[데이터넷] 클라우드 타깃 공격의 목적은 기존 IT 환경을 노리는 것과 크게 다르지 않다. 대부분의 공격자들은 돈이 되는 데이터를 훔치거나 인질로 잡고 돈을 요구하기 위해 공격을 시도한다. 따라서 클라우드 보안의 첫 번째 단계는 보호해야 할 데이터를 파악하고 각각의 보안 수준에 따라 보안 정책을 만들고 운영 방안을 마련하는 것이다.
큰 틀에서 본다면, 데이터 보호 정책은 온프레미스와 다르지 않다. 중요한 데이터는 암호화하고, 키를 안전하게 관리하며, 외부로의 불법 유출이 일어나지 않도록 접근통제 하며, 주요 데이터에 비정상적으로 자주·대량으로 접속했는지 모니터링하는 정책이 기본으로 적용된다.
클라우드 데이터 보호는 이에 더해 글로벌 분산된 데이터 환경에서 가시성을 확보하고 전체 데이터에 대한 일괄적인 통제를 할 수 있어야 한다. 어떠한 경우에도 데이터에 대한 주인의식(Ownership)을 가져야 하며, 클라우드 사업자나 매니지드 사업자, 외부 아웃소싱 업체에게 데이터 통제권을 넘겨서는 안 된다.
쉽게 유출되는 클라우드 데이터
퍼블릭 클라우드의 데이터는 보호하기 어렵다. 현재 엔터프라이즈에서 사용하는 퍼블릭 클라우드는 1000개 이상이지만, 관리조직이 파악하는 클라우드는 100개에 이르지 못한다. 수백가지의 클라우드를 임직원이 무단으로 사용하면서 데이터를 옮기고 관리하지 못해 새어나가고 있다는 뜻이다.
퍼블릭 클라우드는 클릭 한 번으로 데이터 전체 공개가 가능하고, 접근통제 정책을 잘못 설정하거나 접근 권한을 관리하지 못해 유출되면 권한 없는 사용자도 중요 데이터에 접근할 수 있다. 또한 퍼블릭 클라우드에 데이터를 옮기면, 백업을 위해 글로벌 클라우드 리전에 여러 벌 분산 저장되는데, 어느 리전에 어떤 데이터가 백업돼 있는지 파악하지 못한다.
분산된 환경일수록 데이터에 대한 가시성을 확보하는 것이 중요하다. 그러나 수많은 데이터가 글로벌 데이터센터에 분산돼 있는 퍼블릭 클라우드에서 완벽한 가시성을 확보하는 것은 쉬운 일이 아니다. 따라서 클라우드의 데이터는 모두 암호화 한다는 원칙을 세우고, 암호화 하지 못하는 데이터에 대해 예외처리를 하며 철저하게 관리해야 한다.
데이터를 암호화 하지 않고 클라우드에 유통하는 것은 매우 위험한 일이다. 특히 개인정보 보호와 관련된 규제를 준수하는데 암호화는 필수다. 전 세계 개인정보 보호법은 데이터 주체의 주권을 강조하고 있다. 클라우드에서 데이터를 자유롭게 공유해 데이터 관리와 활용을 효율화하되, 데이터 소유자가 자신의 데이터에 대한 활용을 중단·삭제를 요구하거나 활용 범위 제한을 요청하면 이를 수용할 수 있어야 한다.
데이터 암호화, 키 관리가 핵심
데이터를 암호화 한다고 해서 모든 일이 해결되는 것도 아니다. 데이터 암호화는 키 관리가 핵심이며, 키는 암호화 데이터와 별도로 분리된 네트워크로 관리해야 한다. 엔터프라이즈 전략그룹(ESG)은 암호화 데이터와 키를 별도의 물리적 서버에 저장하거나 보안 계층이 추가된 네트워크의 다른 세그먼트에 저장해야 한다고 조언한다.
클라우드에 데이터를 암호화하고 같은 클라우드에 키를 저장하는 것은 바람직하지 않다. 그러나 암호화 데이터와 키가 너무 멀리 떨어져있으면 암·복호화에 상당한 시간이 걸린다는 문제도 있다. 이를 해결할 수 있는 방법은, 암호화 데이터와 키를 가깝게 두고 키에 대한 마스터키를 안전하게 분리된 네트워크에서 관리하는 것이다. 마스터키를 클라우드에 두지 않고 기업 내에 두고 보관하는 것이 더 안전하다.
