클라우드 컴퓨팅 남용, 데이터 유실 및 유출 등으로 클라우드 보안위협 커져
미래부, 클라우드컴퓨팅 서비스 정보보호에 관한 기준 고시
KISA, 클라우드컴퓨팅 서비스 인증제 시행 앞서 설명회 개최
[보안뉴스 김경애] 지난 2012년 KT 유클라우드(uCloud) 서버 스위치와 스토리지 오작동으로 인한 서비스 장애 발생, 애플 해커에 의한 개인정보 삭제, 야후 45만명의 이용자 정보 유출, 2013년 어도비 서버 해킹으로 290만명 개인정보 유출, 에버노트의 클라우드 서비스 해킹으로 개인정보 유출, 2014년 영국 코드 스페이스(Code Spaces) 디도스 공격으로 모든 자원 삭제. 앞서는 모두 클라우드 관련 주요 보안사고로 클라우드 보안이슈는 끊임없이 발생하고 있다.
클라우드 보안위협
최근 CAS(Cloud Security Alliance)에서 발표한 클라우드 컴퓨팅의 7대 위협은 △클라우드 컴퓨팅 남용 및 불손한 사용 △안전하지 않은 애플리케이션 프로그래밍 인터페이스 △악의를 가지고 있는 내부 관계자 △공유 기술에 취약점 △데이터 유실 및 유출 △계정과 서비스 및 트래픽 하이재킹 △공개되지 않은 위협 프로파일이다.
한국정보보호학회의 발표 논문인 ‘하이브리드 클라우드 기술 활용 및 보안 동향’에 따르면 클라우드 컴퓨팅 남용 및 불손한 사용의 경우 악의적인 의도를 가진 사람들이 클라우드를 도입하게 되면, 모든 정보가 가상에 있게 되기 때문에 기존의 봇넷보다 더 찾아내기 힘들고 위험한 존재가 될 수 있다.
또한, 안전하지 않은 애플리케이션 프로그래밍 인터페이스의 경우 애플리케이션 구축을 서두르기 위해 기존의 코드를 재사용하거나 합성해서 사용하면 보안에 구멍이 뚫릴 수 있다.
클라우드 컴퓨팅이 갑자기 떠오르면서 관련 경험을 가진 사람을 급하게 채용하면 도덕적으로 적합하지 않는 사람을 고용할 가능성이 높아지게 되며. 가상머신을 적절히 관리하지 못하면 하나의 작은 실수로 전체가 다 위협받을 수 있다는 우려도 제기된다.
이 외에도 데이터를 보호하기 위한 기존의 제어방식은 새로운 클라우드 환경에서 적합하지 않을 수 있을 뿐더러 감시하기가 더 힘들다는 지적도 나온다.
이미 각종 악성사이트로 유도하는데 사용된 많은 하이재킹(Hijacking) 기법에 취약하고, 서비스 제공업체의 투명성이 떨어져 고객사가 시스템 구성을 새롭게 하거나 소프트웨어 패치를 실행해야 하는지 알지 못할 때가 많다는 점도 클라우드의 주요 보안위협 가운데 하나라는 게 보안전문가들의 지적이다.
미국과 유럽의 클라우드 위험관리
그럼 클라우드 도입이 한발 앞선 미국과 유럽은 클라우드 보안위협에 어떻게 대응하고 있을까? 미국은 클라우드 제품의 위험관리를 위해 미국 정부와 여러 기관으로 구성된 FedRAMP프로그램을 만들어 운영 중에 있다.
FedRAMP 프로세스는 보안성 인증심사, 인증제품/서비스 도입, 인증 사후관리 3단계로 구성된다. 보안성 인증심사 단계에서는 NIST 800-53 보안통제 기본 항목을 기반으로 FISMA에 따라 구성한 표준 요구사항에 적합한지 여부를 심사한다.
인증제품/서비스 도입 단계에서는 연방정부기관이 FISMA에 따라 민간 클라우드 컴퓨팅 제품/서비스를 도입할 때 실시해야 하는 보안성 검토과정을 FedRAMP 인증심사 결과물을 검토하는 것으로 대신해 도입하는 과정이다.
인증 사후관리는 클라우드 인증 제품/서비스가 미국 정부기관에 도입된 이후, 인증효력 유지를 위해 사후와 갱신 심사를 진행하는 과정이다.
