본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

클라우드 컴퓨팅 보안을 위한 정보보호 고려사항

2017.06.15

IT분야에서 모두가 클라우드를 이야기하고, 업계에서 중요한 화두로 부각된지도 꽤 오랜 시간이 흘렀습니다. 그런데도, 클라우드가 무엇인지 물어보면, 명확하게 그 내용을 설명하고 있지 못하고 여러 전문가의 시각에 따라 다양하게 정의하고 있습니다. 이번 글에서는 ‘클라우드’에 대한 정의와 기반 기술, 클라우드 서비스 모델 및 서비스 유형, 클라우드 보안 위협, 클라우드 서비스 제공자 및 이용자의 정보보호 고려사항에 대해서 이야기하고자 합니다.

클라우드 컴퓨팅의 정의

클라우드 컴퓨팅은 1965년 존 메카시(John McCarthy, 1927~2011)가 “컴퓨팅 환경은 공공시설을 쓰는 것과도 같을 것”이라는 개념을 제시하면서부터 유래하였으며, 현대적 의미의 ‘클라우드 컴퓨팅’이라는 용어는 2006년 구글의 직원인 ‘크리스토프 비시글리아(Christophe Bisciglia)’가 유휴 컴퓨팅 자원에 대한 활용 제안에서 처음 사용했습니다. 이어서, 2006년 인터넷쇼핑몰 서비스인 아마존닷컴이 AWS(Amazon Web Service)라는 자회사를 세우고 클라우드 컴퓨팅 서비스를 시작했습니다.

물론, 그 이전에도 컴퓨팅 리소스를 구매하거나 소유하지 않고, 필요할 때마다 사용하는 방식인 유틸리티(Utility) 컴퓨팅이나 높은 컴퓨팅 리소스를 필요로 하는 작업 수행을 위한 방식이 있었습니다.

분산된 다양한 시스템과 자원을 공유하여 가상의 슈퍼컴과 같이 활용하는 방식인 GRID 컴퓨팅과 기업용 응용서비스를 호스팅 서버에 설치•운영하면서 이용료를 받는 서비스인 ASP(Application Service Provider) 서비스가 이미 있었으나, 이제는 이 모든 개념이 클라우드 컴퓨팅이라는 용어로 혼합되어 진화, 발전하고 있습니다. 여러 전문가, 문헌, 기관에서는 클라우드를 아래와 같이 정의하고 있습니다.

위와 같이 다양한 클라우드 컴퓨팅 정의에 대한 공통적인 개념을 요약하자면, 가상화를 통한 IT 인프라의 자동화 시스템으로 사용자가 네트워크를 통해 빠르고, 다양하며, 유연한 확장성을 가진 IT 자원들을 쓰고 싶은 만큼 쓰고, 사용한 만큼 지불하는 것이라고 정의할 수 있습니다.

클라우드 컴퓨팅 기반기술

클라우드 컴퓨팅 인프라를 구성하고 클라우드 서비스를 제공하기 위한 필수적인 기술에는 하이퍼바이저(hypervisor)로 알려져 있는 서버 가상화 기술, 가상 라우터(Virtual Router)를 기반으로 한 네트워크 가상화 기술, 스토리지 클라우드를 위한 분산 스토리지 및 파일 동기화 기술, 클라우드 운영 관리를 담당하는 기술 및 사용자 권한 관리, 셀프 서비스 포탈 등이 포함됩니다. 기반 기술은 아래와 같습니다.

① 서버 가상화 – Hypervisor

서버 가상화는 독립적인 CPU, 메모리, 네트워크 및 운영 체제를 갖는 여러 대의 가상 머신(Virtual Machine)들이 물리적인 서버의 자원을 분할해서 사용하는 기술로 물리적 하드웨어 상에서 가상 머신에 대한 운영을 담당하는 플랫폼을 하이퍼바이저(Hypervisor)라고 통칭하며 VMM (Virtual Machine Monitor)라고도 부릅니다. 서버 가상화 기술은 1960년대부터 메인프레임의 논리적 파티션(Logical Partition)이라는 형태로 적용되기 시작하여 Unix 상에서도 널리 활용된 기술입니다.

