2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>
9월 클라우드 발전법이 정식 시행되면서 클라우드 사업자의 시장전략이 빠르게 변하고 있다. 보안업계도 이러한 변화를 예의주시하며 전략수립에 매진하고 있다. 그동안 우리나라 클라우드 시장은 좀처럼 열리지 않았지만, 최근 비즈니스 유연성을 강조하는 분위기와 함께 글로벌 비즈니스를 위해 클라우드를 사용하는 것이 유리하다는 판단으로 클라우드를 사용하는 환경이 크게 늘어나고 있다.
이에 발맞춰 정부도 공공기관의 클라우드 사용 촉진을 위한 클라우드 발전법을 마련해 시행하고 있으며, 공공기관이 클라우드를 이용할 때 고려해야 할 정보보안 규정 제정에도 속도를 내고 있다.
공공 클라우드 보안 정책, 민간 클라우드 확산 위한 마중물
공공 클라우드 시장의 본격적인 개막을 앞두고 클라우드 보안 중요성에 대한 논의가 구체화되고 있다. 한국인터넷진흥원의 ‘2016 인터넷 및 정보보호 10대 이슈 전망’ 보고서에서는 “공공부문에서 안전하게 클라우드를 활용할 수 있는 보안인증제, 보안가이드라인 등이 마련되어 전체 클라우드 산업을 활성화 할 마중물이 될 것”이라며 “해외의 경우 예산 절감 및 행정 효율성 향상을 위해 공공부문에서의 클라우드 서비스 도입을 위한 다양한 조치들 이 시행되고 있어 보안의 중요성도 증가할 것으로 예상 된다. 국내에서는 클라우드발전법을 근거로 공공기관의 클라우드 컴퓨팅 확산이 본격화되며 보안 신뢰성 제고를 위한 정책의 중요성이 강조될 것”이라고 내다봤다.
클라우드 사용 환경이 늘어나면서 클라우드 내의 데이터에 접근하고자 하는 시도가 늘어나고 있으며, 보안위협도 높아지고 있다. 사회공학적 기법을 이용해 가짜 클라우드 로그인 화면을 통해 계정정보를 탈취하는 수법이 진화되고 있다.
포티넷의 ‘2016년 보안 위협 전망’ 보고서에서는 ‘베놈(Venom)’ 취약점을 언급하며 가상화 환경의 보안 취약성을 경고했다. 베놈은 하이퍼바이저를 통해 호스트 운영 시스템에 접근하는 잠재적 멀웨어로, 퍼블릭·하이브리드 클라우드에 심각한 보안위협이 될 것으로 보인다.
더불어 많은 애플리케이션이 클라우드 기반 시스템에 접근하기 때문에, 보안에 취약한 앱을 모바일 기기에서 실행하는 경우, 기기와 연결된 클라우드 네트워크가 피해를 입을 수 있다.
클라우드 보안 인증제 마련해 보안수준 검증
클라우드에 대한 보안위협에 대응하기 위해 미래창조과학부는 9월 클라우드 발전법 시행에 맞춰 ‘클라우드 서비스 활성화를 위한 정보보호 대책’을 발표하고 클라우드 서비스 사업자의 정보보호 대책 마련을 가장 먼저 주문했다.
미래부는 사업자가 정보보호를 위해 준수해야 할 관리적·기술적 조치를 포함한 정보보호 기준을 마련해 시행하며, 사업자의 정보보호 조치 현황을 자율적으로 공개하도록 권고하고, 정보보호 수준을 전문기관에서 진단하고 컨설팅할 수 있도록 지원할 계획이다.
그 일환으로 클라우드 사업자의 보안수준을 검증하기 위한 인증제도를 마련할 계획이다. 이는 미국의 클라우드 보안 인증제인 ‘FedRAMP’와 같은 취지로, 민간 클라우드 사업자가 서비스를 안전하게 운영하고 있는지 보안성을 검토해 인증하는 제도다. 미래창조과학부, KISA, 국가정보원 등이 관련 기준에 대해 협의를 진행하고 있다.
더불어 클라우드 침해사고가 발생하지 않도록 예방체계로 클라우드 정보공유분석센터를 구축·운영하고, 침해사고 발생시 피해를 최소화하기 위해 침해사고대응팀을 운용할 계획이다. 이 센터는 인터넷침해대응센터(KISC)와 연계해 운영한다.
클라우드 이용자를 보호하기 위해 이용자의 동의 없이 제3자에게 정보 제공을 금지하며,정보 유출 등 사고발생시 이용자에게 통지하고, 서비스 종료시 이용자 정보를 반환, 폐기해야 한다.
클라우드 환경에서의 정보보호 핵심기술을 개발하고 전문인력을 육성하는데에도 지원할 계획이다. 클라우드에 대한 사이버 공격에 실시간 대응하고 안전한 서비스가 제공될 수 있도록 클라우드 보안 기술 개발에 집중 투자하고 개발된 우수기술의 적용, 확산을 위해 시범사업 및 실증사업 등을 지속 추진한다.
클라우드 정보보호 핵심기술 투자 방안에는 클라우드에 대한 사이버 공격에 실시간 대응하고 안전한 서비스가 제공될 수 있도록 ▲단말보안 ▲네트워크 보안 ▲서비스 보안 ▲보안정책 및 감사 등 4가지 기술에 집중투자한다는 내용이 담겨있다.
또한 클라우드에 적용할 수 있는 우수기술에 대한 적용을 확산하기 위해 시범사업과 실증사업을 진행한다. 대표적인 예로 ▲클라우드 보안성을 향상시키는 가상화 솔루션 데크스톱 가상화(VDI) ▲네트워크 은닉기술 TIPN(Trusted IP Network)과 같은 네트워크 가상화를 활용해 보안성을 강화하는 기술 등이 포함된다.
지능형 공격, 온프레미스 솔루션으로 못 막아
클라우드 발전법 발효에 따라 보안업계에서는 클라우드 기반 보안 서비스(SeCaaS)가 본격적인 성장을 맞을 것이라고 기대한다. 지능형 공격이 성행하면서 기업들이 온프레미스 시스템만으로는 공격을 막을 수 없으며, 전문 보안 서비스를 이용하는 것이 효과적이라는 사실에 동의하고 있는 분위기다. 정부가 클라우드 활성화를 위한 규제개선과 지원정책을 펼치면서 클라우드 보안 서비스에 대한 인식도 크게 개선될 것이라는 기대가 높아지고 있는 것이다.
KISA 보고서에서도 SeCaaS에 주목해야 한다고 밝히고 있는데, 고가의 보안장비 구축이어려운 경우, 서비스 방식의 보안 정책이 대안이 될 수 있다고 설명했다. 실제로 클라우드에 부정적인 국내 시장에서도 SeCaaS는 충분한 성장 가능성을 보이고 있다.
지능형 공격이 집중되는 이메일의 경우, 보안업체에서 제공하는 보안 서비스를 이용해 악성첨부파일과 악성URL을 제거하고 안전한 이메일만 받아볼 수 있도록 한다. 보안 서비스 기업이 SLA를 통해 이메일 보안의 안전성을 보장하기 때문에 정교하게 제작된 이메일 공격을 차단할 수 있다.
웹방화벽, 보안웹게이트웨이(SWG), DDoS 방어 등도 클라우드 보안 서비스를 이용했을 때 큰 효과를 볼 수 있는 서비스로 꼽히고 있으며, VDI를 클라우드로 제공하는 서비스 모델도 주목받는다.
