클라우드 보안 전문인력 확충, 클라우드 보안 서비스·솔루션 다양화돼야

[보안뉴스 김경애 기자] 공공기관 및 기업의 클라우드 도입이 증가 추세를 보이고 있지만, 클라우드 보안 분야는 아직 더딘 흐름을 보이고 있다. 각종 보안 이슈와 함께 클라우드 보안 전문인력 부족 등 풀어야 할 숙제가 만만치 않기 때문이다. 이에 본지는 클라우드 도입에 있어 고려해야 할 점과 향후 개선사항을 짚어봤다.


[이미지=iclickart]

1. 클라우드의 다양한 보안위협
클라우드를 도입하는 데 있어 가장 우려하는 이유 중 하나가 바로 각종 보안 문제다. 클라우드 보안이슈과 관련해 한국인터넷진흥원은 △가상화 취약점 △정보위탁 △자원공유 및 정보 집중화 △분산처리에 따른 보안적용의 어려움 △법규·규제 이슈 등을 꼽았다.

가상화 취약점의 경우 가상화 환경에서의 다양한 공격경로를 통한 악성코드 전파가 용이하다는 점이 꼽힌다. 또한, 정보위탁의 경우 클라우드 정보위탁의 특성으로 인해 악의적인 내부자 또는 관리자 실수에 의해 정보 유출이나 손실이 발생할 위협이 존재한다.

자원공유 및 정보 집중화의 경우 IT 자원이 클라우드 센터에 집중된 상황에서 침해사고 발생 시 자원을 공유하는 모든 사용자의 서비스에 장애가 발생할 수 있다는 점이다.

분산처리에 따른 보안적용 어려움의 경우 데이터가 많은 서버들에 분산 저장·관리됨에 따라 데이터 암호화, 사용자 인증, 접근제어 등의 어려움이 증가한다는 점이다.

법규 및 규제 이슈 측면에서는 클라우드 서비스는 정보의 소유와 관리 주체 분리, 서버의 분산배치 등으로 인해 기존 법규와 규제로 적용이 어렵다.

이와 관련 한국인터넷진흥원(KISA) 관계자는 “클라우드 이용자는 가상자원 활용과 보안 서비스 등 클라우드 특성을 고려해 효율적이고 안전한 방식으로 클라우드를 도입해야 한다”며 “특히, 클라우드 도입 시 이용자는 보안 책임을 인식하고 클라우드 환경에 맞는 보안 아키텍처를 수립해야 한다”고 당부했다. 또한, 보안업체가 다양한 세카스(SecaaS: Security as a Service) 모델을 개발하고, 개발된 서비스가 시장에 적용될 수 있도록 클라우드 마켓플레이스 활성화가 필요하다고 덧붙였다.

2. 클라우드 보안 책임 공유 이슈
안랩은 클라우드 도입에 있어 가장 큰 장애물로 IT 담당자에 의한 보안 운영의 어려움과 클라우드 보안 책임 공유 문제를 꼽았다. 안랩 측은 “현재 주요 퍼블릭 클라우드 제공업체는 클라우드 보안 책임 공유 모델을 도입하고 있는데, 이는 클라우드 서비스 제공사와 이용자 간에 보안 책임이 분산된다는 의미”라고 설명했다.

이어 “클라우드 서비스 제공사는 데이터, 스토리지 등 클라우드 인프라 보안을 책임지고, 이용자는 내부 정보보안을 직접 관리해야 한다”며 “이용자는 보안 강화를 위해 웹방화벽, IPS(침입방지시스템) 등 보안 솔루션을 구축해야 하고, 보안장비를 효율적으로 운영하고 유지보수하기 위해서는 보안전문 인력이 필수적이다. 보안을 위한 솔루션 구축, 보안전문 인력 채용 등 준비과정에서 상당한 시간과 초기 비용이 발생한다”고 말했다.

3. 비용 및 운영인력 부족
클라우드 보안에 있어 세카스(SECaaS)와 캐스비(CASB: Cloud Access Security Broker) 모델 모두 해외에서는 활성화되고 있는 반면, 국내는 상대적으로 더딘 흐름을 보이고 있다.

이와 관련 보안업계의 한 관계자는 “캐스비의 경우 비용과 운영인력을 확보할 수 있는 일정 수준의 규모가 있는 기업이 아니면 도입하기 어려운 게 현실”이라며 “세카스의 경우 도입이 상대적으로 쉽다는 시장의 인식이 있지만, 실제로는 비용 및 운영인력 문제, 그리고 클라우드 사업자별로 제공되는 서비스가 제한되는 문제가 있다”고 지적했다.

이러한 문제점을 해결하기 위해 그는 “클라우드 사업자들이 좀 더 다양한 보안 솔루션을 제공할 필요가 있고, 클라우드 보안을 위해 어떻게 해야 하는지 다양한 적용사례가 만들어져야 한다”고 제시했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>