클라우드에서 왜 데이터센터 보안이 중요한가?

  • 작성자

데이터센터는 서버 컴퓨터와 네트워크 회선 등을 안전하게 제공하는 시설입니다. 데이터센터에서 운영중인 수만 대의 서버 컴퓨터에는 고객의 중요한 정보들이 저장되어 있으며, 데이터센터의 안정적인 운영은 기업의 생존과 직결되어 있습니다. 최근 4차 산업 혁명과 맞물려 기업의 데이터 발생량이 더욱 증가하면서 해킹 등 사이버 범죄의 피해 규모 역시 기하급수적으로 증가하고 있습니다. 데이터센터의 보안은 이제 선택이 아닌 필수가 되었습니다. 데이터센터 보안 거버넌스, 인프라 보안, 애플리케이션 보안 등 데이터센터의 3대 보안 영역에 대해 살펴보겠습니다.

클라우드 기술 백서 관련하여 궁금하신 사항은 이곳으로 문의주세요.
전문가 상담하기 무료체험 하기

데이터센터 보안 설명에 앞서

데이터센터의 개념 및 중요성

데이터센터 보안을 다루기 전, 데이터센터의 개념을 이해할 필요가 있습니다. 데이터센터란 서버 컴퓨터와 네트워크 회선 등을 제공하는 건물이나 시설을 말합니다. 그 안의 수만 대의 서버 컴퓨터에는 검색, 쇼핑, 게임을 위한 방대한 정보들이 저장되어 있습니다. 데이터센터는 안정적인 운영을 위해 이러한 정보들을 모아 관리하는 시설입니다.

[여기서 잠깐!] 데이터센터의 안정적인 운영은 기업의 생존과 직결됩니다.

고객의 중요 정보를 저장하는 데이터센터의 안정적인 운영은 기업의 생존과 직결되어 있습니다. 데이터센터의 Global 평가등급(Datacenter Tiers)이 예비 용량, 무중단, 냉방 공조 등의 시설과 연관되어 있다는 사실은 데이터센터의 안정적인 서비스 연속성이 데이터센터의 주목적이라는 것을 보여줍니다. 그러나, 이러한 서비스 가용의 보장에도 불구하고, 해킹 등 보안 이슈가 발생되었을 때 우리는 차원이 다른 위험에 노출됩니다. 여기서 데이터센터 보안의 중요성은 급부상하게 됩니다.
최근 4차 산업 혁명과 맞물려 기업의 빅데이터, AI, IoT, 자율 주행 등의 데이터 발생량이 더욱 증가하면서 사이버 범죄의 피해 규모 역시 기하급수적으로 증가하고 있습니다. 데이터센터에서의 보안은 이제 '선택'이 아닌 '필수'가 되었습니다.

[여기서 잠깐!] 데이터센터 보안의 구성 요소는? 거버넌스, 인프라 보안, 애플리케이션

데이터센터 보안의 구성요소를 크게 3가지로 정리하면 '거버넌스,' '인프라 보안', '애플리케이션' 등으로 나눌 수 있습니다.

글로벌 사이버범죄 피해 규모

자료:사이버시큐리티벤처스

(단위:십억달러)
2015
3,000
2017
3,968
2019
5,247
2021
6,939
2023
9,177
2025
10,500
※ 출처: https://www.sedaily.com/NewsVIew/22L80BKPS0

데이터센터의 보안 영역

첫째, 데이터센터 보안 거버넌스

'거버넌스'라는 용어는 "공동의 관심사에 대한 네트워크를 구축하여 문제를 해결하는 국정 운영의 방식"의 정의로 다소 광범위하고 모호합니다. 그러나 데이터센터 보안에서의 '거버넌스'는 물리 보안, 규정, 기준, 교육, 승인 프로세스 등과 같이 정책적인 부분에 대한 관리로 설명할 수 있습니다. 즉, 보안 규정 기준인 정책을 수립하고 관리체계와 프로세스를 정립함으로써 데이터센터의 기반을 견고하게 구축하는 일이라 할 수 있습니다.

보안 정책에서는 조직의 보안 목표, 정책의 적용 범위, 자산 분류, 자산 관리 등을 세부적으로 기술하지만 그 방법을 상세하게 기술하지는 않습니다. 예를 들어, 정책에서 '기밀문서나 중요 데이터의 전송은 암호화하는 것을 의무화 한다'는 내용은 담고 있지만, 어떤 암호화 프로토콜을 사용 하는지에 대한 언급은 하지 않는 식입니다. 세부적인 것은 정책이 아닌 가이드 등의 별도 자료에서 따로 규정합니다. 또한, 각 인증기관 별로 심사를 통해 그 기준을 충족하는지 인증을 받는데, 이 심사 기준에는 보안 항목이 필수로 포함됩니다. 데이터센터의 안전한 서비스 및 시설 운영을 위해서 보안이 필수라는 사실의 반증이라 할 수 있습니다.

