙티스 및 고객의 클라우드 보안 목표와 비교하여 전반적인 보안 환경을 개선할 수 있도록 지원한다.

 

클라우드를 위한 IBM 애플리케이션 보안 서비스 (IBM Application Security Services for Cloud) ? CIO가 클라우드 환경에서 기밀 데이터를 어디에 어떻게 두고, 배포할 것인지 명확하게 파악할 수 있도록 지원하는 오퍼링이다. 이 오퍼링은 현용 또는 제안된 클라우드 애플리케이션 환경을 평가하여 고객의 특정 비즈니스 요구사항에 적절한 정보, 보안, 프라이버시 통제가 이뤄지도록 한다. 해당 오퍼링은 기업 내부와 서비스 공급업체 내의 클라우드 보안 취약성을 파악하여 우선순위를 부여함으로써 고객이 솔루션을 구현하기 전에 효율성과 서비스 수준 요구사항을 유지하기 위해 서비스 공급업체와의 통제 정도를 결정하는데 도움을 준다.

 

(2) 클라우드에서의 보안 서비스 확보

보안 이벤트 및 로그 관리용 IBM 매니지드 보안 서비스 (IBM Managed Security Services Hosted Security Event and Log Management) ? 이 오퍼링은 운영체계, 애플리케이션, 인프라 장비의 보안 이벤트 및 로그 데이터를 통합해 실시간 및 이력 트래픽을 평가하고 대응하는 완벽한 플랫폼을 제공하는 클라우드 기반 보안 사건 및 이벤트 관리 솔루션이다. 이 오퍼링은 전체 수명주기에 관한 보안 정보 및 이벤트 관리를 제공하여 보안 조사 속도 및 컴플라이언스 이니셔티브를 현저히 개선하며, 이러한 작업을 IBM 보안운영센터(Security Operation Center) 전문가에게 위탁할 수 있는 옵션을 제공한다.

 

취약성 관리용 IBM 매니지드 보안 서비스 (IBM Managed Security Services Hosted Vulnerability Management) ? 이 클라우드 기반 스캐닝 서비스는 기업이 네트워크 디바이스, 서버, 웹 애플리케이션 및 데이터베이스에 대한 취약성을 파악하여 문제점을 관리하고, 보안 운영 비용을 절감하도록 지원한다. 이 서비스는 컴플라이언스 명령에 더 간편하고 신속하게 대응하길 원하는 모든 규모의 기업에서 이용할 수 있다.

 

(3) 클라우드에서의 보안 기술 개발 및 솔루션

IBM 클라우드 보안 기술 (IBM Security Technology for Cloud) - IBM의 보안 기술 연구소에서는 클라우드 환경에서의 다양한 보안 위협을 연구하고, 이에 대한 대응하는 다양한 클라우드 보안 기술을 개발한다. 이러한 노력의 여러 결과물 중 하나로써, 최근 IBM은 클라우드 보안의 핵심 기술인 하이퍼센트리(HyperSentry) 기술을 선보였다. 이 기술은 클라우드 인프라에서 일반적으로 사용되고 있는 가상화 환경에서 해커나 악성코드에 의해 이기종의 다양한 하이퍼바이저에 대한 공격을 탐지하고, 방어하며, 궁극적으로는 클라우드 내에서의 데이터의 무결성을 확보할 수 있도록 강제화하는 보안 기술이다.

 

IBM 클라우드 보안 솔루션 (IBM Security Solutions for Cloud) - 지속적인 투자와 연구를 통해 개발된 IBM의 클라우드 보안 기술을 제품화하며, IBM의 보안 프레임워크를 기반 하에 선제적으로 클라우드 환경에서의 위협을 대응하기 위해 기존 보안 솔루션을 클라우드 환경으로 확장하여 적용할 수 있도록 기능을 향상시키고, 클라우드 환경에 특화된 제품 및 솔루션을 제공함으로써, 클라우드를 도입한 기업의 실제적인 보안 위험을 완화하기 위한 노력을 지원한다.

 

현재, IBM은 전세계 3,500명 이상의 보안 전문가와 까다로운 클라우드 문제 해결에 이용할 수 있는 3,000여 가지의 보안 및 위험 관리 특허를 보유하고 있다. 클라우드 컴퓨팅 모델이 고객의 비즈니스 요구사항과 함께 발전함에 따라, IBM 연구원들은 비즈니스 및 산업 시나리오에 관계없이 클라우드에서 데이터 무결성을 확보할 수 있는 새로운 기술을 고안하고 있다.

 

클라우드 컴퓨팅 보안 사업 전략

IBM은 클라우드 컴퓨팅을 위한 엔드-투-엔드 역량을 보유한 유일한 파트너로서 기업들이 클라우드 컴퓨팅을 보다 안정적으로 도입할 수 있도록 하기 위한 보안 솔루션에도 일찌감치 관심을 기울여 왔으며, 컨설팅과 서비스, 소프트웨어 및 하드웨어 등 이르기까지 클라우드 컴퓨팅을 위한 보안 관련 총체적인 솔루션을 제공하고 있다. 특히 가상화된 인프라에 특화된 가상 OS 상의 패치, 취약점, 보안 구성 관리와 가상 네트워크에 대한 보안 솔루션을 제공하는 등 클라우드 컴퓨팅 도입을 고려하는 국내 각 산업별 워크로드를 충분히 고려하여 최적화된 보안 솔루션을 제공하는데 주력할 예정이다.

 

한편, IBM은 오는 4월 13일~14일 열리는 클라우드 & 데이터센터 월드 2011의 부대행사로 열리는 CIO Executive Meeting에서 기업 혁신에서 클라우드 컴퓨팅의 역할과 IBM의 전략 및 사례에 대해서 소개할 예정이다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.