클라우드를 사용하는 대부분의 기업이 걱정하는 부분은 중요 데이터가 인터넷상으로 유출되거나 유실되는 것입니다. 클라우드에서 중요 데이터를 안전하게 관리할 수 있을지 모르기 때문이죠.
또 다른 이유는 기존에 하던 보안과 클라우드 보안이 다른 특징을 가지고 있어 안전하게 보안정책을 적용하고 운영하기 어렵기 때문입니다.

이번 시간에는 클라우드 환경에서 사용하는 중요 데이터, 즉 콘텐츠에 대한 보안과 클라우드 보안을 운영해주는 서비스에 대해서 함께 살펴보겠습니다.

# 콘텐츠 보안

클라우드 환경에서 콘텐츠(파일, 영상, 데이터 등)를 안전하게 보관하려면 기본적으로 데이터 암호화 적용이 필요합니다. 기존에는 서버에서 콘텐츠를 암/복호화하거나 클라이언트가 직접 암호화 라이브러리를 사용하여 암/복호화를 수행했습니다.

클라우드 환경에서는 암/복호화 키를 관리하는 '키 관리 서비스(KMS)'와 키를 안전하게 저장하는 '키 관리 보안모듈(Cloud HSM)', '민감한 정보유출 탐지서비스' 등을 활용하여 기업의 콘텐츠와 암/복호화 키를 안전하게 저장하고 관리할 수 있습니다.

먼저 '키 관리 서비스(KMS: Key Management Service)'는 키 발급과 관리, 보안위협에 대한 방어까지 일원화된 서비스를 제공합니다. 키 관리 서비스를 이용하면 사용자는 암/복호화 키를 별도로 보관하지 않고, 클라우드 내부에서 키를 발급받아 지속적인 데이터 암/복호화 수행에 활용할 수 있습니다.

사용자가 데이터를 클라우드 환경에 저장하려는 경우, 키 관리 서비스에서 발급된 암호화 키를 이용하여 데이터 암호화를 수행합니다. 스토리지에 저장된 암호화 데이터를 사용할 때도 키 관리 서비스에서 복호화 키를 발급받아 암호문을 평문으로 변환합니다.

즉, 키 관리 서비스는 암호화에 사용한 키를 보관하고 암호 보안모듈과 통신하여 암호화 키를 새롭게 변경하는 등 암호화 키의 라이프사이클을 관리합니다.

키 관리 서비스가 여러 클라우드 사용자들의 암호화 키를 사용하는 멀티테넌시 형태의 서비스인 반면, '키 관리 보안모듈(Cloud HSM: Hardware Security Module)'은 클라우드 사용자가 자신의 클라우드 가상 네트워크에서 키 관리 보안모듈을 구성하여 독점적으로 제어하는 서비스입니다. 따라서 보다 안전하게 키를 보관할 수 있고 키 관리 정책을 별도로 운영할 수 있습니다.

또한 키 관리 보안모듈은 공격자가 암호화 키를 유출하려고 시도할 때 이를 감지하여 저장되어 있는 암호화 키를 삭제하는 기능이 있습니다. 이러한 보안 향상과 성능 향상, 관리 효율성을 강점으로 그 활용성이 부각되고 있습니다.

마지막으로 '민감한 정보유출 탐지 서비스(DLP: Data Loss Prevention)'란 클라우드 사용자가 누락한 개인정보나 민감한 데이터를 자동으로 분석하여 마스킹 작업 등의 비식별화 처리를 하는 것입니다.

만약 중요한 정보가 승인 없이 외부로 전송된 경우에는 메시지를 별도로 분류하여 격리할 수 있고, 메시지의 발송을 지연 또는 차단하는 정책을 설정할 수 있습니다. 최근에는 JPEG, PNG 등의 이미지 파일에서 글자를 인식하는 OCR(Optical Character Recognition) 기술을 이용하여 중요한 정보가 이미지 형태로 유출되는 것을 차단할 수 있습니다.

# 클라우드 보안운영 서비스

클라우드 서비스가 활성화되면서 전문인력을 활용한 클라우드 보안운영 서비스 시장도 활성화되고 있습니다. 이러한 보안운영 서비스 제공자를 MSSP(Management Security Service Provider)라고 합니다. MSSP는 보안운영, 모니터링, 문제점 해결 등 효율적인 보안관리를 수행하는 아웃소싱 서비스로, 클라우드 이전부터 전통적인 네트워크 보안영역에 대한 서비스를 제공했고 점차 발전되고 있는 서비스입니다.

