클라우드 보안과 정보보호 공시제도, 올해 하반기 최대 이슈 논의
한국CISO협회, 2016년 8월 정보보호최고책임자(CISO) 포럼 개최

[보안뉴스 김태형] 올해 하반기 CISO가 주목해야 할 정보보호 분야 최대 이슈인 ‘클라우드 보안 현황과 적용 방안’, 그리고 ‘정보보호 공시제도’에 대해 논의하는 자리가 마련됐다. 한국CISO협회(회장 임종인)는 17일 서울 프라자호텔에서 2016년 8월 CISO 조찬 포럼을 개최하고 클라우드 보안 현황 및 적용사례와 정보보호 공시제도에 대한 정보를 공유하고 의견을 교환했다.


이날 포럼은 지난 6월 ‘한국CISO협회’로 이름을 바꾼 후 처음 개최되는 포럼으로, 임종인 한국CISO협회 회장은 인사말을 통해 “지난 한달 동안 무더위로 인해 포럼은 쉬었지만 많은 일들이 있었다”면서 “인터파크가 회원 개인정보를 유출시켰는데 이는 관련 법이 개정·강화되고 처음 발생한 사고로, 피해자들의 집단손해배상 소송 등이 이슈가 될 것으로 보인다”고 말했다.

이어서 “인터파크는 각종 보안 솔루션을 갖추고 있었는데도 불구하고 보안사고가 발생한 것으로 알려졌다. 보안팀 직원도 15명이나 된다고 하는데 이번 사고가 보안담당자들의 실수였는지, 정말 막을 수 없었던 불가항력적 사고인지, 여러 가지 사항들을 따져봐야 한다. 관련해서 우리 CISO협회에서도 인터파크 사례를 분석해 대응방안 마련을 위한 논의가 필요하다”고 강조했다.

이날 첫 번째 강연에서 미래창조과학부 정보보호기획과 송창종 사무관은 ‘정보보호 공시제도 소개와 CISO가 준비해야 할 내용’을 주제로 ‘정보보호산업진흥법’에 따른 정보보호 공시제도의 내용·방법·절차 등을 소개했다.

송 사무관은 “정보보호 공시제도는 정보보호산업진흥법에 의한 자율제도로서 미래부가 여러 업계 담당자들과 관계자들의 의견을 수렴해 마련한 가이드라인에 따라서 진행하면 된다”면서 “공시제도는 주주 등 기업 관련자들이 의사결정에 필요한 정보보호 현황을 요구하고, 공시주체가 해당정보의 자발적인 생산·유통 기반을 조성할 수 있도록 유도하기 위한 목적”이라고 설명했다.

이와 관련해서 이날 포럼에 참석한 CISO들은 “기업의 CISO들이 이와 같은 정보보호 공시를 할 수 있는 권한이 없다. 공시는 주로 CFO의 권한인데, 정보보호 공시제도는 CISO가 정보보호 공시를 주관해서 경영자의 확인을 거쳐야 한다고 되어 있다. 하지만 CISO는 이러한 업무 권한이 없어 문제”라면서 실효성에 의문을 제기했다. 또한, 이들은 “이러한 정보보호 공시제도가 시장에서 영향력 있는 제도로 자리 잡기 위해서는 개선·보완해야 할 것들이 많다. 특히, 현직 CISO들의 보다 긴밀한 협의가 필요하다”고 강조했다.

이어서 KT 홍원규 상무는 ‘클라우드 보안 현황 및 적용사례와 관련 법제’에 대한 주제발표를 통해 클라우드 시스템의 보안성이 향상되고, 정부가 클라우드 발전 정책을 추진함으로써 공공부문에서 클라우드 도입이 확산되고 있다고 밝혔다.

홍원규 상무는 “클라우드에 대한 막연한 불안감이 있었다. 하지만 베리타스 분석 자료에 의하면, ‘클라우드 도입을 주저하게 하는 가장 큰 이슈이면서 가장 큰 만족감을 주는 원인은 보안’이라며 ‘클라우드가 이렇게 안전한 줄 미리 알았더라면 일찍 도입했을 것’으로 나타났다”고 말했다.

홍 상무에 따르면 클라우드의 특징인 자원공유와 통합관리의 이유로 보안에 취약하다는 인식이 존재한다. 클라우드 보안에 대한 대표적 오해로, △나의 데이터에 다른 사람이 접근 가능하다 △다른 시스템을 통해 나의 시스템을 해킹할 수 있어 더 위험하다 △다른 서비스의 디도스 공격 시 나의 서비스도 같은 영향을 받을 위험이 있다 △디도스, 해킹 등 외부 공격에 더욱 취약하다 △데이터 전송 시 유실/유출 리스크가 크다 △관리와 운영의 통합으로 클라우드 서비스 관리자가 모든 고객의 데이터에 접근·열람 가능하다 등을 제시했다.

하지만 클라우드는 HW를 여러 명이 공유해도 네트워크를 고객별로 분리해 물리적으로 분리된 것과 동일한 보안성을 갖고 있으며, 퍼블릭망 사용환경에서도 디도스 방어 및 침입차단 시스템을 구축해 외부 공격을 사전 차단하기 때문에 자체 구축 시 보다 더욱 안정적이다.

이에 홍 상무는 “KT가 제공하는 클라우드서비스는 고객별로 분리된 서비스 환경을 구성해 고객 상호간 시스템 접속 경로 자체가 없다. 이로 인해 나의 데이터에 접근이 불가능하고 한 서비스에 디도스나 해킹 공격이 있다고 해도 해당 서비스에만 영향을 미칠 뿐이며, 다른 서비스로 해당 공격이 넘어갈 수 없다”고 설명했다.

또한, 그는 “자체적으로 클라우드를 구축해도 해당 서비스가 웹서비스라면 퍼블릭망을 사용한다는 이유만으로 클라우드가 더 취약하다고 말할 수 없으며, 외부망과 연동없이 사내망으로만 사용할 경우에도 전용선/VPN으로 구성해 동일한 환경을 제공한다”면서 “기업과 기관에서 보다 안정적인 클라우드 서비스를 이용하기 위해서 고객은 자사 서비스에 대한 침입·전파·정보유출 방지책을 적극 확보할 필요가 있다”고 강조했다.

한편, 정부는 클라우드 이용 확산을 위해 민간 클라우드 이용 규제 대응, 공공부문 클라우드 이용 활성화, 민간 분야 클라우드 확산 등의 정책을 추진하고 있다. 특히, 행자부와 미래부가 공동으로 공공기관이 민간 클라우드를 안전하게 이용할 수 있는 기준과 절차를 정한 ‘공공기관 민간 클라우드 이용 가이드라인’을 지난 7월 마련했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>