A-1. 서비스 사업자 입장에서는 여러 고객들이 동일한 플랫폼을 제공하므로, 플랫폼 간의 상호 간섭을 배제하도록 가상 머신간의 차단이 매우 중요하며, 서비스 제공자의 변경, 개인정보에 대한 법 준수 요구사항, 서비스 가용성에 대한 요구, 인증수단의 강화 등의 다양한 보안 요구사항을 고려한 서비스 제공이 필요하다. 이용자입장에서는 서비스 사업자가 제공하는 보안 측면을 SLA를 통해 요구하고 만족도 여부를 지속적으로 확인해야 한다.

(염흥열 순천향대학교 정보보호학과 교수/hyyoum@sch.ac.kr)

A-2. 클라우드의 서비스 개념 중 IaaS, PaaS, SaaS는 기본적인 서비스 개념이다. 클라우드를 이용해 어떠한 서비스를 진행할지에 따라 보안의 성격이 달라진다. IaaS의 경우, 외부의 침입으로부터 장비의 파괴, 인프라의 성능저하와 같은 것을 예방할 수 있는가이며, PaaS의 경우, 인프라와 소프트웨어를 유지하기 위해 운영되는 플랫폼의 연동에서 발생되는 보안문제, 침입탐지 등 다양한 문제를 안고 있다.

이는 가장 문제가 되는 부분이기도 하다. 왜냐하면 보통 플랫폼은 공개된 플랫폼들을 많이 사용하여 개발하고 있기 때문이다. SaaS의 경우, 소프트웨어를 개발하면서 플랫폼에 맞는 독자적 소프트웨어를 개발하거나 기존의 소프트웨어를 그대로 사용하고 있기때문에 보안에 그나마 안전하다고 할 수도 있다.

특히, 여기에서 데이터 보안이 많이 필요하다. 소프트웨어상에서 운영되는 서비스 데이터들에 대한 침입이 예상되며 사용자의 데이터도 일부 이곳에서 동작되기 때문에 정보보안이 요구되는 곳이기도 하다. 그렇다고 플랫폼 쪽의 보안도 무시할수는 없다. 또한 다양한 서비스들이 개발되거나 운영되고 있는데, 이와 관련해서도 보안이 필요하다. 그렇기 때문에 클라우드 보안은 각각의 서비스 기준(SLA :Service Level Agreement)에 따라 보안 설계를 하고, 보안 프로그램을 개발해야 한다.

현재는 클라우드 기반에서 훨씬 복잡하고 다양해진 보안관리를 쉽고 단순하게 해결하는데 노력을 기울이고 있는데, 최근 구축사례로 인텔TXT를 들수 있다. 인텔TXT는 일종의 소프트웨어(Software)위변조 방지기술이다. 특정 소프트웨어를 실행했을 때 여기에 할당된 메모리 영역에 다른 소프트웨어가 접근하는 것을 막는 기술로 타이완증권거래소에 도입될 예정이다.

(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>