② 네트워크 가상화 – 가상 라우터(Virtual Router)

클라우드 환경에서는 다양한 사용자가 원하는 때에 원하는 IT 자원을 받게 되는데, 이때 각 사용자별로 네트워크를 격리하고, 격리된 네트워크가 인터넷과 통신을 하도록 하는 가상 라우터가 가장 중요한 역할을 하게 됩니다.

예를 들어, 클라우드 상에서 A라는 사용자가 자신이 사용할 가상 머신을 생성하게 되면 이에 대해서는 사설 IP가 VLAN으로 자동으로 할당되며, 이렇게 할당된 사설 IP 대역의 A 사용자 VM은 자신에게 할당된 가상 라우터인 Gateway VM A를 통해서 인터넷과 통신을 수행하게 됩니다. 마찬가지로 B 사용자는 자신의 VM 간에만 격리(isolatiton)된 VLAN으로 통신을 주고 받으며 Gateway VM B를 통해서 인터넷과 연결됩니다.

이때 물리적인 네트워크 인터페이스는 공유하더라도 각 사용자 간의 VM은 서로 다른 사용자의 VM과 통신이 격리되어 서로 통신이 차단되며, 가상 라우터는 격리된 사용자 별 VLAN 대역 내에서 내부 VM의 IP에 대한 할당을 수행하는 DHCP 서버, 외부 통신을 위한 NAT, VLAN에 속한 VM의 DNS 서비스 및 필요시에 로드밸런싱 기능까지를 수행하게 되고, 격리된 VLAN은 가상 스위치(Virtual Switch)를 통해 연결됩니다. 이와 같은 네트워크 격리 및 가상 라우터 지원을 포괄하는 기능을 네트워크 가상화라고 합니다.

③ 분산 스토리지 및 파일 동기화

클라우드 디스크(또는 스토리지 클라우드) 서비스에서는 사용자별로 일정량의 저장 공간을 인터넷상에서 제공하고 있습니다. 이러한 서비스에서는 사용자의 수가 증가함에 따라 스토리지 용량도 지속적으로 증가하게 되는데, 단일한 스토리지로는 지속해서 증가하는 대용량 저장 공간을 제공하는 것이 불가능하게 됩니다. 따라서 단일 스토리지를 네트워크로 연결하여 대용량의 저장 공간을 제공하는 분산 스토리지가 필요하게 됩니다.

분산 스토리지에서는 단일한 스토리지 서버를 선형적으로 연결하여 용량이 늘어나는 형태(Scale-out)로 구성되며, 분산 스토리지를 통해 클라우드에서는 파일 서버를 네트워크를 통해서 연결하고 이를 논리적으로 하나의 스토리지처럼 사용하게 됩니다.

스토리지 클라우드에서는 대용량의 분산 스토리지에 데이터를 저장하고 다양한 디바이스(모바일, 컴퓨터, 태블릿 등)에서 이를 다운로드하고 사용하기 위하여 파일 동기화 기술도 필수적으로 요구됩니다.

④ 클라우드 운영 관리 – Stack

서버 가상화 기술, 네트워크 가상화 기술 및 분산 스토리지 기술이 클라우드 구성 아키텍처 상에서 가상화 Layer의 기본이 되는 기술이라고 한다면 Stack은 프로비저닝 및 클라우드 서비스 관리 Layer를 포괄하는 기술로, 주요 기능은 가상 서버의 생성 및 관리, 가상 네트워크 관리, 사용자 및 그룹 관리, 클라우드 운영 관리 및 미터링을 포함한 클라우드 통합 모니터링을 포괄하는 기술이라고 할 수 있습니다.

일반적으로 Stack에는 사용자와 관리자를 위한 셀프 서비스 포털이 포함되는데, 셀프 서비스 포털에서는 사용자가 직접 가상 자원 생성과 네트워크 할당을 직접 수행하고 관리자는 클라우드 전체에 대한 운영 관리 및 모니터링을 수행합니다.

셀프서비스 포탈 및 계정 관리와 더불어 클라우드에서 가장 중요한 기술 중의 하나가 권한 관리로, 클라우드에서는 관리자에서부터 클라우드를 사용하는 일반 사용자에 이르기까지 각 구성원 및 그룹의 권한을 세분화하고 권한에 따라서 클라우드에서 수행할 수 있는 역할을 명확하게 구분할 수 있어야만 합니다.