멀티 클라우드나 하이브리드 클라우드를 사용할 경우 각각의 클라우드 서비스 제공자별로 일관된 보안 정책을 적용하기 어렵고, SaaS와 같이 클라우드 서비스만 사용하는 경우에도 보안 모니터링이나 보안기능에 제약이 발생합니다. 이때 클라우드 보안운영 서비스를 활용하면 기업의 클라우드에 대한 가시성과 자동화 등의 전문성을 확보할 수 있습니다.

클라우드 보안운영 서비스에서 제공하는 업무는 크게 기본업무와 보안 수준 관리, 보안 수준 고도화로 구분할 수 있습니다.

전반적인 보안운영 서비스 외에 최근에는 보안기능을 서비스 형태로 활용하는 방법인 ‘클라우드 보안 서비스(SECaaS)’와 ‘클라우드 접근 보안 중계(CASB)’가 활용되고 있습니다. 특히 멀티 클라우드를 활용할 경우 클라우드별로 제공되는 서비스 범위와 정책이 다르기 때문에 일관된 보안정책을 적용하거나 필요한 보안기능 추가를 위해 활용되고 있습니다.

먼저 '클라우드 보안 서비스(SECaaS: Security as a Service)'는 클라우드 서비스에서 제공하지 않는 추가적인 보안기능을 서비스 형태로 제공합니다. 따라서 사용한 만큼 비용을 지불하며 필요에 따라서는 On-demand 형태를 적용해 보안 수준은 극대화하고 비용은 절감할 수 있습니다. 또한 최신 보안 위협요소와 법/정책 등에 대한 내용도 실시간 업데이트하여 전문 보안 인력 없이 자동으로 보안 수준을 향상할 수 있습니다.

'클라우드 접근 보안 중계(CASB: Cloud Access Security Broker)'는 클라우드 서비스 사용자와 클라우드 서비스 제공자 사이에 위치하면서 클라우드 환경으로 암호화 등의 보안 기능을 제공하는 허브라고 볼 수 있습니다. CASB는 클라우드의 종류나 서비스 유형과 상관없이 클라우드 사용자나 애플리케이션에 대한 일관된 보완정책을 적용하고 통합, 관리할 수 있는 장점이 있습니다.

SECaaS와 CASB는 유사한 보안 기능을 제공하지만, 개념/목적/장점에서 차이점이 존재합니다.

삼성SDS는 국가에서 지정하는 보안관제 전문기업으로, 클라우드 운영뿐만 아니라 클라우드 보안서비스 및 클라우드 보안관제 서비스를 제공하고 있습니다. 주요 서비스는 다음과 같습니다.

- 보안관제 대상이 상시 변경되는 동적인 클라우드 특성을 커버하는 보안관제 서비스
- 클라우드 정보유출 방지를 위한 Managed CASB 서비스
- 클라우드의 보안설정 상태를 자동으로 진단하고 설정오류를 제거할 수 있는 조치가이드 제공

지금까지 클라우드 환경에서의 콘텐츠 보안서비스와 클라우드 보안운영 서비스에에 대해서 설명했습니다.
다음 시간에는 클라우드를 사용하는 목적을 크게 5가지로 구분하여 목적별 보안아키텍처에 대해 살펴보겠습니다.


+ 클라우드 보안 입문서를 소개합니다! <클라우드 x 보안 실무 가이드> 저자 인터뷰
+ 언제 어디서나 마음대로 사용하는 클라우드
+ 클라우드 서비스를 선택하는 방법 ‘클라우드의 유형과 서비스 종류 알아보기’
+ 클라우드 서비스의 장·단점과 국내외 시장 동향
+ 클라우드 환경의 속성과 보안 특수성
+ 클라우드 환경의 공통 보안 서비스와 네트워크 보안 서비스
+ 클라우드 환경 내 컴퓨팅 자원과 애플리케이션 자원의 보안 서비스

출처: 클라우드 x 보안 실무 가이드(황치하·양지언 지음)