국제 표준 인증·법령 준수하는 서비스 제공자 신뢰할 수 있어
[보안뉴스 김태형] 퍼블릭 클라우드를 활용한다면 각국의 보안 컴플라이언스 요건을 쉽게 만족할 수 있을 것으로 보인다. 이는 집안의 금고보다는 경비와 보안이 철저한 은행 금고를 이용하는 것이 더 안전하다는 것과 같다.



한국 마이크로소프트(이하 MS) 개발자 플랫폼 사업부 이건복 이사는 클라우드 환경이 기업이나 기관들에게 어떻게 보안성을 높이는지에 대해서 “클라우드 서비스 사업자들은 국제표준을 준수하고 있으며, ISO27001, SOC, PCI DSS 등과 같은 다수의 표준 인증을 획득하고 있기 때문에 신뢰할 수 있는 클라우드 서비스를 이용하는 것만으로 각종 규제를 준수할 수 있다”고 설명했다.

클라우드 보안 영역은 크게 데이터센터 물리보안, 네트워크 보안, 계정인증과 접근권한통제, 호스트, 애플리케이션, 데이터에 대한 보안 등으로 나누어지는데, 마이크로소프트의 경우 미식축구장 10배 크기의 데이터센터를 운영하고 있다. 하지만 시스템에는 USB 드라이브가 없어 이를 사용하지 못하도록 차단하고 있다, 이 외에도 물리적 접근통제, 동작감시기, 바이오정보기반 시설 접근통제 등으로 보안을 하고 있다.

또한, 이 이사는 “운영환경에 대한 보안제어는 관리자가 어떤 시나리오에 의한 예측을 금지(Assume Breach)한다. 즉 ‘이런 공격에는 이렇게 방어하라’는 것 보다는 공격 침투 테스트를 하는 팀과 이를 방어하는 팀으로 나누어 테스트를 통해 다양한 공격에 방어능력을 키운다”고 설명했다.

이 외에도 MS는 네트워크 보안을 위해서 분리된 네트워크와 암호화 연결, 가상네트워크 별도의 인터넷 연결성을 제공하며 계정인증과 접근권한 통제를 위해서 기업용 클라우드 인증, 접근모니터링, 싱글사인온(Single sign On), 멀티팩터 인증, 관리자 역할별 접근제어 등을 적용하고 있다.

그리고 클라우드 환경에서의 데이터 보호를 위해서는 암호화된 데이터 전송, 데이터 저장시 암호화, 데이터 구분, 데이터 저장 위치 선택, 데이터 가용성, 데이터의 파기(보유기간 및 HDD파기의 투명성) 등이 보장되어야 한다. MS의 경우 클라우드 데이터가 저장되는 국가와 도시를 알 수 있도록 제공하고 있다.

이건복 이사는 “클라우드 서비스를 제공하는데 있어서 가장 중요한 것은 고객 데이터 보호 규정과 보안관련 인증 등 컴플라이언스 준수를 위한 조치다. 현재 퍼블릭 클라우드 서비스를 제공하고 있는 마이크로소프트 애저와 아마존 웹서비스, 구글 클라우드 플랫폼 등의 서비스 제공자들은 국제 공통의 국제 표준과 보안인증을 받고 있다”고 설명했다.

클라우드 관련 인증에는 정보보호관리체계 인증 ISO27001, ISO27002, ISO27018 등과 함께 재무정보에 대한 규제 SOC1, SOC2, 정부와 산업계 표준인 PCI-DSS, FERPA/Safe Harbor Framework, HIPAA/HITECH, FedRAMP/FISMA 등이 있다. 특히 중국 내 클라우드 서비스를 위해 필요한 CCCPPF, 영국의 UK-G클라우드, 호주 IRAP 등도 모두 퍼블릭 클라우드 서비스 회사들이 받고 있는 인증항목들이다. 


▲ 클라우드 서비스 관련 국제 인증 및 법령(출처: 한국 마이크로소프트)



이 이사는 “마이크로소프트 애저는 지난해 7월 발표된 개인정보에 관한 ISO27018 인증을 획득했다. 이는 클라우드 상에 저장된 고객들의 개인식별정보를 관리하고 있다는 것”이면서도 “관련 보안인증을 받았다고 해서 모든 서비스를 안전하게 제공한다고 확신할 수는 없다. 기업, 기관들이 프라이빗 클라우드 서비스를 구축하고, 이러한 서비스가 글로벌 환경에서 안전하다는 점을 증명하기 위해 개별 서비스별로 받게 되는 보안인증 시간과 비용을 생각하면 이미 서비스별로 인증을 받은 퍼블릭 클라우드를 활용하는 것이 비용과 보안 측면에서 효율적이면서도 안전하다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>