다양한 클라우드 컴퓨팅 정의에 대한 공통적인 개념을 요약하자면, 가상화를 통한 IT 인프라의 자동화 시스템으로 사용자가 네트워크를 통해 빠르고, 다양하며, 유연한 확장성을 가진 IT 자원들을 쓰고 싶은 만큼 쓰고, 사용한 만큼 지불하는 것이라고 정의할 수 있습니다.

클라우드 서비스 모델 및 서비스 유형

클라우드는 서비스 제공의 관점에서 크게 어떤 서비스를 하느냐 하는 서비스 형태에 따라서 IaaS (Infrastructure-as-a-Service), PaaS(Platform-as-a-Service) 및 SaaS(Software-as-a-Service) 세 가지로 분류할 수 있습니다.

l IaaS, PaaS 그리고 SaaS
(출처: http://www.silverlighthack.com/post/2011/02/27/IaaS-PaaS-and-SaaS-Terms-Explained-and-Defined.aspx)

클라우드 서비스 제공 대상에 따라서 공용(Public) 클라우드, 사설(Private) 클라우드 및 하이브리드 클라우드로 분류할 수 있습니다.

l Cloud Compution Types
(출처: https://upload.wikimedia.org/wikipedia/commons/8/87/Cloud_computing_types.svg)

서비스 유형별 특징은 아래와 같습니다.

① 공용 클라우드(Public Cloud)

불특정 다수의 개인이나 기업을 대상으로 제공되는 클라우드를 뜻합니다. 일반적으로 회원 가입을 한 후 클라우드에서 제공하는 서비스(IaaS, PaaS, SaaS)를 사용한 후 사용량에 따라서 비용을 지불하는 클라우드로 Amazon, 통신사 및 포털이 제공하는 클라우드 서비스가 여기에 속합니다.

② 사설 클라우드(Private Cloud)

특정 기업이나 기관에서 직접 클라우드를 구축하여 내부 사용자들에게만 클라우드 서비스를 제공하는 폐쇄형 클라우드라고 보면 되며, 대표적으로 국내의 대형 IT 서비스 업체인 LG CNS , 삼성 SDS 및 SK C&C 등이 구축하여 그룹 내 관계사들에게 비용을 받고 서비스를 제공하는 클라우드가 여기에 해당합니다.

③ 하이브리드 클라우드(Hybrid Cloud)

공용 클라우드와 사설 클라우드가 혼용된 서비스로 사설 클라우드를 구축하여 사용 중인 특정 기업이 클라우드 서비스 중의 일부분(예를 들면 백업 저장 장치나 대외 홍보용 웹서버 등)은 공용 클라우드 업체에서 서비스를 받으면서 자신들의 사설 클라우드와 연동하여 사용하는 방식을 하이브리드 클라우드라고 합니다.

또한, 사설 클라우드를 구축한 IT 서비스 업체가 동일한 클라우드 인프라 상에서 내부 서비스와 외부 서비스를 동시에 수행하는 것도 하이브리드 클라우드의 일종으로 볼 수 있습니다. 그리고 공용 클라우드 서비스 업체에서 특정 인프라 부분을 폐쇄형으로 분리하여 특정 사용자의 내부용으로만 제공하는 것도 하이브리드 클라우드 서비스의 한 형태입니다.

클라우드 보안위협

클라우드 컴퓨팅은 사용자가 프로그램을 PC에 설치할 필요 없이 인터넷 환경만 구축되어 있다면 언제든 원하는 서비스를 이용할 수 있고, 데이터가 온라인상에 있기 때문에 여러 기기와 연동이 잘 된다는 장점이 있고, 또한 소프트웨어를 기기마다 설치할 필요가 없으므로 IT 비용의 절감에도 많은 도움이 됩니다.

반면에 클라우드 컴퓨팅의 저장 공간이 충분하다고 하더라도 사용자가 모든 애플리케이션을 지원받지는 못하므로, 애플리케이션의 설치나 서비스를 지원받을 시에 어려움이 따를 수 있고, 서버가 공격받으면 개인 정보의 유출이 우려된다는 단점을 안고 있습니다. 이러한 정보의 유출과 개인정보와 같은 보안 문제는 클라우드 컴퓨팅 서비스를 위협하는 가장 심각한 문제로 제기되고 있습니다.

