정부가 클라우드 발전법 시행에 맞춰 클라우드 정보보호 대책을 발표하자 보안업계는 시장 활성화를 위한 기반은 마련됐다고 밝히면서도 실제 투자가 이뤄질지에 대해서는 반신반의하는 모습을 보이고 있다. 그러나 공공시장과 별도로 민간기업에서는 클라우드 도입이 빠르게 늘어나고 있어 클라우드로 서비스되는 보안(SECaaS)에 대한 주목도가 높아지고 있다. 지능형 공격 방어를 위해 전문성이 강화된 클라우드 서비스 도입에 관심이 쏠리고 있는 것이다. 정부의 클라우드 보안 대책이 시장에 미칠 영향을 전망하고, 주목할만한 클라우드 보안 기술 및 서비스를 소개한다.<편집자>
클라우드 보안으로 지능적인 공격 차단
SECaaS에 대대적인 투자를 단행하는 기업 중 하나가 시만텍이다. 시만텍은 정보관리사업부를 ‘베리타스’로 분리독립시킨 후 보안 분야에 더욱 집중하면서 ‘서비스 기반 보안 사업’을 강력하게 드라이브하고 있다.
시만텍이 서비스 방식의 비즈니스 모델에 집중 투자하는 이유 역시, 공격이 지능화되고 있으며, 이를 기업/기관이 방어하지 못한다는 사실 때문이다.
웹센스 보고서에서는 기업의 보안 관리자가 일반적인 보안위협을 탐지·차단하고 대응하는데 숙련된 기술을 갖기 위해 무려 11년의 경력을 쌓아야 하는 것으로 분석됐다. 시스코 보고서에서는 아무리 큰 규모의 기업이라해도 자체적으로 운영하는 보안조직에서는 최신 지능형 공격을 탐지·대응하는데 한계를 느끼고 있으며, 공격을 당했을 때 비즈니스에 미치는 영향과 대안에 대해서도 해법을 내놓지 못한다고 지적했다.
정교하게 진행되는 사이버 공격으로 인해 기업/기관이 자체적으로 구축한 보안인력이나 솔루션/시스템으로 막지 못하는 상황에 이르렀으며, SECaaS와 같은 클라우드 기반 보안 서비스로 차단해야 한다는 것이 시만텍의 주장이다.
<그림 1> 시만텍 ‘이메일 시큐리티 닷 클라우드’ 서비스 구성도
시만텍은 전세계 157개국에 설치된 5760만 대의 공격 센서에서 인터넷 보안 위협에 대한 데이터를 수집·분석하고 있으며, 최고의 보안전문인력과 침해사고 대응 조직을 운영하면서 실시간으로 공격을 차단한다. 국내에서는 별도의 사고대응조직 SSET를 두고 국내 기업/기관을 노리는 공격에 보다 빠르게 대응한다.
시만텍의 ‘이메일 시큐리티 닷 클라우드(Symantec Email Security.Cloud)’는 전세계으로 3만2000개 기업에 서비스를 제공하고 있으며, 하루 70억개의 메시지를 처리하고, 월간 800만개의 멀웨어를 탐지한다. 알려지거나 알려지지 않은 이메일 바이러스 100% 차단, 99% 스팸 탐지를 SLA에 명시할 정도로 보안성이 높은 이메일 보안 서비스를 제공한다.
클라우드는 더 많은 사용자가 더 다양한 디지털 기기를 이용해 시간·장소·네트워크 환경에 구애 없이 시스템에 접속할 수 있는 만큼, 불법적인 정보유출이 발생할 가능성이 더욱 높다. 시만텍의 ‘DLP 14’는 클라우드 이메일, 스토리지로 적용분야를 확대해 다양한 클라우드 환경에서 정보를 안전하게 보호한다. 기업용 클라우드 스토리지 서비스 업체인 박스(BOX)와의 통합을 강화해 기업의 클라우드 활용을 더욱 효과적으로 지원할 수 있다.
