• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

CISO 뉴스

보안 제품정보

[시큐리티 Q&A] 전문가들이 뽑은 클라우드 보안, ‘십계명’ 2014.07.30

Q. 현재 클라우드 시장이 기하급수적으로 커지고 있지만, 클라우드 보안 하면 별로 떠오르는 것이 없는 것이 우리 IT 고객사들의 현실인데 클라우드 보안에서 이것만은 반드시 지켜야 하는 십계명 같은 게 있다면 소개해 달라.


A-1. 클라우드 사용자 입장에서는 서비스 사업자가 제공하는 보안 측면의 SLA 확인이 필요하다. 또한, 서비스 제공자에 대한 인증을 위한 국가 차원의 기준 설정이필요하며, 이 기준에 근거해서 제3의 신뢰기관이 클라우드 서비스 제공자에게 인증을 수행해야 한다. 그 결과를 공표해서 이를 근거로 고객이 클라우드 서비스 사업자를 선택할 수 있게 하는 체제의 구축과 운영이 필요하다.

(염흥열 순천향대학교 정보보호학과 교수/hyyoum@sch.ac.kr)


A-2. 클라우드 보안은 서비스 제공자과 이용자 입장을 모두 고려해야 한다. 실질적으로 아무리 클라우드 서비스 제공자가 안전한 클라우드 서비스를 제공한다 하더라도 클라우드 서비스를 도입해 이용하는 기업 및 개인 이용자가 클라우드 보안에 대해 알지 못한다면 보안은 취약해 질 수 밖에 없기 때문이다. 따라서 클라우드 서비스를 안전하게 이용하기 위해서는 다음과 같은 사항들을 고려할 수 있다.


① 클라우드 서비스와 연동되는 모든 유·무선 단말기는 일정한 안전성이 보장되도록 관리해야 한다. 예를 들면 서비스 이용 단말기의 주기적인 백신 점검, 운영체제 업데이트 등을 유지·관리해야한다.


② 예상치 못한 정보의 유출·노출 사고에 대비해 기업 기밀정보 및 고객 개인정보 등 중요 정보는 클라우드 서비스 이용 전에 암호화해야 한다.


③ 클라우드 서비스는 대용량 정보를 저장·관리하고 있으므로 계정 도용의 피해를 최소화하기 위해 이용자 계정에는 보안강도가 높고 안전한 패스워드를 설정하고 이를 주기적으로 변경해야 한다.


④ 클라우드 서비스에서 다른 이용자와 정보를 공유하기 위해서는 권한 설정 기준과 공유범위 등을 명확히 숙지하여 이용해야 한다.


⑤ 클라우드 서비스에서 이용자 공유 기능을 사용할 때, 저작권 위반 또는 반사회적 자료 이용으로 해당하는 관련 법률을 위반하지 않도록 주의해야 한다.


⑥ 클라우드 서비스 오류 및 장시간 중단 등 서비스 장애에 대비해 중요 정보는 정기적으로 반드시 백업해야 한다. 클라우드 서비스 제공자나 이용자 입장에서의 정보보호 고려사항에 대한 세부내용은 방송통신위원회, 한국인터넷진흥원에서 발간한 ‘클라우드 서비스 정보보호 안내서(’11.12)를 참고하면 된다.

(장철순 한국인터넷진흥원 정보보호기술개발팀 선임연구원/jangcs99@kisa.or.kr)


A-3. 방송통신위원회에서 발표한 민간 클라우드 도입에 대한 가이드라인은 기업의 정보전략 또는 정보기술 책임자가 클라우드 기본 모형에 가상화 기술을 적용해 클라우드 시스템/서비스 도입에 필요한 일반적 절차와 기술요소, 관리·운영에 필요한 요소들을 제시했다. 보안과 관련된 필수 사항은 다음과 같다.


① 클라우드 서비스의 데이터를 안전하게 보호/관리하기 위해 데이터 백업, 복구, 반환, 폐기 등 필요한 사항들을 정의하여 데이터 관리 정책을 수립하고, 이를 문서화하고 있는가?


② 정보보호정책은 관련 법령에서 요구하는 사항을 정의하고 그에 대한 대책을 적용하고 있는가?


③ 해당 직무를 원활히 수행하기 위해 적절한 규모의 인력과 전문성을 갖춘 담당자가 배치되어 있는가?


④ 클라우드 시스템에 대한 접근을 통제하기 위해 공식적인 사용자 등록 및 해지, 데이터베이스 관리와 관련하여 프로세스를 마련하고 있는가?


⑤ 외부망을 통한 클라우드 시스템 관리를 제어하거나 강력한 사용자 인증을 규정하고 실시하는가?


⑥ 이용자 패스워드 관리 프로세스를 마련하고 이행하고 있는가?


⑦ 정보보호 교육 및 훈련 계획을 수립하고, 이를 문서화하고 있는가?


⑧ 제3자에 의해 정보자산에 대한 접근이 이루어지는 경우 클라우드 서비스 제공자의 정보보호정책 및 필수 보안요건을 포함하여 계약이 체결되었는가?


⑨ 보호 구역에 대한 물리적 보안대책을 마련하고, 이에 따라 출입기록 관리 등 접근통제를 실시하고 있는가?


⑩ 보안 사고의 신속한 인지 및 대응을 위해 내·외부 유관 기관과의 협조를 통한 침해사고 대응체계가 구축/운영되고 있는가?

(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>