마스터키는 하드웨어 보안 모듈(HSM)을 사용해 가장 높은 수준으로 보호하는 것이 바람직하다. 탈레스 CLP 사업부의 HSM 솔루션과 엔트러스트 데이터카드의 엔사이퍼가 HSM 시장에서 양강 구도를 펼치고 있다.
DRM으로 중요 문서 보호
클라우드에 공유되는 데이터는 주로 비정형 데이터, 특히 문서파일이다. 협업을 위해, 비즈니스 유연성을 위해 암호화하지 않은 문서가 클라우드에서 유통될 때 보안 사고가 발생할 가능성이 높다. 디지털 자산의 특징상, 한 번 외부로 공유된 문서는 수정과 복제가 자유로워 잘못된 정보가 유통되거나 기밀 정보가 통제할 수 없는 속도로 퍼져나가게 된다.
문서 암호화 기술 DRM은 클라우드에서도 필수로 요구된다. 기밀정보와 고객 정보가 포함된 데이터가 외부로 공개돼 유통되지 않도록 암호화해 보호하며, 암호화 키와 마스터 키는 기업이 직접 관리해야 한다. 이 같은 정책 설정을 통해 클라우드에서의 문서도 기존 온프레미스와 같은 보안 정책으로 보호할 수 있다.
소프트캠프의 문서 암호화 솔루션 ‘다큐먼트 시큐리티(DS)’는 문서 라이프사이클 전체를 보호하며, 암호화와 사용자 인증·권한 제어 기능을 제공하고, 암호화 문서에 대한 키 생성과 변경관리, 폐기까지 강력한 보안 정책으로 보호한다.
멀티 클라우드 전반을 지원하는 협업을 보장하며, 유연한 정책 설정과 사용 이력 관리로 현황 파악과 사후 감사가 가능하다. 문서 추적 기능을 추가해 문서 유통 전반의 보안성을 한층 강화했다. 매트릭스 추적 기법을 이용해 문서가 유통되는 전 과정을 추적해 정책 위반을 감사한다. 이 기능은 내·외부 감사에 유용하게 사용돼 금융기관 등에서 호평하고 있다.
더불어 협력업체, 위탁업체로 공유되는 문서의 보안관리를 위한 외부 DRM 솔루션도 다양하게 제공하고 있다. 데이터 외부 반출을 위한 승인반출 시스템과 문서의 안전한 유통·관리를 제공하는 ‘엑스라이트(EX-Right)’, 외주업체 수신자에게 안전한 PC 환경을 제공하는 ‘에스워크 이엑스(S-Work EX)’ 등을 통해 다양한 외부 환경으로 유출되는 문서를 보호한다.
파수닷컴은 모든 환경에서 모든 종류의 데이터를 보호하는 종합 프레임워크를 제안한다. ‘파수 데이터 시큐리티 프레임워크’는 데이터 탐지, 암호화와 보안 정책 최적화, 보안 리스크 관리를 긴밀하게 연관시킨 다중 레이어로 구성돼 있으며, 어떤 정보 유출 위협에도 대응하는 수준 높은 데이터 중심 보안을 실현한다.
이 프레임워크는 ▲데이터를 식별하고 분류하는 ‘파수 데이터 레이더(FDR)’ ▲암호화와 권한제어를 제공하는 DRM 솔루션 ‘파수 엔터프라이즈 DRM’ ▲엔터프라이즈 문서관리 플랫폼 ‘랩소디(Wrapsody)’ ▲사용자 행동 기반 위험관리를 제공하는 ‘파수 리스크뷰(FRV)’ 등으로 구성돼 있다. 이외에도 개인정보 비식별화 솔루션 ‘어낼리틱DID(AnalyticDID)’도 제공하고 있으며, 종합 컨설팅도 마련해 멀티 클라우드의 데이터 보호 전략을 체계화하는데 도움을 준다.