암호화·키관리로 클라우드 데이터 보호
클라우드 보안위협의 핵심은 중요정보의 유출이다. 개인정보·고객정보 유출이 발생하면 막대한 금액의 피해보상이 이뤄져야 하는 것은 물론이고, 비즈니스 신뢰도 저하로 인해 금액으로 추산할 수 없는 피해를 입게 된다. 국내에서도 보안 규제가 기업/기관의 책임을 강화하면서 개인정보 유출 사고가 발생했을 때 서비스 기업이 책임을 지도록 하고 있어 정보보호에 더욱 높은 관심을 기울여야 한다.
클라우드는 인터넷을 통해 비즈니스가 전개되는 만큼, 서비스가 이뤄지는 전 과정에서 정보에 대한 보호 전략이 마련돼야 한다. 정보가 생성되는 순간부터 클라우드 인프라에 저장되는 과정, 사용자와 기업이 업무에 사용하는 과정 전반에 걸친 보안전략이 필수적으로 요구된다. 만일 정보가 불법적으로 유출됐을 때에도 안전하게 보호될 수 있도록 암호화 하는 것도 필수적으로 요구된다.
클라우드에서 오가는 모든 데이터를 암호화 하는 것은 응답속도를 지연시켜 서비스 수준을 낮추는 부작용이 나올 수 있다. 따라서 정보의 중요도를 파악해 핵심정보는 암호화하고, 상대적으로 보호 수준이 낮은 데이터는 토큰화, 마스킹 등의 기법으로 보호하는 방법이 제안된다.
토큰화는 일방향 암호화로 키관리가 필요없으며, 암호화에 비해 구축·운영이 쉽고, 응답지연이 발생하지 않는다. 마스킹은 실 데이터를 변경하는 것이 아니라 다른 문자나 기호를 덧씌워 화면에 출력시키는 방법으로, 콜센터, DBA 등 화면상에서 개인정보를 조회하고 업무를 진행하는 인력으로부터 개인정보를 보호하기 위해 적용된다.
데이터를 암호화 할 때 다양한 방식의 암호화 기술이 사용되는데, 해당 데이터가 사용되는 업무에 적합한 방식을 선택하는 것이 바람직하다. DBMS 암호화는 컬럼방식 암호화로, 높은 수준의 암호화가 가능하지만 DBMS로 정형화된 데이터만 적용 가능하며, 애플리케이션 수정이 필요하고 속도가 느려진다는 단점이 있다.
파일·OS 단위 암호화는 모든 종류의 데이터를 암호화 할 수 있으며 애플리케이션 수정이 없어 구축·운영이 쉽지만, OS나 애플리케이션으로 접속하지 않고 DB서버로 바로 접속할 경우 암호화되지 않은 데이터를 가져갈 수 있으며 가상머신(VM) 백업이나 이동시 암호화되지 않은 상태로 스냅샷이 저장돼 보안홀이 발생할 수 있다는 문제가 있다.
암호화는 키관리가 가장 중요한 사항으로, 공격자는 데이터와 암호화 키를 함께 가져가 데이터 암호화를 무력화시킨다. 따라서 키는 암호화 서버와 분리된 별도의 네트워크에서 안전하게 보호해야 하며, 키관리 서버는 인증서와 함께 관리해 권한있는 사용자가 권한 내에서만 접속할 수 있도록 해야 한다.
데이터 암호화 기업은 펜타시큐리티, 모니터랩, 케이사인, 이글로벌 등이며, 모니터랩은 DB접근제어와 함께 제공해 데이터 보안을 강화한다고 주장한다. 글로벌 기업 중에서는 젬알토(세이프넷), 보메트릭이 국내시장을 공략하고 있으며, AWS 등 다양한 글로벌 클라우드 서비스를 통해 암호화 서비스와 키관리를 제공한다.
보메트릭이 제공하는 클라우드 암호화 서비스 중 ‘클라우드 인크립션 게이트웨이’는 기업이 AWS S3 또는 박스(Box)에 저장되는 민감 데이터를 안전하게 보호할 수 있도록 암호화, 키 관리 및 접근 통제를 제공한다.
‘SaaS 제공업체를 위한 보메트릭 데이터 보호 플랫폼’은 강력한 보안 제어 기능을 탑재해 SaaS 업체들이 중요한 보안 및 규제 문제를 해결하고, 보다 많은 기업들이 활발하게 SaaS를 도입할 수 있도록 지원한다.
<그림 2> 보메트릭 클라우드 인크립션 게이트웨이