유럽은 ENISA(European Network and Information Security Agency)에서 클라우드 컴퓨팅의 위협요소와 관련해 △정책·조직 위험 △기술적·법적 위험 △클라우드에 특화되지 않은 위험 4가지 영역으로 분류하고 있다. 세부적으로는 관리부재, 규제 준수, 서비스 제공자에 의존하는 현상, 관리 인터페이스의 보완, 데이터 보호, 악의적 내부자 등의 35개 항목으로 구분해 사례 분석 및 위험을 평가하는 절차가 있다. 또한, 클라우드에 특화된 취약점과 자산을 분류하고 12개의 정보보증 요구사항을 제시하고 있다.
국내 클라우드 정보보호 기준 고시
국내에서도 클라우드의 정보보호를 위해 클라우드컴퓨팅서비스 정보보호에 관한 기준이 마련됐다.
이와 관련해 미래창조과학부는 지난 4일 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조에 따라 클라우드컴퓨팅서비스 정보보호에 관한 기준을 고시했으며, 한국인터넷진흥원은 관련 설명회를 조만간 개최될 예정이다.
이에 대해 한국인터넷진흥원 임채태 팀장은 “현재 클라우드컴퓨팅서비스 정보보호에 관한 기준 고시가 공표됐으며, 이에 맞춰 인증제를 시행할 방침”이라며 “인증방법, 절차, 양식 안내에 관한 설명회는 오는 5월초쯤 진행할 예정”이라고 7일 밝혔다. 한국인터넷진흥원은 클라우드 정보보호 설명회 이후 클라우드 인증 접수를 받을 예정이다.
고시에 나온 보안요구사항 기준은 민간의 기술적·관리적 물리적 보호조치와 공공기관용 추가 보호조치 기준으로 구분된다. 특히, 공공기관이 민간사업자의 클라우드 서비스를 이용할 경우에는 인증 받은 민간사업자의 서비스 이용이 가능하며, 조달청에 올라온 사업자 중에 선택할 수 있다.
이와 관련 임채태 팀장은 “민간사업자가 공공기관에 클라우드 서비스를 공급하려면 공공기관용 클라우드 보안기준 고시에서 요구하는 기준에 부합되어야 한다”며 “클라우드 장비가 물리적으로 분리 운영되어야 하고, 민간 서비스 영역과도 분리 운영되어야 한다. 또한, 검증필 암호와 전산장비는 안전성이 확보된 국내외 CC인증 취득 제품을 사용해야 한다”고 강조했다. 이어 그는 “클라우드 환경에 특화된 가상화 환경, 데이터 관리 부분, 스토리지 부분 등도 별도로 제시된 요건에 맞아야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
미래부, 클라우드컴퓨팅 서비스 정보보호에 관한 기준 고시
KISA, 클라우드컴퓨팅 서비스 인증제 시행 앞서 설명회 개최
[보안뉴스 김경애] 지난 2012년 KT 유클라우드(uCloud) 서버 스위치와 스토리지 오작동으로 인한 서비스 장애 발생, 애플 해커에 의한 개인정보 삭제, 야후 45만명의 이용자 정보 유출, 2013년 어도비 서버 해킹으로 290만명 개인정보 유출, 에버노트의 클라우드 서비스 해킹으로 개인정보 유출, 2014년 영국 코드 스페이스(Code Spaces) 디도스 공격으로 모든 자원 삭제. 앞서는 모두 클라우드 관련 주요 보안사고로 클라우드 보안이슈는 끊임없이 발생하고 있다.
클라우드 보안위협
최근 CAS(Cloud Security Alliance)에서 발표한 클라우드 컴퓨팅의 7대 위협은 △클라우드 컴퓨팅 남용 및 불손한 사용 △안전하지 않은 애플리케이션 프로그래밍 인터페이스 △악의를 가지고 있는 내부 관계자 △공유 기술에 취약점 △데이터 유실 및 유출 △계정과 서비스 및 트래픽 하이재킹 △공개되지 않은 위협 프로파일이다.
한국정보보호학회의 발표 논문인 ‘하이브리드 클라우드 기술 활용 및 보안 동향’에 따르면 클라우드 컴퓨팅 남용 및 불손한 사용의 경우 악의적인 의도를 가진 사람들이 클라우드를 도입하게 되면, 모든 정보가 가상에 있게 되기 때문에 기존의 봇넷보다 더 찾아내기 힘들고 위험한 존재가 될 수 있다.
또한, 안전하지 않은 애플리케이션 프로그래밍 인터페이스의 경우 애플리케이션 구축을 서두르기 위해 기존의 코드를 재사용하거나 합성해서 사용하면 보안에 구멍이 뚫릴 수 있다.
클라우드 컴퓨팅이 갑자기 떠오르면서 관련 경험을 가진 사람을 급하게 채용하면 도덕적으로 적합하지 않는 사람을 고용할 가능성이 높아지게 되며. 가상머신을 적절히 관리하지 못하면 하나의 작은 실수로 전체가 다 위협받을 수 있다는 우려도 제기된다.
