클라우드 컴퓨팅의 보안이슈
양희동 교수 (이화여자대학교 경영대학)
1. 데이터 유출 (Data Breaches)
클라우드를 업무시스템으로 사용하는 기업에게 가장 두려운 일은 자사의 데이터가 유출되는 것이다. 클라우드는 기존의 서버 기반 환경보다 네트워크 접근성이 확대되어 해커들에게 그만큼 다양한 공격 경로를 제공할 수 있다. 따라서 클라우드 데이터의 저장과 관리에 있어 이러한 가능성이 고려되어야 한다. 데이터 유출 예방을 위한 방법으로는 암호화, 키 관리, 인증과 접근제어 등이 있다.
2. 데이터 소실 (Data Loss)
클라우드 서비스는 여러 채널과 경로를 통해 여러 사람이 동시에 접속할 수 있어 사용자에게 편리함을 제공하지만 누군가 삭제를 하거나 수정해버린 데이터는 다시 되돌릴 수 없다. 데이터의 삭제나 수정은 갱신으로 이해할 수도 있지만 기존 데이터의 소실이기도 하다. 데이터 소실을 예방하기 위해서는 이전 데이터를 백업해 두는 수 밖에 없다.
3. 계정 또는 서비스 탈취 (Account or Service Hijacking)
클라우드 서비스는 계정 정보에 기반하여 사용자를 인식하여 정보를 제공한다. 만약 사용자의 계정 정보가 탈취된다면 기업의 기밀 정보를 엿볼 수 있고, 관리자로서 다른 계정을 삭제하거나 기업의 클라우드 서비스 계약 정보를 변경할 수도 있다. 이를 예방하기 위해 Two-factor 인증 등으로 인증을 강화하거나 사용자의 활동을 모니터링하여 대처할 수 있다.
4. 안전하지 않은 APIs (Insecure APls)
클라우드 서비스는 서비스 운영 및 관리를 위해 다양한 API를 제공하고 있다. 하지만 이러한 API의 취약점을 통해 사용자의 인증을 우회하거나 접근이 제한된 데이터에 접근하는 등의 보안 사고가 발생할 수 있다. 이는 클라우드 웹방화벽(Web Application Firewall) 설치를 통해 예방할 수 있다.
5. 서비스 거부 (Denial of Servic : DoS)
클라우드 환경에서도 서버의 자원을 소진하여 서비스를 불가능하게 만드는 서비스 거부(DoS) 공격이 가능하다. 서비스 거부 공격은 클라우드 서비스를 이용하는 기업의 업무가 원활하게 이루어지는 것을 방해할 것이다. DoS 공격은 백신 프로그램의 업데이트와 보안 패치 설치, 방화벽 및 침입탐지시스템(IDS) 등 네트워크 보안 시스템을 설치하여 예방할 수 있다.
6. 악의적인 내부 사용자 (Malicious Insiders)
기업의 클라우드 서비스 사용에 있어 퇴사한 직원의 계정이 즉시 삭제되지 않았거나, 직무의 조정으로 접근 불가능한 권한이 아직 유효한 경우 이를 악용할 수 있다. 이러한 악의적인 내부 사용을 막기 위해서는 사용자의 계정과 권한에 대해서 지속적인 관리와 감사가 이루어져야 한다.
7. 클라우드 서비스의 남용 (Abuse of Cloud Services)
해커들은 클라우드의 거대한 전산자원을 활용하여 암호를 해독하거나 사용자의 패스워드를 획득하기도 한다. 또한 해커들은 클라우드 환경에서 여러 개의 가상머신이 동시에 동작하도록 하는 가상화 기술을 이용하여 다른 가상머신을 공격하는 기법을 연구하기도 한다. 이를 막기 위해서는 기술적인 방법보다는 클라우드 이용자에 대한 지속적인 모니터링과 운영 정책의 적용이 이루어져야 한다.
8. 클라우드 서비스 이해 부족 (Insufficient Due Diligence)
기존의 업무 시스템을 가상화하여 가상머신으로 동작하게 되면 하드웨어나 네트워크의 직접적인 제어가 불가능해진다. 이러한 클라우드 환경에 대한 이해가 부족하다면 가상화 후의 시스템에 치명적인 취약점을 야기시킬 수 있다. 따라서 업무시스템이 클라우드의 가상화 환경에서 안전성을 충분히 확보할 수 있는지 여부를 사전에 충분하게 검토해야 한다.
9. 공유기술의 취약점 (Shared Technology Vulnerabilities)
클라우드 기술 내부에는 상당히 많은 요소기술이 있다. 예를 들어, 하드웨어 측면만 해도 CPU, 메모리, 저장장치 등의 많은 요소들이 대량으로 서로 연결되어 있다. 따라서 내부의 요소기술이나 하드웨어에서 발견되는 취약점이 클라우드 전체의 취약점으로 연결될 수 있다. 이는 각 가상 머신마다 방화벽, 통합위협관리(UTM) 등 보안 장비를 설치하여 예방할 수 있다.