혼잡한 클라우드 도입 양상... 스스로 지키기 위한 노력들 일어나
더 엄격해지고 계약서에 꼼꼼하게 명시하고...다중인증 기본 될 수도

[보안뉴스 문가용] 이제 IT에 몸담고 있는 사람이라면 누구나 클라우드가 뭔지 이해하고 있을만한 때다. 정보보안에 몸담고 있는 사람이라면 아직 ‘보안에 그렇게 이상적인 플랫폼은 아니’라는 생각이 대부분일 것이다. 보안에 있어서 클라우드란 아직 ‘물음표’를 자아내는 이름이지만, 그럼에도 클라우드 때문에 변하는 보안 업계 내 움직임들이 있다. 클라우드가 그만큼 ‘보안을 이유로 거부’할 수 없는 현상이라는 뜻이다. 이 변화들을 정리해본다.


1. 보안, 더 엄격해지다
다중인증은 미사일 발사 기지에나 적용되던 것이었는데, 클라우드에 데이터를 저장하고 있는 기업들에게도 ‘기본 소양’이 되고 있다. 이처럼 클라우드로 옮겨간다는 건 기업이 보다 강력하고 엄격한 보안 정책 및 장치들을 적용해야 한다는 뜻이 되고 있다. 현재는 회사에 속한 임직원들을 넘어 파트너사에게까지도 다중인증을 거치도록 하는 분위기가 확산되고 있는데, 사용자 및 고객들에게도 이를 요구할 때가 머지 않은 것으로 보인다.

2. 감사를 받아야 할 때
IT 종사자들이라면 외주 서비스를 활용할 때 컴플라이언스 문제 때문에 여러 가지 감사를 먼저 하는 것이 상식이다. 즉, 해당 서비스 제공업체와 우리 회사가 계약을 맺는다고 할 때 법적으로 어긋나는 사항은 하나도 없나 꼼꼼하게 점검하는 것이다. 이는 보안 관리라는 회사 전략의 차원에서 매우 중요한 일이지만, 그 외주 서비스가 클라우드 업체라면 얘기가 조금 달라진다. 기술적으로 클라우드의 퍼포먼스를 감사한다는 게 단순한 일이 아니기 때문이다. 게다가 클라우드 업체들이 감사에 매우 비협조적이라는 설문조사도 등장했다. 클라우드를 감사하려면 특수한 기술과 제도적 장치가 추가적으로 필요하다. 클라우드 때문에 보안 감사도 변해가고 있다.

3. 암호화 정책은 무엇인가요?
보안 담당자들이 기존의 네트워크를 가로지르는 암호화된 트래픽을 모니터링 했듯이, 클라우드에서의 암호화된 트래픽 또한 주시해야 한다. 이는 클라우드 내 사용자의 권리와 책임에 대해 확실히 알고 있으며, 이를 철저하게 통제할 수 있다는 뜻이 된다. 누군가 암호화된 콘텐츠를 업로드 하거나 다운로드 한다고 했을 때 통제 규정에 대한 확실한 지식이 있다면 해당 행위가 수상한지 아닌지, 예외 규정이 적용되었는지 아닌지 판단하기가 쉬워지고, 그만큼 사건에 대한 대처가 빠를 것이다. 이는 방화벽에 새로운 정의를 내려줌으로써 가능해진다. 클라우드 덕분에 암호화에 대한 정책이 더 단단해지고 있다.

4. 모든 데이터가 평등하지는 않다
클라우드는 백업과 저장에 매우 용이하다. 게다가 비싼 것부터 저렴한 것까지 서비스도 다양하다. 선택의 여지가 넓다. 그렇기 때문에 곧잘 빠지는 유혹이 있으니, 민감한 정보든 아니든 한 곳에 똑같이 ‘때려넣는’ 것이다. 하지만 싸고 빠르게 저장할 곳이 많다고 해서 아무거나 닥치는 대로 집어넣는 건 어리석은 짓이다. 게다가 추후에 특정 기기나 데이터를 따로 관리하기 시작하면 쓸데없는 비용이 발생하기도 한다. 데이터는 중요도나 민감도에 따라 차등적인 가치를 부여해 관리해야 한다. 이에 따라 클라우드 서비스 업체들이 일부 단계별 보안을 적용하기 시작했다. 클라우드 때문에 데이터의 가치에 따른 단계별 보안이 더 확산되고 있다.

5. 큰 혼란의 시기
정보유출 사고가 발생한다면, 누구의 책임인가? 이걸 판단해내는 건 악명이 자자할 정도로 어려운 일이다. 최초 보고에서부터 고객들 및 관련 규제 기관에 알리고 복구 작업을 진행하면서 손해 배상에 필요한 법정 절차까지도 밟아나가는 모든 과정에서 숱하게 듣는 질문이고, 가장 답하기 어려운 부분이다. 그렇기 때문에 최근에는 아예 계약을 최초에 맺을 당시부터 이 부분을 정하고 넘어가라고 전문가들은 조언한다. 최소 ‘계약서’라는 근거마련은 할 수 있으니 시간을 절약할 수 있다는 것이다. 클라우드는 외주 업체와의 계약서 서명이 반드시 필요한 서비스다. 클라우드로 옮겨가는 업체들이 이 ‘책임’문제 해결을 위해 부지런히 계약내용을 고치고 있다고 한다.

6. 애플리케이션 보안도
애플리케이션 보안에 대해 보안 담당자들은 할 말이 많다. 개발자들이 보안의 기본수칙을 전혀 지키지 않아 애초에 취약점이 많은 상태로 소비자들에게 공개된다는 것이다. 그렇다면 클라우드 제공업체들이 제공하는 클라우드 앱이라고 해서 다를 것이 없다고 봐도 된다. 이는 클라우드 서비스 자체를 이용하는 것과는 또 다른 문제다. 집에 들어가려면 문을 열어야 하듯이, 클라우드 내부로 들어가려면 앱을 거쳐야 한다. 이 문제가 자꾸만 발생하면 클라우드 제공업자들에겐 사업적인 타격으로 이어질 수밖에 없다. 그래서 이미 몇몇 클라우드 업체들은 애플리케이션 코드 분석을 실시하고 있다.

7. 클라우드와 컴플라이언스
보안 담당자에게 컴플라이언스란? 골퍼에게 있어 천둥벼락과 같은 존재다. 하나도 반가울 것이 없다는 것이다. 법이나 필수로 정해진 각종 정책과 표준을 지키는 것은 중요하나, 그것들을 지키기 위해 들어가는 노력이 효과에 비해 터무니없이 크다. 게다가 최근 유럽연합에서의 데이터 프라이버시 정책(GDPR)이 바뀌면서 데이터를 아무데나 저장하는 게 금기시되는 분위기다. 즉, 클라우드에 모든 것을 저장할 수 있다는 기대감으로 클라우드 사업자와 계약을 하게 될 잠재 고객들이 ‘아닐 수도 있다’는 걸 반드시 기억해야 한다는 뜻이다. 데이터의 저장 위치에 대한 꼼꼼한 공부와 규정 검토가 기본적인 덕목이 되어가고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>