[데이터넷] 비즈니스를 클라우드로 이전하면 반드시 데이터 보호 전략을 클라우드에 맞게 재설계해야 한다. 클라우드는 전통적인 의미의 보안 경계가 없어지며 관리의 사각지대가 늘어나 ‘제로 트러스트’ 보안모델 기반 보안 체계를 다시 만들어야 한다. 그 첫번째는 데이터를 암호화 하는 것이다. 데이터 암호화는 시스템 오버헤드를 발생시키기 때문에 속도가 중요한 시스템에 적용하지 않는다.
데이터를 암호화하기 어려운 환경도 있다. 구글시트와 같이 웹링크로 유통되는 SaaS는 암호화가 어려우며, 일부 SaaS 업체에서는 원활한 협업을 위해 암호화를 하지 않고 유통할 것을 권고한다.
암호화 되지 않은 평문 데이터를 클라우드에 올리는 것은 위험하다. 클라우드는 간단한 설정 실수만으로도 데이터가 대중에게 공개될 수 있으며, EU GDPR과 같은 개인정보보호법 위반으로 막대한 벌금을 물 수 있다.
영국항공은 해킹으로 50만여명의 고객정보를 유출한 혐의로 영국 개인정보감독기구(ICO)로부터 1억8340만파운드(약 2700억원)의 벌금을 부과 받았으며, 대형 호텔 그룹 매리어트인터내셔널은 1억2400만달러(약 1460억원)이 벌금을 부과 받았다. 이 같은 사고가 클라우드에서 발생할 가능성은 매우 높으며, 그로 인해 천문학적인 벌금과 집단소송에 휘말릴 가능성은 언제든 열려 있다.
CSP “고객 데이터 보호 위해 적극 노력”
클라우드 서비스 사업자(CSP)들은 책임공유모델에 따라 자사 서비스에 저장된 데이터를 안전하게 지킬 의무가 있다. 그러나 CSP의 책임은 공격자가 CSP 인프라에 침투해 데에터를 탈취하지 않도록 보호하는 것이지, 사용자의 부주의로 인해 발생하는 사고에 대해 책임을 지는 것은 아니다. 대신 CSP는 사용자에게 자사 데이터 암호화와 키관리 서비스를 사용하거나 써드파티 솔루션을 이용해 데이터를 보호할 것을 권고한다.
노형준 오라클 아시아태평양지역 보안부문 상무는 “책임공유 모델은 CSP와 사용자의 보안 책임을 더 강화하기 위한 것이다. CSP는 고객의 데이터를 안전하게 보호하기 위해 노력하면서 사용자들도 보안 관리를 할 수 있도록 지원하고 있다”며 “오라클 클라우드 인프라스트럭처(OCI) 사용 고객이라면 자신이 선택한 보안 솔루션으로(Bring your own License) OCI의 데이터를 보호할 수 있다. 또한 오라클이 제공하는 PaaS ‘오토노머스DB’로 보호할 수도 있다”고 설명했다.
오토노머스 DB는 서비스 장애 없이, 클라우드 속도를 지원하며 데이터 암호화, 토큰화, 마스킹이 가능하며, DB 시스템에 대한 자동 패치, 취약점 탐색, 침해탐지와 대응가지 가능한 자율주행 데이터 보호 플랫폼이다. 더불어 하반기 하이브리드 클라우드의 데이터를 모니터링하고 잘못된 구성이나 설정 오류, 사용자 실수, 정책 미비 등을 모니터링하는 ‘시큐리티 어세스먼트’ 서비스를 출시할 예정이다. 이 서비스는 하이브리드 클라우드 전반에서 데이터의 이동과 변화를 추적해 사고 위협 가능성과 컴플라이언스 위반 등에 대응할 수 있도록 돕는다.
암호화 만큼 중요한 키 관리
CSP가 제공하는 암호화와 키관리 기술은 자사 서비스 내에 저장된 데이터를 보호할 수 있지만, 다른 클라우드나 외부 서비스와 연계가 원활하지 않다. CSP의 암호키는 클라우드 외부로 보낼 수 없으며, 암호키를 클라우드에서 백업하지 않고 분실하면 데이터를 볼 수 없게 된다.
탈레스 CPL 사업부서의 제프 첸(Jeff Chen) 아시아태평양 매니저는 “클라우드의 속도, 유연성, 민첩성, 편의성을 해치지 않으면서 서비스 전체에서 중단 없이 데이터를 보호하기 위해서는 기업이 데이터 오너십을 갖고 통제하는 것이 필용하다”고 말했다.
제프 첸 매니저는 멀티 클라우드에서 이상적인 데이터 보호 방법으로, 모든 데이터를 암호화하고 가까운 곳에 키를 두되, 이 키에 대한 마스터키는 기업 내부에서 통제하는 것을 들었다. 마스터키는 하드웨어 보안 모듈(HSM)과 같은 안전한 저장소에 보관하고 데이터와 키에 대한 접근 권한을 강력하게 통제할 수 있는 사용자 인증이 필요하다고 설명했다.
암·복호화는 CPU 집약적인 작업이기 때문에 속도가 느려질 수 있다. 암호화 데이터와 키를 가까이에 두면 속도저하를 최소화 할 수 있으며, 키에 대한 인증만을 사내에서 진행하는 방식으로 속도와 보안성을 모두 만족할 수 있다.
또한 데이터의 삭제 요건도 만족시킬 수 있다. 클라우드는 데이터 안전성을 보장하기 위해 여러 곳에 백업 데이터를 분산저장한다. 원본 데이터만 삭제한다해서 데이터가 완전히 삭제되는 것은 아니다. 데이터를 암호화 한 후 사내에서 보관중인 키를 삭제하면 해당 데이터는 완전히 삭제된 것으로 간주된다.
키를 사내에서 보관하면 클라우드 데이터에 대한 법적인 이슈에도 대응할 수 있다. 검찰이나 감사 조직이 클라우드 데이터를 조사하고자 할 때 CSP가 제공하는 키를 사용한다면 조사기관은 암호화된 데이터의 키를 CSP에 요구할 것이며, CSP는 이 요구에 응해야 한다. 마스터 키를 기업이 관리하고 있다면 수사기관은 기업에 데이터를 복호화 할 것을 요구할 것이며, 기업은 어떤 데이터가 조사받고 있는지 쉽게 파악하고 대응할 수 있다.
탈레스는 모든 종류의 데이터를 암호화하며, 안전한 키관리와, 세계 시장 점유율이 가장 높은 HSM 솔루션, 그리고 다양한 사용자 인증 솔루션을 공급하고 있으며, 멀티 클라우드 환경에서 데이터 보호를 성공적으로 수행하고 있는 다양한 산업군의 고객을 확보하고 있다.