이 외에도 데이터를 보호하기 위한 기존의 제어방식은 새로운 클라우드 환경에서 적합하지 않을 수 있을 뿐더러 감시하기가 더 힘들다는 지적도 나온다.
이미 각종 악성사이트로 유도하는데 사용된 많은 하이재킹(Hijacking) 기법에 취약하고, 서비스 제공업체의 투명성이 떨어져 고객사가 시스템 구성을 새롭게 하거나 소프트웨어 패치를 실행해야 하는지 알지 못할 때가 많다는 점도 클라우드의 주요 보안위협 가운데 하나라는 게 보안전문가들의 지적이다.
미국과 유럽의 클라우드 위험관리
그럼 클라우드 도입이 한발 앞선 미국과 유럽은 클라우드 보안위협에 어떻게 대응하고 있을까? 미국은 클라우드 제품의 위험관리를 위해 미국 정부와 여러 기관으로 구성된 FedRAMP프로그램을 만들어 운영 중에 있다.
FedRAMP 프로세스는 보안성 인증심사, 인증제품/서비스 도입, 인증 사후관리 3단계로 구성된다. 보안성 인증심사 단계에서는 NIST 800-53 보안통제 기본 항목을 기반으로 FISMA에 따라 구성한 표준 요구사항에 적합한지 여부를 심사한다.
인증제품/서비스 도입 단계에서는 연방정부기관이 FISMA에 따라 민간 클라우드 컴퓨팅 제품/서비스를 도입할 때 실시해야 하는 보안성 검토과정을 FedRAMP 인증심사 결과물을 검토하는 것으로 대신해 도입하는 과정이다.
인증 사후관리는 클라우드 인증 제품/서비스가 미국 정부기관에 도입된 이후, 인증효력 유지를 위해 사후와 갱신 심사를 진행하는 과정이다.
유럽은 ENISA(European Network and Information Security Agency)에서 클라우드 컴퓨팅의 위협요소와 관련해 △정책·조직 위험 △기술적·법적 위험 △클라우드에 특화되지 않은 위험 4가지 영역으로 분류하고 있다. 세부적으로는 관리부재, 규제 준수, 서비스 제공자에 의존하는 현상, 관리 인터페이스의 보완, 데이터 보호, 악의적 내부자 등의 35개 항목으로 구분해 사례 분석 및 위험을 평가하는 절차가 있다. 또한, 클라우드에 특화된 취약점과 자산을 분류하고 12개의 정보보증 요구사항을 제시하고 있다.
국내 클라우드 정보보호 기준 고시
국내에서도 클라우드의 정보보호를 위해 클라우드컴퓨팅서비스 정보보호에 관한 기준이 마련됐다.
이와 관련해 미래창조과학부는 지난 4일 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조에 따라 클라우드컴퓨팅서비스 정보보호에 관한 기준을 고시했으며, 한국인터넷진흥원은 관련 설명회를 조만간 개최될 예정이다.
이에 대해 한국인터넷진흥원 임채태 팀장은 “현재 클라우드컴퓨팅서비스 정보보호에 관한 기준 고시가 공표됐으며, 이에 맞춰 인증제를 시행할 방침”이라며 “인증방법, 절차, 양식 안내에 관한 설명회는 오는 5월초쯤 진행할 예정”이라고 7일 밝혔다. 한국인터넷진흥원은 클라우드 정보보호 설명회 이후 클라우드 인증 접수를 받을 예정이다.
고시에 나온 보안요구사항 기준은 민간의 기술적·관리적 물리적 보호조치와 공공기관용 추가 보호조치 기준으로 구분된다. 특히, 공공기관이 민간사업자의 클라우드 서비스를 이용할 경우에는 인증 받은 민간사업자의 서비스 이용이 가능하며, 조달청에 올라온 사업자 중에 선택할 수 있다.
이와 관련 임채태 팀장은 “민간사업자가 공공기관에 클라우드 서비스를 공급하려면 공공기관용 클라우드 보안기준 고시에서 요구하는 기준에 부합되어야 한다”며 “클라우드 장비가 물리적으로 분리 운영되어야 하고, 민간 서비스 영역과도 분리 운영되어야 한다. 또한, 검증필 암호와 전산장비는 안전성이 확보된 국내외 CC인증 취득 제품을 사용해야 한다”고 강조했다. 이어 그는 “클라우드 환경에 특화된 가상화 환경, 데이터 관리 부분, 스토리지 부분 등도 별도로 제시된 요건에 맞아야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
