2021년 이후 두 번째 개정판...ISMS 인증 대응 가능하도록 점검 항목 개편
AWS, AZURE, GCP 등 퍼블릭 클라우드 서비스의 안전한 운영 위한 보안 설정 기준 제시

[보안뉴스 김영명 기자] 라이프 케어 플랫폼 기업 SK쉴더스(대표 박진효)는 ‘2023 클라우드 보안 가이드’ 3종을 발간하고 이를 무료로 배포한다고 밝혔다. 공익 목적의 사이버보안 정보 공유 활동에 앞장서고 있는 SK쉴더스는 2019년에 수행한 클라우드 보안 사업에서 축적한 노하우를 기반으로 클라우드 보안 가이드를 지난해 한 차례 발간했다.


▲SK쉴더스가 공개한 ‘2023 클라우드 보안 가이드-AWS’ 표지[이미지=SK쉴더스]
이번에 발표한 ‘2023 클라우드 보안 가이드’는 두 번째 개정판이며, 퍼블릭 클라우드 대표 서비스인 △아마존 웹 서비스(Amazon Web Services, AWS) △마이크로소프트 애저(AZURE) △구글 클라우드 플랫폼(Google Cloud Platform, GCP) 총 3종에 대해 최신 보안 트렌드를 반영했다.

최근 전 산업 영역에서 클라우드의 도입 속도가 빨라지며 이를 노린 해킹 공격이 나날이 증가하고 있다. 한국인터넷진흥원(KISA)에 따르면, 지난해 중소기업 300곳을 대상으로 보안 취약 요소를 점검한 결과 클라우드 환경을 이용하고 있지만, 관리자 계정 관리, 권한 검토가 취약하다는 평가를 받은 곳이 약 91%에 달했다. 이처럼 사용자의 클라우드 관리 부실이 보안 위협의 주요 원인으로 지목되고 있어 이에 대한 대비가 요구되고 있다.

여기에 클라우드 환경이나 하이브리드 형태로 전환하는 기업이 늘어나고, 클라우드 서비스 제공 업체별 네이티브 서비스와 관리 영역의 변화도 많아지면서, 보안 정책 및 환경 설정 대응에 있어 클라우드 운영자와 관리자의 어려움도 커지고 있다.

최신 ‘2023 클라우드 보안 가이드’는 이러한 변화에 대한 SK쉴더스 취약점진단팀의 면밀한 분석과 상세 대응 방안을 담았다. 특히, 클라우드 운영자가 △계정 관리 △권한 관리 △가상 리소스 관리 △운영 관리 등 4가지 관리 영역에서 위협에 효과적으로 대응하고 변화된 관리 영역 및 컴플라이언스 기준을 충족할 수 있는 방안을 중점적으로 다뤘다.

ISMS(정보보호 관리체계) 인증심사에 대응하고자 기존 분류 체계를 통폐합하고 진단 체계의 항목 분류도 개편했다. 이와 함께 각 요소의 위험도를 상·중·하로 나눠 사용자가 자체적인 보안을 진단할 수 있도록 보안 상태의 기준도 제시했다. 이 밖에, 기존 보안 가이드에서 점검 및 설정이 불가능했던 인스턴스, 네트워크 등의 서비스 점검 항목도 공통화해 가이드를 범용적으로 활용할 수 있도록 보완했다.

클라우드 운영자는 이번 클라우드 보안 가이드를 활용해 자체적으로 보안상 안전한 설정을 적용할 수 있으며, 추후 발생 가능한 침해 행위 등 위협에 대한 사전 대응과 안전한 서비스 유지를 지속할 수 있는지 점검할 수 있다.

SK쉴더스 이동철 ICT사업그룹장은 “이번 가이드는 클라우드 관리 경험과 운영 능력이 부족한 스타트업과 중소기업 등에서도 클라우드 보안 설정과 점검을 쉽고 편리하게 따라 할 수 있어 유용하게 활용할 수 있을 것”이라며 “앞으로도 SK쉴더스는 다양한 보안 위협 대비와 공익 목적의 정보 공유를 위해 지속해서 노력하겠다”고 말했다.

한편, SK쉴더스는 보안 기술 리더십을 기반으로 안전한 디지털 환경 조성에 이바지하기 위해 다년간 쌓아온 사이버보안 전문 지식을 무료로 공유하고 고도화되는 사이버 공격 대응 방안 수립에 앞장서고 있다. ESG 활동의 일환으로 매년 상·하반기 보안 최신 트렌드를 담은 △보안 위협 전망 보고서와 함께 △랜섬웨어 동향 보고서 △IoT 진단 가이드 △개인정보보호 가이드 등을 발간하고 있다. 이번에 공개하는 ‘2023 클라우드 보안 가이드’는 SK쉴더스 홈페이지에서 무료로 내려받을 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>