클라우드 환경에서 정보유출, 막을 수 있는 방법은?

Posted by

최근, 새로운 가치를 창출하고 기회를 제공하기 위해 디지털 기술을 적용하여 업무 수행의 방법과 이유를 재창조하는 디지털 트랜스포메이션이 업계의 이슈다. 기업이 디지털 트랜스포메이션을 선택하는 가장 큰 이유는 ‘데이터의 효율적 활용’ 및 ‘비용절감’ 이슈다. 과거와 달리 기업이 활용할 수 있는 데이터의 양이 폭발적으로 증가하고 있는 지금, 이를 어떻게 활용해서 기업의 가치를 높일 것이냐는 더이상 선택사항이 아니다. 그러나 디지털 혁신이 말처럼 쉽지 않은 이유는 역시 비용문제다. 전사적인 데이터레이크를 구축하기 위해서는 많은 투자와 인력이 필요하며, 이를 유지 관리하고 도입 등 활용하기 위해서는 또 다른 많은 투자와 시간이 소요된다.

이러한 상황에서 기업들이 선택하게 되는 것이 클라우드 환경 구축이다. 기업이 비용 절감과 머신러닝, AI 등 가장 최신의 기술을 적용한 적극적인 데이터 활용이라는 두 마리의 토끼를 잡기 위해 할 수 있는 가장 합리적인 선택지 중 하나이기 때문이다. 이는 전세계적으로 클라우드 시장이 빠르게 성장하고 있는 상황을 봐도 알 수 있다.

그러나 신기술이 가져다주는 미래가 언제나 달콤하기만 한 것은 아니다. 클라우드 환경에서도 여전히 보안 관리 미흡으로 인한 정보 탈취 및 유출 사고가 빈번하게 발생하고 있다. 그룹아이비 조사에 따르면 지난 1년간 10만개 이상의 데이터베이스가 공개됐으며, 아마존 S3 등 클라우드 스토리지를 통해 유출된 사고가 15억개 이상이다. 국내에서도 최근에 샤넬코리아에서 81,654명의 개인정보가 유출되는 사고가 발생했으며, 패션쇼핑몰 ‘브랜디’에서 700만명의 개인정보가 유출되는 사고가 발생했다. 또한 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩 등은 개인정보 보호 법규를 위반해 개인정보보호위원회로부터 과징금 및 과태료를 부과받기도 했다. 모두 아마존에서 제공하는 클라우드서비스인 AWS를 사용하는 사업자 들이다.

이와 같은 보안사고가 발생하는 이유는 크게 세 가지로 볼 수 있다. 첫 번째로 클라우드 설정상의 오류다. IBM에서 발표한 자료에 따르면, 클라우드 보안 사고 중 잘못된 클라우드 API구성으로 발생한 경우가 세건 중 두건에 해당한다. 즉, 보안 설정이 잘못되어 개인정보 유출의 빌미를 제공하는 것이다. 특히, 대기업의 경우 여러 클라우드 서비스를 사용하는 편인데 각 클라우드 종류별로 설정 방식이나 지속적인 업데이트 등 관리의 측면에서 허점이 생기기 쉽다는 것이다. 두 번째로 지적되는 것은 이러한 보안 설정 및 모니터링 등 전문적인 지식을 가지고 클라우드 컴퓨팅 환경을 관리 및 운영할 수 있는 인력이 부족하다는 것이고, 세 번째는 클라우드 환경의 보안에 대한 명확한 가이드라인이 없다는 점이 지적된다.

클라우드환경에서 보안 설정 등 가장 빈번하게 발생하는 보안 유출 사고의 책임문제와 관련하여, 대표적인 클라우드 제공사인 AWS는 “공동책임모델(Shared Responsibility Model)”을 제시하고 있다. AWS가 인프라, 즉 클라우드 운영 시스템과 서비스가 운영되는 물리적 보안에 해당하는 요소를 책임지고, 클라우드를 활용하는 애플리케이션 구축에서 발생하는 보안 문제(설정 등)에 대한 책임은 소비자가 진다는 정책이다. 이와 같은 정책은 AWS가 클라우드에 저장되어 있는 소비자들의 데이터에 접근하지 않는다는 점을 명시적으로 보여주며, 따라서 사용주체인 기업은 자신들의 데이터에 대한 독립적인 접근권과 관리에 대한 책임을 바탕으로 클라우드를 이용 및 활용해야 한다는 것이다.

그러나 유출사고의 발생 원인에서도 나타나듯, 다양한 클라우드를 사용하면서 동시에 나날이 복잡해지는 환경을 관리해야 하는 기업들이 보안 관련 사항들을 인력으로 일일이 관리하기 쉽지 않은 것도 사실이다. 따라서 클라우드 제공 업체들은 애플리케이션 레벨에서의 보안에 대한 책임을 지지는 않지만 고객들이 접속기록, 인증 및 접근제어, 키관리, 위협탐지 및 대응, 규정 준수 등 보안의 기본이 되는 요소들을 관리할 수 있도록 다양한 관리 기능들을 제공하고 있다.

<아마존 AWS, 마이크로소프트 AZURE, 구글 GCP 클라우드 서비스에서 제공하는 보안 관련 관리 기능 예시>

클라우드 업체들이 위 표에서와 같이 아무리 다양한 관리 기능들을 제공한다고 해도, 이를 활용해 실질적인 보안 위협으로 부터 자사의 데이터를 지켜내는 것은 결국 기업의 몫이다. 따라서 기업은 클라우드 도입으로 인한 이점과 비즈니스 기회를 만끽하기에 앞서 자사가 사용하고 있는 다양한 클라우드 환경을 면밀히 파악하고, 활용 상태를 정확하게 잘 알고있는 것이 중요하다. 이를 바탕으로 가장 기본적인 설정에서부터 철저한 관리와 모니터링을 통해 튼튼한 보안 울타리를 구축해야 할 것이다. 보안과 관련한 사항에는 언제나 예외가 없다. 클라우드 환경 또한 철저한 관리만이 살길이다.

댓글 남기기