국내외 인증심사 종류

구분, 내용, 인증기관을 확인할 수 있습니다.
구분 내용 인증기관
ISO27001
(정보보호관리체계)
  • 국제표준화기구(ISO)에서 제정한 국제 보안 표준규격
  • 정보보호 분야에서 가장 권위 있는 국제 인증
  • 최초 인증 획득 후, 매년 사후심사를 실시하며 3년을 주기로 갱신심사를 실시
BSI
ISO27017
(클라우드 서비스 정보보호관리체계)
  • 클라우드 서비스 제공자의 클라우드 보안에 필요한 보안 통제와 구현 지침을 평가하는 국제 인증 제도
  • ISO27001 인증 기반으로 클라우드 특화 통제항목(48개) 추가 심사
BSI
ISO27018
(클라우드 서비스 개인정보보호 국제표준)
  • 클라우드 서비스 제공자의 클라우드 개인정보 보호에 대한 국제 인증 제도
BSI
ISO27799
(개인의료 정보보호 국제표준)
  • 의표 서비스 또는 의료 정보처리 조직이 의료 정보 보호 경영시스템을 구축, 운영하기 위한 정보보호 관리체계 국제 표준 인증
BSI
CSA STAR
(국제표준 클라우드 보안인증)
  • 미국 CSA(Cloud Security Alliance)의 클라우드 통제 매트릭스 기반 성숙도 평가 인증
BSI&CSA
CSAP
(클라우드 서비스 보안인증)
  • 공공기관이 사용할 수 있는 민간 클라우드 풀에 대한 인증
KISA
ISMS
(정보보호 관리체계 인증)
  • 정보보호를 위한 일련이 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
KISA

※ 삼성SDS의 데이터센터는 위의 7개 인증을 획득하여 매년, 사후 심사 및 갱신을 진행하고 있습니다.



둘째, 인프라 보안

데이터센터는 아키텍처를 이루는 서버 컴퓨터 및 네트워크에 대한 안전성을 확보해야 합니다. 특히 최근에는 Compute, Storage, Network 등의 인프라 자원들을 서비스로 제공하는 클라우드 환경이 늘어나면서, 이에 따른 보안 대응이 필수가 되었습니다.
그 중, 전문가들이 추천하는 가장 강력한 인프라 안전 유지 방법인 '망분리'에 대해 살펴보겠습니다. 망분리는 인터넷을 사용하는네트워크와 인터넷이 불가한 업무용 네트워크로 망을 분리하는 정책이자 인프라 구성 기술입니다. 해커가 인터넷을 통해 사용자 PC에 침입하더라도 주요 정보가 담긴 시스템에는 접근하지 못하도록 망을 물리적, 혹은 논리적으로 분리하는 방법입니다. 기본적인 개념은 간단하지만 실제로 이를 구현하기 위해서는 보안 부서와 유관 부서의 협업이 필요하기 때문에 매우 복잡한 특성을 가지고 있습니다. 그러나 제대로 적용된다면 그 효과는 기대 이상입니다.

[여기서 잠깐!] 복잡한 클라우드 환경속에서도 보안을 위한 망분리 기술을 반드시 고려해야하는 이유

규제 측면에서도 개인정보보호법과 정보통신망법에 따라 연매출 100억 원 이상의 정보통신 서비스 제공자의 경우 망분리를 의무화하고 있습니다. 최근 클라우드 환경의 리소스들은 상호 의존적인 특징이 있습니다. 이는 방화벽만으로 네트워크 경계를 보호하는 전통적인 보안 방식이 충분하지 않음을 의미합니다. 즉, 공유 리소스가 동적으로 자동 프로비저닝되어야 하고, 물리적으로 불분명한 보안 경계의 논리적인 안정성까지 고려해야 비로소 안전을 기대할 수 있다는 뜻입니다. 복잡한 클라우드 환경 속에서 망분리 기술을 반드시 고려해야 하는 이유가 바로, 여기에 있습니다.

