보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
클라우드 보안을 위한 고려사항
2014년 국정감사 결과 국내 클라우드 보안이 가장 기초적인 해킹 공격인 ‘브루트 포스’에도 취약한 것으로 드러났습니다. 지난 할리우드 스타들의 사생활사진 유출 사고를 보면, 클라우드 서비스에 많은 장점이 있지만, 그만큼 우리에게 새로운 보안 위협이 될 수도 있음을 알 수 있습니다.
특히 기업용 클라우드 서비스의 활성화로 직원들이 파일 공유 및 동기화 서비스를 이용하는 빈도가 늘어나는 추세입니다. 이에 따라 보안사고가 발생할 경우, 개인용 클라우드 서비스를 이용할 때 보다 사회적으로 더 큰 피해가 생길 수 있습니다. 실제로 2013년에는 새로 출시하는 소프트웨어를 모두 클라우드 방식으로 전환한 Adobe사가 3800만 개 계정을 해킹당하는 일이 있었습니다. 이는 기업용 클라우드를 도입했을 때 따르는 보안 위험성이 얼마나 높은지를 보여주는 전형적인 사례라고 볼 수 있습니다.
업계 및 정부에서는 클라우드 보안 수준을 높이기 위해 현재 가이드라인 수준에 머물러 있는 관련 보안규정을 재정비하는 작업을 진행하고 있습니다.
기본적으로 클라우드 보안은 다양한 측면에서 고려되어야 합니다. 방화벽의 동작 여부 등을 통해 클라우드 서비스 자체의 보안 수준을 파악하고, 데이터의 모니터링과 백업 등이 제대로 진행되어 클라우드 서비스를 통한 사업운용이 원활한지를 판단해야 합니다. 또한 DDoS나 IP스푸핑에 대한 대비와 같은 네트워크 보안과 데이터센터의 물리적 보안도 염두에 두어야 합니다.
하지만 중요한 것은 내부위협 요소의 대부분이 클라우드 관리자, 스토리지 관리자, 시스템 관리자 등 권한을 가진 계정과 관련한 위협이라는 점입니다. 그러므로 사용자들은 계정관리에 유의해야 하며, 클라우드 보안에는 기업과 사용자 공동의 노력이 요구된다고 볼 수 있습니다.