클라우드에서 위험을 관리하는 5가지 팁 (Risk Management)

2014.09.06 21:15 IT·인터넷/인터넷 서비스

클라우드에서 위험을 관리하는 5가지 팁 (Risk Management)

IBM에서 제공하는 "클라우드에서 위험을 관리하는 5가지 팁"을 내용 그대로 올립니다. 보안 침해와 해킹에 대한 대비에 대해서는 아무리 강조해도 지나침이 없을 것입니다. 글을 읽어 보니 해킹 방법이 매우 지능적이네요. 많은 사람이 사용하는 클라우드가 해킹 당한다면 정말 끔찍하겠네요. 어떻게 하면 클라우드 위험을 미리 관리할 수 있는지 보겠습니다.

1. 개요

여름휴가 시즌이 지나고 있습니다. 시스템 유지 관리와 운영을 맡은 담당자와 책임자들의 경우 휴가 기간 동안 별다른 문제가 일어나지 않기를 간절히 바라는 마음으로 사무실을 나서게 됩니다. 하지만 휴가지에서도 아래와 같은 보안 이슈와 뉴스들을 접하게 되면 마음 편하게 쉬기도 어렵습니다.

2014-08-05 [보안뉴스] 아마존 클라우드 내 악성코드 설치 가능하다고?
http://www.boannews.com/media/view.asp?idx=42340&skind=5

기사 내용을 요약하면, 아마존 EC2 서버에 대해 '카스퍼스키랩'이라는 보안 업체가 지켜보니 외부의 공격자가 아마존의 엘라스틱서치 취약점을 이용해 펄 기반의 웹셸을 설치했고, 해당 웹셸을 통해 DDoS 공격 악성코드 "mayday"의 변종을 가상 서버에 설치했다는 것입니다.

2014-08-06 [보안뉴스]역대 최고 규모의 개인정보 유출사고 발생!
http://www.boannews.com/media/view.asp?idx=42355&skind=B

기사 내용을 보면, 러시아의 해커 집단이 봇넷을 이용하여 SQL인젝션에 취약한 사이트 42만여개를 해킹하여 로그인 정보 12억건과 5억건의 이메일 정보를 탈취했다는 내용이다. 특히 오래 전부터 경고하고 알려져 있던 SQL 인젝션 취약점이 아직도 방치되어 있다는 점들이 보안담당자들의 방만하고 안일한 태도 등을 보여준다고 합니다.

오늘날, 이처럼 지속적으로 발생하는 보안 침해 사고와 관련한 소식이 나오고 있어 IT 매니저들과 온라인 비즈니스 사업자들은 한시라도 마음을 놓기 어렵습니다. 그렇다고 단순히 운이 나쁜 일로 생각할 수도 없으며, 언제 발생할지 모르는 리스크를 대비해 여기 저기 보험회사를 찾아가 관련 상품에 대한 상담을 받는 일도 현실적으로 어려운 일입니다. 특히 시스템 인프라를 외부업체인 클라우드 사업자를 통해 이용하고 있는 많은 업체들의 경우 더욱 큰 고민이 될 수 있습니다.

그렇다면 이러한 위험들을 대비 할 수 있는 방법은 없을까요?

2. 위험을 관리하는 5가지 팁

보안 침해는 최근 몇 년 동안 해외 IT뉴스의 첫 페이지를 장식해왔습니다. 특히 타겟, 니만 마커스, 야후, 고대디와 같이 미국 내 주요 기업들과 국내 금융, 통신 대기업들의 개인정보 유출과 관련한 헤드라인들은 정보 보안 관리의 중요성을 점점 더 무시하기 어렵게 만들고 있으며, 이는 작은 기업들에서도 역시 마찬가지입니다.

클라우드로 비즈니스를 할 경우 많은 장점들이 생기지만, 그에 수반되는 문제점들도 생기기 마련입니다. 예를 들면, 멀티 테넌시(Multi-tenancy)같은 위험을 수반하기 때문에, 이러한 위험을 제대로 관리하고 식별하는 것이 매우 중요합니다.

*싱글 테넌시(Single tenancy): 제공업체가 각 고객 사에 다른 애플리케이션 시스템을 제공하는 것. 멀티 테넌시(Multi tenancy)는 하나의 시스템을 여러 고객 사가 사용하는 것.

