개인정보와 보호와 활용을 ‘양날의 검’으로 비유하는 것은 적절하지 못하다. 돈이 되는 ‘고급 개인정보’를 훔치려는 사이버 범죄자들이 늘고 있다. 이에 대응하기 위해서는 개인정보를 철저하게 보호해야 한다. 그러나 개인화 서비스가 발달한 현재, ‘개인정보 보호’에만 집중하면 경쟁력있는 서비스를 제공하지 못한다. 개인정보를 안전하게 보호하면서 적법하게 활용할 수 있는 환경이 시급히 필요하다.<편집자>
“금융정보도 클라우드 이용 가능”
클라우드는 비즈니스에서 떼어낼 수 없는 핵심 IT 인프라로 자리 잡았다. 스타트업, 게임사, 포털, 인터넷 쇼핑몰 등 인터넷 기반 비즈니스는 거의 대부분의 비즈니스가 클라우드에서 운영되고 있으며, 대형 제조사, 글로벌 기업들도 상당히 많은 비즈니스를 클라우드로 전환했다.
가장 보수적인 금융기관도 클라우드로 전환을 서두르고 있다. 금융위원회는 7월 ‘금융권 클라우드 이용 확대방안’을 발표하고 개인정보·금융정보 등 민감한 정보까지 클라우드로 전환할 수 있는 길을 열었다. 이를 위한 보안 가이드라인을 마련하는 등의 후속절차가 필요하지만, 클라우드를 통한 금융시장 혁신을 끌어내고자하는 금융당국의 의지를 강력하게 피력한 만큼 연내 구체적인 가이드라인이 발표될 것으로 기대된다.
공공기관도 클라우드 전환에 속도를 내고 있다. IaaS 사업자를 위한 클라우드 보안인증을 획득한 KT, 네이버비즈니스플랫폼(NBP), 가비아, NHN엔터테인먼트, LG CNS가 공공 클라우드 시장 확장을 위해 적극 나서고 있다. 정부는 내달 SaaS 사업자를 위한 인증 기준을 발표하고 후속조치에 돌입하는 한편 PaaS를 위한 인증 기준 마련도 서두르겠다고 설명하고 있다.
클라우드 전환이 가속화되면서 개인정보 보호 문제는 더 심각하게 불거진다. 섀도우 클라우드에 저장되는 섀도우 데이터 중 민감한 개인정보가 포함돼 있을 가능성이 높다. 이러한 클라우드는 보안정책을 지키지 않으며 접근통제가 미비하며, 사용 후 제대로 삭제하지 않고 방치하게 된다.
사이버 범죄자들은 탈취한 계정정보를 이용해 관리되지 않은 클라우드에 접속하면 별다른 노력 없이 쉽게 개인정보를 훔칠 수 있다. 훔친 개인정보를 인질로 삼아 기업/기관을 협박할 수 있으며, 또 다른 범죄에 개인정보를 이용할 수도 있다.
클라우드 가시성 확보해 민감정보 보호
통제되지 않은 클라우드로 개인정보가 이동하는 것을 막기 위해서는 전체 개인정보에 대한 투명한 가시성과 강력한 통제 정책이 적용돼야 한다. 특히 SSL 암호화 트래픽에 숨겨 몰래 빠져나가는 개인정보를 제어할 수 있는 탐지 기술이 필요하다.
소만사는 개인정보 보호 솔루션에 SSL 복호화 솔루션을 통합시켜 성능저하 없이, 관리 복잡성을 높이지 않으면서 암호화 트래픽을 통제할 수 있다. 또한 클라우드, 모바일, 엔드포인트, 네트워크 전반에서 개인정보의 이동을 모니터링하고 이상행위를 차단하는 기술을 적용하고 있다.
수산아이앤티는 하이퍼바이저에 보안모듈을 설치해 게스트 OS와 애플리케이션에서 일어나는 이상행위를 감시하고 통제하는 ‘이레드(eRed)’ 솔루션으로 가상화·클라우드의 데이터 침해를 막을 수 있다고 주장한다. VMI(Virtual Machine Instrospection) 기술을 이용해 화이트리스트 방식으로 VM을 보호하는 이레드는 강력한 보안 통제와 함께 유연한 비즈니스 운영이 필요한 업무에 적용될 수 있다.
정회찬 수산아이앤티 수석연구원은 “이레드는 보호할 파일과 접근을 허용할 프로세스, 사용자를 설정해 중요 데이터 유출, 변조, 훼손을 방지할 수 있으며, 실시간 로깅·모니터링으로 보안위협 시도에 즉시 대응할 수 있다”며 “하이퍼바이저 단에서 애플리케이션을 제어하기 때문에 공격자는 이레드를 무력화 할 수 없다”고 설명했다.
클라우드로 규제준수 업무 간소화
클라우드로 규제준수 업무를 간소화 할 수 있는 서비스도 등장했다. 팔로알토네트웍스가 인수한 에비던트아이오(Evident.io)의 ‘에비던트’는 단일 대시보드에서 클라우드 전반의 보안 환경을 파악하고 잘못된 구성과 취약점을 탐색하며, 보안 규정을 준수하도록 돕는다. 에비던트아이오는 미국 중앙정보국(CIA) 지원을 받은 클라우드 보안 스타트업이다.
오춘 테젤(Orcun Tezel) 팔로알토 네트웍스 APJ 시스템엔지니어링 수석 디렉터는 “클라우드 사용 시 기업 내부 IT 시스템과 같은 컴플라이언스를 유지할 수 있는지 여부는 클라우드 성공을 가르는 지름길이다. 사용자 계정과 비밀번호를 보호하고, 데이터의 통제와 가시성을 유지하는 일 등을 철저하게 관리해야 한다”며 “에비던트아이오는 클라우드 전체에서 컴플라이언스 요건을 모니터링하고 위반을 방지해주는 서비스이다. 8월 정식 출시할 예정이며, 한국 기업들도 실제 이 서비스에 관심을 보이고 있다”고 말했다.
한편 팔로알토네트웍스는 멀티-하이브리드 클라우드를 포괄하는 통합 보안 전략으로 ‘시큐리티 오퍼레이팅 플랫폼’을 출시하고 클라우드 보안 시장 공략을 강화한다. 이 플랫폼에는 보안 애플리케이션 장터라고 할 수 있는 ‘애플리케이션 프레임워크’이 포함돼 있다. 팔로알토네트웍스의 다양한 보안 애플리케이션, 써드파티와 파트너, 고객의 애플리케이션이 긴밀하게 통합 운영되며, 위협 인텔리전스 데이터와 네트워크, 엔드포인트, 클라우드의 위협 데이터가 연계돼 하이브리드 클라우드 전반의 위협을 관리할 수 있다.
