이제 클라우드 컴퓨팅이 대세(大勢)다. 많은 사람들에게 회자되며 다양한 형태의 서비스가 속속 출현하고 있다. 클라우드 컴퓨팅에서는 다수의 서로 연결된 시스템이 공동으로 이용된다. 클라우드 컴퓨팅에서 정보보안과 개인정보보호를 위해서는 다음과 같은 과제를 해결해야한다.

첫째, 클라우드는 기업 외부에서 기업의 고유한 보안 정책, 전략 및 절차를 실현하고 또 통제할 수 없기 때문에 보안 위험이 노출될 수 있다.

둘째, 따라서 이미 오늘날 기업들은 아주 제한된 데이터만 퍼블릭 클라우드에서 처리하고 중요한 데이터는 프라이빗 클라우드에서만 처리한다.

셋째, 프라이빗 클라우드는 보안측면에서 전통적인 기업 소유 IT시스템과 구분되지 않는다. 기업의 고유한 보안정책을 따르고 완전하게 통제될 수 있기 때문이다. 따라서 여기에는 기업 내부에서의 정보 처리에 대한 법규가 적용된다.

넷째, 퍼블릭 및 하이브리드 클라우드를 이용할 때에는 법률 및 해당 분야의 자율규제조치를 준수하여야 한다(컴플라이언스). 따라서 일부 분야에서는 클라우드를 전혀 이용할 수 없다. 클라우드를 이용할 때에는 위험관리 및 보안대책을 마련하여야 한다. 특히 외국으로의 개인정보 이전을 매우 엄격하게 제한하고 또 위탁처리에 일정한 의무를 부과하는 개인정보보호법 상 제한이 있다.

다섯째, 처리할 데이터의 퍼블릭 클라우드로의 전송이 전혀 안전하지 않은 인터넷을 통하므로 매우 많은 비용을 들여야만 안전을 확보할 수 있다.

여섯째, 클라우드에서 기밀성을 제고하기 위해서는 데이터를 암호화할 수 있다. 그러나 데이터를 암호화되지 않은 상태에서 처리할 수 있으려면 이를 클라우드에서 다시 복호화하여야 한다. 그러나 퍼블릭 클라우드에서는 이 때 제3자에 의해 감청될 수 있다. 클라우드로의 전송 및 클라우드의 운영(가상화, 부하조절, 지리적 분산, 보안조치 등)을 위하여 사용하는 모든 표준 및 비표준 프로그램과 암호화 프로그램 및 프로토콜도 결함이 없을 수는 없다. 오히려 인터넷에서 이용할 수 있는 중대한 보안취약점이 있을 수 있으며 제3자가 데이터를 절취 또는 감청하는 데 이용할 수 있다.

일곱째, 보안 관련사고는 주의하여 조사하여야 할 수 있다(포렌식). 그러나 이는 사용하는 매우 다양한 IT시스템의 지리적 분산으로 인해 어렵거나 불가능할 수 있다. 수사기관이 국소화된 데이터를 압수하는 경우 문제를 야기할 수 있다. 가상화와 복수위임기능에 근거한 클라우드 운영이 방해되거나 클라우드에서 얻은 데이터의 간단한 묘사는 훼손되기 쉬워서 재판에서 증거로서의 가치가 작아지기 때문이다.

여덟째, 클라우드 운영자가 경제적 곤란으로 서비스를 중단할 수도 있다. 그러한 경우에도 계약상으로 뿐만 아니라 기술적으로도 이용자가 완전히 통제할 수 있어야 한다. 이같은 소위 “벤더에의 종속(vendor-lock-in)"은 특정 분야를 넘어 표준으로 저지할 수 있다. 특히 무료 클라우드 기반 서비스는 종종 아무런 보증도 없이 제공되므로 처리되는 데이터가 특히 높은 위험에 놓여 있다. 그러나 현재 계약은 클라우드 제공자에게 유리하게 되어 있으며 적절한 형식으로 클라우드 이용자의 이익을 고려하고 있지 않다.

아홉째, 계약상 합의에서 종종 계약만료나 파산과 같이 특별한 사정이 발생한 경우 데이터 파기를 규정하고 있음에도 불구하고 기술적으로는 불가능한 것과 같은 기술적 구현과의 모순이 존재한다.

열째, 인터넷, 인프라, 소프트웨어 등 하드웨어와 소프트웨어를 알지 못하는 제3자와 동시에 공동 이용하는 데 따른 위험을 해결하기 위해서 클라우드 컴퓨팅은 처리하는 데이터의 가치에 맞게 안전조치가 취해져야 한다. 퍼블릭 클라우드가 일반적으로 또 광범위하게 이용되는 경우 주요정보통신기반시설로 지정하여 보호할 필요가 있다.

[글 _ 박영우 한국인터넷진흥원 전문위원실]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>