1) 서비스 제공자가 제공하는 보안서비스에 대해 인지하라

소프트레이어를 포함하는 대부분의 IaaS제공업체들이 고객의 시스템에 대한 논리적인 보안 책임을 고객에게 돌리는 반면, 일부SaaS 제공업체들은 보안서비스가 포함된 서비스를 제공하고 있습니다. 다만, 인프라 공급자가 처리하는 보안 조치의 경우, 공급자가 이러한 컨트롤을 증명하는 문서를 제공 할 수 있어야 합니다. 소프트레이어는 연간 SOC2 감사를 시행해, 서비스 조직으로서의 보안과 가용성 컨트롤의 상태를 입증하고 있습니다. 이 정보를 통해, 고객들은 소프트레이어에서 나온 보고서의 컨트롤들을 자사의 고객준수 요구사항의 일부로 사용합니다. 공급업체의 보안 컨트롤을 인지하고 그 보안의 증거 자료들을 확인하는 것은 기업의 오너나 최고 정보보안책임자(CISO) 가 편안한 마음을 갖도록 해 궁극적으로 보안 유출사고를 막거나 대응하기 위해 적절한 통제 활동을 계획하도록 도와줄 것입니다.

2) 클라우드를 활용해 귀사의 영향력을 배포하고 복제하라

클라우드 운영을 통해 얻는 놀라운 확장성과 지리적 분배는 깜짝 놀랄만한 성과를 가져올 수 있습니다. 보안업계의 전문가들은 클라우드를 활용해 패치 주기를 주나 월 단위가 아닌 일 단위로 줄일 수 있습니다. 대부분의 클라우드 제공업체들은 많은 사이트를 보유하고 있어 기업들이 국가를 넘어 글로벌하게 영향력을 행사 할 수 있도록 해줍니다. 이러한 인프라를 통해 장애복구 시스템을 복제하고 최소한의 투자만으로도 동일한 보안 컨트롤을 유지하면서 여러 시설에서 발생하는 지역의 요구사항들을 수용할 수 있게 됩니다.

3) 기본으로 돌아가라

구성 관리. 자산관리. 업무분리. 강력한 암호 등 많은 조직들이 보안의 큰 그림을 그리는데 치우칩니다 그러다 보면, 기본 권한을 관리하는데 실패하기 쉽습니다. 따라서, 비즈니스 전반의 보안 상태에 매우 중요한 기본 작업들을 지원할 수 있는 공급업체의 툴을 활용하는 것이 매우 현명한 방법입니다. 예를 들어, 클라우드 서비스 이용자는 스스로의 시스템에 표준 기본 구성을 배포할 이미지 템플릿 또는 사후 프로비저닝 스크립트를 사용할 수 있고, 그 후에 특정 서버 룸에 그들을 추적 할 수 있습니다. 또한 클라우드 서비스 이용자는 어떤 하드웨어가 서버에 존재하는지 항상 알 수 있으며, 만약 소프트레이어를 이용 중이라면, 하드드라이브의 일련번호까지 드릴 다운할 수 있습니다.

4) 철저한 사고 응대 플랜을 짜라

업계에서는 보안 위협이 만약의 문제가 아니라 언제 발생할 것이냐가 문제라는 사실을 점점 더 인식하고 있습니다. 상당히 높은 수준의 보안이 갖춰진 상태에서도, 최근 대부분의 보안침해는 직원에 의해 발생했습니다. 따라서 언제 발생할지 모르는 보안 사고에 자신 있게 대응할 수 있도록 준비해야 합니다. 물리적으로 시스템에서 멀리 떨어져 있어도, 원활한 서비스 제공을 위해 미리 정한 목표 복구 시간을 충족할 수 있어야 합니다.

5) 클라우드 서비스 제공업체와 지속적인 접촉 유지

문제는 발생하기 마련입니다. 아무리 철저한 계획을 세우더라도 자연재해든 계획된 공격에 의해서든 모든 사고를 완벽하게 막을 수는 없습니다. 상황이 예기치 않은 방향으로 흘러갈 때, 고객은 소프트레이어와 같은 고객에게 가장 든든한 도움을 줄 수 있는 제공업체가 있다는 사실을 기억하시기 바랍니다.

3. 결론

적절한 계획과 충분한 실행연습이 뒷받침된다면, 클라우드는 생각만큼 위험하거나 무서운 것이 아닙니다. 클라우드의 보안과 관련된 사례가 궁금하다면, 클라우드 보안 연합(Cloud Security Alliance, CSA)/ http://www.cloudsecurityalliance.org/ 을 확인해 보길 바랍니다. CSA는 기업 소유주나 보안 전문가 모두에게 도움이 되는 많은 지식을 제공합니다. 강점을 발전시키고 약점을 보완한다면, 고객과 클라우드 서비스 사업자 모두 두 다리를 뻗고 잘 수 있게 될 것입니다. 몇 시간 이상 떨어진 이국적인 휴가지에서도 말입니다.

“이 포스팅은 한국 IBM의 의뢰로 원고료를 받고 작성되었습니다.”

신고
이 댓글을 비밀 댓글로
  1. 글 잘 읽고 갑니다. 클라우드를 사용할 때는 항상 저런 점을 주의해야겠네요!
    • 바리바리맨
    • 2014.09.11 15:07 신고
    좋은 글 감사합니다. 유익하게 보고가요 ^^