2012년 KT 유클라우드(uCloud) 서버 스위치와 스토리지 오작동으로 인한 서비스 장애 발생, 2013년 어도비 서버 해킹으로 290만 명 개인정보 유출, 에버노트의 클라우드 서비스 해킹으로 개인정보 유출, 최근의 아이클라우드의 해커에 의한 개인정보 삭제 협박 등은 모두 클라우드 관련 주요 보안사고로 클라우드 보안이슈는 끊임없이 발생하고 있습니다.

클라우드 컴퓨팅의 보안은 크게 기술적 보안과 운영적 보안으로 분류할 수 있습니다. 주로 서비스 제공자와 관련된 기술적인 보안에는 인프라, 데이터, 스토리지, 통신이나 애플리케이션에 관련된 보안으로 구성되고, 운영적 보안은 서비스 제공자와 이용자 모두와 관련된 보안으로 서비스 정책 수립이나 조직의 운영 방안, 자산 통제, 사고 관리, 서비스 연속성과 같은 요소들이 포함되어 있습니다.

이러한 클라우드 컴퓨팅의 보안과 관련하여 CSA(Cloud Service Alliance)에서는 2010년 3월 클라우드 컴퓨팅의 위협을 정리한 보고서 ‘Top Threats to Cloud Computing V1.0’을 발표하였고, CSA에서 발표된 ‘클라우드 컴퓨팅 7대 위협’을 통해 클라우드 컴퓨팅의 보안을 위협하는 요소는 무엇이 있는지와 이러한 위험을 방지하기 위한 대책에 대하여 알아보도록 하겠습니다.

Top Threats to Cloud Computing V1.0
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

클라우드 서비스 제공자 및 이용자의 정보보호 고려사항

클라우드 서비스 제공자가 안전한 서비스를 이용자(개인 이용자, 기업 이용자, 이용 사업자 – 클라우드 서비스를 활용하여 고객에게 서비스 제공)에게 제공하기 위한 정보보호 정책의 주요 내용은 아래의 표와 같습니다.

l 클라우드 서비스 정보보호 안내서(출처: 2011.10, KISA 안내•해설 제2011-8호)

클라우드 서비스를 도입•이용하고자 하는 기업 이용자는 클라우드 서비스 특성 및 위협 등에 대한 이해를 바탕으로 서비스 선택 및 이용에서 요구되는 정보보호 고려사항은 다음과 같습니다.

l 클라우드 서비스 정보보호 안내서(출처: 2011.10, KISA 안내•해설 제2011-8호)

또한, 클라우드 서비스를 이용하고자 하는 개인 이용자는 클라우드 서비스 이용 흐름에 따라 서비스 선택, 안전한 이용을 위하여 요구되는 정보보호 고려사항은 다음과 같습니다.

l 클라우드 서비스 정보보호 안내서(출처: 2011.10, KISA 안내•해설 제2011-8호)

지금까지 클라우드 컴퓨팅의 정의와 유형을 소개하고, 클라우드 컴퓨팅에서의 보안위협 및 위험 방지 대책과 클라우드 서비스 제공자 및 이용자의 정보보호 고려사항에 대해 설명 드렸습니다.

클라우드 컴퓨팅은 저비용으로 고성능의 정보처리 기능을 활용할 수 있으며, 시스템 구축•개발 기간을 단축하고 유연하게 확장할 수 있는 등 많은 장점이 있습니다. 하지만 이번 글을 통해 동시에 보안 위협도 존재함을 인식하고 클라우드 구축 및 이용 시 앞서 말씀드린 고려 사항도 함께 생각할 수 있는 시간이 되었으면 합니다.

글 l LG CNS 보안컨설팅팀

[관련 글 보기]

  • 최신 보안위협에 대한 대응방안은?
  • [시큐어 코딩] 해킹 당했다. 어디서부터 잘못된 거지?
  • 보안 인력 Skill Set

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

목록

관련 아티클

챗봇과 대화를 할 수 있어요