보안

클라우드 업체가 데이터 보호를 위해 제공하는 것과 아닌 것

Susan Bradley | CSO 2021.05.24
우리는 모두 최소한 자신의 데이터 일부를 클라우드에 저장한다. 그리고 이들 클라우드 서비스는 로컬 또는 로컬 데이터센터나 전 세계 곳곳에 서버를 두고 있다. 서버가 로컬에 있을 때나 클라우드에 있을 때나 우리가 사용하는 프로세스는 차이가 별로 없지만, 클라우드에 저장할 경우 그 보호를 둘러싼 위험과 책임은 로컬과 완전히 다르다.
 
ⓒ Getty Images Bank

데이터센터가 어떻게 생겼고, 업체가 데이터 안전을 위해 어떤 작업을 하는지 궁금하다면 마이크로소프트가 공개한 데이터센터 가상 투어가 도움이 될 것이다. 흔히 클라우드는 다른 누군가의 서버일 뿐이라고 말하는데 부분적으로는 맞는 또 부분적으로는 틀렸다.

클라우드는 단순한 서버 이상이다. 클라우드는 접근 통제, 누가 무엇을 데이터 센터에 들고 들어오는지에 대한 모니터링과 같은 물리적 보호를 제공한다. 이와 같은 물리적 보안의 수준은 우리가 로컬 스토리지에 적용하는 수준보다 높은 경우가 많다. 데이터가 물리적으로 사용자와 가까운 곳에 있으면 보호 수준이 낮아도 바로 대처할 수 있지만 클라우드 업체는 이렇게 할 수 없다. 복수의 고객이 같은 공간을 공유하고 각자 위험과 요구사항도 다르기 때문이다.
 

로컬 서버 보안 vs. 데이터 센터 보안

예를 들어 필자의 '로컬' 서버에는 대부분의 데이터센터에서 표준으로 간주하는 백업 발전기나 예비 전력 설비가 없다. 마침 얼마 전에 지역 전력 회사가 필자 회사 인근에서 전기 관련 작업을 해야 해서 하루 동안 전기가 차단됐다. 우리가 사용하는 배터리 백업과 전원 공급 장치는 12시간까지만 작동하므로, 건물에 있는 모든 로컬 컴퓨터와 서버의 전원을 꺼야 했다.

이런 상황을 겪으면서 필자는 주 사무실이 오프라인이 되더라도 클라우드 서비스를 통해 필요한 작업을 대부분 할 수 있다는 사실을 떠올렸다. 주 사무실이 오프라인이 되더라도 더는 업무에 지장이 없었다.

또한 클라우드 데이터센터는 디스크, 메모리 및 기타 데이터 스토리지에 대한 성능 영향을 모니터링하고, 물리적 스토리지를 암호화 및 기타 스토리지 모범 사례로 보호한다. 클라우드 서비스 업체는 기본적으로 더 안전하고 적절한 최신 리소스를 구매하므로, 데이터 요구 사항을 충족할 수 있다.

반면 클라우드 제공업체가 할 수 없는 한 가지는 클라우드에서 데이터를 보호하기 위해 사용자가 해야 할 모든 조치를 확실히 취하도록 강제하는 것이다. 데이터베이스를 클라우드에 두기는 쉽지만, 이 데이터베이스를 적절히 보호하지 않으면 모든 데이터센터의 보안 모범 사례 역시 무용지물이 된다.

실제로 최근 센시스(Censys) 연구 결과를 보면, 클라우드 서버에서 193만 개 이상의 데이터베이스가 노출된 상태로 사용자가 설정한 것으로 나타났다. 노출된 서버의 약 60%는 마이SQL 데이터베이스로, 전체 193만 개 중 115만 개에 달했다.
 

공유 책임 모델

마이크로소프트는 이를 '공유 책임(shared responsibility)' 모델이라고 부른다. 클라우드 업체가 안전한 인프라, 안전한 하드웨어, 그리고 안전한 컴퓨팅의 가능성을 제공하는 것은 맞지만, 사용자가 암호 보안, 보안 위생 및 적절한 소프트웨어 보안을 위한 모범 사례를 따르지 않으면 결과적으로 사용자의 데이터를 보호하지 못한다.

이 공유 책임 모델에서는 온프레미스에서 서비스형 소프트웨어(SaaS)로 전환할수록 클라우드 업체의 책임이 더 커진다. 모든 데이터를 온프레미스 솔루션에 두면 사용자가 보안과 운영의 모든 측면을 직접 책임진다. 또한 데이터의 올바른 분류와 사용자 및 엔드포인트 기기 관리도 직접 담당한다.

반면 서비스형 인프라(IaaS) 솔루션에서는 건물과 서버, 네트워킹 하드웨어, 하이퍼바이저를 플랫폼 업체가 관리한다. 사용자는 운영체제, 네트워크 구성, 애플리케이션, ID 및 데이터 보호와 관리를 책임진다. 서비스형 플랫폼(PaaS) 솔루션의 경우 네트워크를 관리하고 보호하는 책임 전체가 클라우드 업체로 넘어간다.
 

클라우드 보안을 위해 해야 할 일

클라우드에서 업체는 인프라를 제공하지만 패치까지 제어하지는 않는다. 따라서 정비와 유지보수에 대한 책임 소재를 명확히 확인하고, 가능하다면 자동 업데이트를 업체가 제공하는 서비스를 이용하는 것이 좋다.

예를 들어 마이크로소프트는 클라우드 서비스뿐만 아니라 원격 워크스테이션의 업데이트를 더 효과적으로 관리하는 클라우드 서비스 기반 툴을 제공한다. E3 이상 라이선스를 가진 기업이라면 비즈니스용 윈도우 업데이트 배포 서비스를 기반으로 하는 새로운 마이크로소프트 그래프 API를 사용할 수 있다.

이를 이용하면 IT 전문가와 앱 개발자가 윈도우 업데이트의 특정 기능 업데이트를 승인, 배포하는 시기를 예약하고, 세부적인 식을 사용해 며칠 또는 몇 주에 걸쳐 배포 단계를 설정할 수 있다. 사전 구성된 비즈니스용 윈도우 업데이트 정책을 건너뛰고 즉시 보안 업데이트를 전사적으로 배포하는 것도 가능하다.

원격 액세스 역시 클라우드를 이용할 때의 중대한 약점이다. 원격 데스크톱 프로토콜(RDP)에 익숙한 나머지 클라우드 서비스도 같은 방식으로 설정하는 것이다. 이 경우 액세스 제한 없이 RDP 액세스가 열린다. 이중 인증을 사용하거나 클라우드 자산 액세스에 RDP를 아예 사용하지 않는 것을 권장한다. 실제로 유출된 RDP 인증 정보가 워낙 광범위하게 퍼져 있어 아예 공공연하게 거래되는 실정이다.

정리하면 클라우드 데이터 관리의 핵심은 데이터가 더는 물리적으로 사용자 가까이 있지 않다고 해서 데이터 보안에 대한 책임이 전적으로 업체에 있다는 의미는 아니란 것이다. 즉, 온프레미스 환경과 동일한 위험과 취약점을 그대로 가져와 클라우드를 설정해선 안 된다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.