망분리 개념

pc 인터넷이 연결되면 바이러스 감염 위험이 있다는 메시지
pc 인터넷이 연결되어 있지 않아도 DB, WAS, WEB 서버가 연결되어 있다.
[망분리개념]

셋째, 애플리케이션 보안

일반적인 웹 사이트와 모바일 앱은 애플리케이션으로 구성되어 불특정 다수가 이용하며 악성코드에 쉽고 빠르게 노출될 수 있습니다. 지금 이 순간에도 애플리케이션의 취약점을 이용한 공격은 빈번하게 발생하고 있습니다. 때문에 애플리케이션의 보안은 이러한 악성 코드의 확산 방지와 권한 우회 방지 기능을 개발, 테스트 하는 과정에 있다고 할 수 있습니다. 또한, 애플리케이션의 보안 유형에는 인증, 권한 제한, 암호화가 포함되는데 개발자는 이러한 요소들을 고려해 개발을 진행해야 하고, 애플리케이션이 완성된 후에는 소스 보안 검증 및 모의 해킹을 통해 안전을 확인하는 과정이 필요합니다.

[여기서 잠깐!] 클라우드 환경에서 인증과 권한 관리가 더 중요한 이유

클라우드 환경에서는 공유 리소스를 제공하므로 사용자가 자신의 권한 내의 데이터에만 액세스할 수 있도록 인증과 권한 관리에 각별한 주의를 기울여야 합니다. 거기에 인터넷으로 통신하는 클라우드 기반의 애플리케이션 데이터의 경우, 완벽한 암호화 전송 역시 보장되어야 합니다.

설명을 마치며: 데이터센터 보안의 중요 3요소, 3P(People, Process, Product)

보안 기술의 발전은 역설적으로 새로운 유형의 공격 기법이 발생했음을 의미합니다. 즉, 보안의 신규 기술은 공격에 대한 반격에서 비롯된 기술이라고 말할 수 있습니다. 때문에 늘 해킹 위협에 노출되어 있는 데이터센터는 People, Process, Product를 의미하는 3P가 매우 중요한 요소입니다.

People

데이터센터 안전의 핵심은 인력입니다. 여기서 인력이란 보안 관리자뿐 아니라 서버 및 네트워크 등의 인프라 운영자를 포함합니다. 업무 수행을 위한 보안 인력들은 보안의 중요성을 공감하고 기술적인 연결 지점에 관한 소통이 필수적입니다. 보안을 유지하는 것은 기술만으로는 한계가 분명한 영역이기 때문입니다. 시간과 비용을 들여 인력을 양성하고, 임직원들의 마인드 교육이 필요한 이유가 여기에 있습니다. 의사 결정권자의 지속적인 관심 역시 매우 중요한 영역이라 할 수 있습니다.

Process

점점 지능화되고 있는 보안 위협을 기술과 솔루션으로만 방어할 수 없는 환경이 되었습니다. 해커는 한발 앞선 공격 기술로 보안팀이 미처 생각하지 못한 틈을 찾아내 파고듭니다. 이럴 때 Process 강화가 필요합니다. 기술만으로는 막을 수 없는 틈을 조기 탐지하거나 사전 방어를 할 수 있기 때문입니다.

Product

안전한 제품을 만들기 위해서 보안은 개발 과정의 처음부터 끝까지 간과해서는 안 될 매우 중요한 요소입니다. 소프트웨어 테스팅과 마찬가지로 개발 수명 주기 초기부터 고려되어야 하며, 제품의 신뢰성을 위해 개발 과정에서 발견되는 코드의 보안 결함은 반드시 조치되어야 합니다.

[여기서 잠깐!] 삼성SDS 데이터센터는 철통같은 보안을 위한 세 가지 원칙을 지킵니다.

삼성SDS의 데이터센터 보안은 '들어오지 못하게', '들어와도 나가지 못하게', '나가더라도 무용지물 되게' 라는 세 가지 원칙을 가지고 설계됩니다.


이를 위해 삼성SDS는 사람(People)을 교육시키고, 절차(Process)를 규정하며, 제품(Product)을 검증하여 보안을 강화하고 있습니다. 기업들의 중요 정보가 집약된 데이터센터는 늘 예측할 수 없는 위협에서 자유롭지 않기에, 안전한 데이터센터를 위해서 언제나 예의 주시하며 철저한 준비와 방어가 필요합니다.

양해용 프로 / 삼성SDS
보안기획, 클라우드보안, 보안사고조사, 물리보안, 보안컨설팅 등 19년간 다양한 분야의 보안업무를 수행하였으며, 소프트웨어 보안 평가, 보안 위협 모델링 이상 에이콘 출판사 등 영문 보안서적 6권을 번역한 전문성을 보유하고 있습니다.
김세영 프로 / 삼성SDS
데이터센터/클라우드 보안정책 수립, 아키텍처 보안성 검토, 취약점 점검 업무를 수행하며 보안 진단 경험과 전문성을 보유하고 있습니다.
클라우드 기술 백서 관련하여 궁금하신 사항은 이곳으로 문의주세요.
전문가 상담하기 무료체험 하기
좋아요
목록 보기
공유하기