클라우드 서비스
인터넷을 통해 IT리소스와 애플리케이션을 원할때 언제든지 제공받고, 사용한 만큼에 대해서만 지불하는 서비스
클라우드 컴퓨팅 서비스 유형(구축 방식)
1. 프라이빗 클라우드
클라우드 컴퓨팅 서비스와 인프라가 기업 자체의 인트라넷이나 데이터 센터 내에서만 호스팅되는 온디맨드 클라우드 구축 모델
자체적으로 클라우드를 구성하여 서비스를 제공한다.
2. 퍼블릭 클라우드
클라우드 제공 업체가 여러 고객에게 제공하는 클라우드 서비스 구축 모델
3. 하이브리드 클라우드
온프레미스 인프라, 프라이빗 클라우드, 아마존 웹서비스 같은 퍼블릭 클라우드로 구성하는 모델
4. 멀티 클라우드
여러 프라이빗 및 퍼블릭 클라우드 전체에서 애플리케이션 서비스 제공하도록 하는 모델
데이터 손실의 우려로 여러 클라우드를 이용하는 사람, 기관 증가 추세
클라우드 컴퓨팅 서비스 유형(서비스모델)
1. SaaS
일반 사용자 대상, ASP(Active Server Page)와 같이 즉시 사용할 수 있는 완전한 서비스
2. PaaS
개발자 대상, 프로그램 언어 미들웨어 개발환경 API 등 제공
3. IaaS
시스템 관리자 대상, 하드웨어 인프라 자원을 서비스로 제공
3개를 같이 사용하는 경우도 많음
세계 클라우드 시장규모는 앞으로 높아질 것으로 전망된다.
클라우드 서비스 보안 위협
1. 데이터 침해
표적 공격 또는 단순한 사람들의 실수, 취약성, 부적절한 보안 관행, 공개되지 않은 모든 종류의 데이터 유출
2. 잘못된 구성 및 부적절한 변경 제어
컴퓨팅 자산을 설정할 때 구성 오류가 발생함
3. 클라우드 보안 아키텍처 및 전략 부족
사이버 공격을 견딜 수 있는 적절한 보안 아키텍처 구현이 미흡함
4. 불충분한 아이덴티티, 자격 증명, 액세스 키관리
중요한 리소스에 대한 액세스를 관리, 모니터링 할 수 있는 도구 정책 미흡
5. 계정 도용
피싱 공격, 클라우드 기반 시스템의 악용 또는 도난당한 자격 증명을 통한 계정 도용
6. 내부자 위협
조직의 자산에 대한 액세스 권한이 있거나 없는 개인이 악의적이거나 의도하지 않은 방식으로 액세스하여 악의적인 영향 발생
7. 안전하지 않은 인터페이스와 API
클라우드 사업자가 제공하는 API와 사용자 인터페이스는 일반적으로 시스템에서 가장 노출된 부분으로 외부에서 공격받을 가능성 존재
8. 취약한 제어 영역
데이터 스토리지 등 새로운 제어 영역에 대한 통제 미흡
9. 메타 구조와 응용 구조 실패
클라우드 서비스 제공 업체에서 제공하는 메타 구조 계층에 통합된 운영 및 보안 기능 제공시 발생할 수 있는 장애 및 취약점
10. 제한된 클라우드 사용 가시성
클라우드 서비스 사용의 제안된 가시성으로 인해 발생할 수 있는 취약점
11. 클라우드 서비스의 남용 및 악의적인 사용
클라우드 컴퓨팅 리소스를 활용하여 사용자, 조직 또는 기타 클라우드 공급자를 대상으로 악의적인 행위 수행
국내 클라우드 관련 법률
클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률이 2015년 3월 27일 제정되었고 2015년 9월 28일 시행되었다.
클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령이 2015년 9월 25일 제정되었고 2015년 9월 28일 시행되었다.
이 법에서는 공공기관이 안전하게 민간 클라우드를 이용할 수 있도록 클라우드 보안 인증제도를 마련하도록 했다. 또한 공공기관 보안 지침, 민간 클라우드 보안인증제도, 평가 등 보안 인증 체계를 마련하고 인증을 실시하였다.
클라우드 보안 인증제도는 클라우드 서비스 중에서도 공공기관에 조달하고자 하는 서비스를 대상으로 한다. 문서심사, 현장실사, 모의해킹, 취약점 점검 등의 방법으로 점검한다. IaaS, SaaS, DaaS의 인증 기준으로 점검한다.
1. IaaS
인프라 전반에 대한 인증, 예비 점검, 서면 현장평가, 취약점 점검, 모의 침투 테스트, 11개 업체가 인증
2. SaaS
표준 인증/ 간편인증, IaaS보다 범위가 넓음, IaaS인증 받은 곳에 구성해야 인증이 가능함, 23개 업체가 인증
3. DaaS
가상PC OS, 인증/관리서버, 보안 소프트웨어가 반드시 필요함, 예비점검, 서면 현장평가, 취약점 점검, 모의침투테스트로 구성
전자금융감독규정에서도 클라우드 서비스에 관련된 법률이 포함되어있다.
전자금융감독규정 제 14조 2
- 자체적으로 수립한 기준에 따른 이용대상 정보처리시스템의 중요도 평가
- 클라우드컴퓨팅서비스 제공자의 건전성 및 안전성 등 평가
- 자체 업무 위수탁 운영기준의 마련 및 준수
- 평가결과 및 자체 업무 위수탁 운영기준에 대하여 정보보호위원회의 심의·의결
- 아래의 경우 클라우드컴퓨팅서비스를 실제로 이용하려는 날의 7영업일 이전에 금융감독원장에게 보고
ㅇ 고유식별정보 또는 개인신용정보를 처리하는 경우
ㅇ 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 경우
- 아래 사항에 변경사항이 발생한 날로부터 7영업일 이내에 발생 사유, 관련 자료 및 대응계획을 첨부하여 금융감독원장에게 보고
ㅇ 클라우드컴퓨팅서비스 제공자의 합병, 분할, 계약상 지위의 양도, 재위탁 등의 사유로 클라우드컴퓨팅서비스 이용계약에 중대한 변경사항이 발생한 경우
ㅇ 클라우드컴퓨팅서비스 제공자가 서비스품질의 유지, 안전성 확보 등과 관련한 중요 계약사항을 이행하지 아니한 경우
ㅇ 4항제2호(자체 중요도 평가 기준 및 결과) 또는 제3호(클라우드컴퓨팅서비스 이용 관련 업무 연속성 계획 및 안전성 확보조치에 관한 사항)에 관한 중대한 변경사항이 발생한 경우
- 제2항(평가결과 및 자체 업무 위수탁 운영기준에 대하여 정보보호위원회의 심의· 의결)의 절차를 거친 클라우드컴퓨팅서비스 제공자의 정보처리시스템이 위치한 전산실에 대해서는 제11조제11(재해복구) 및 제12호(무선통신망 설치 제한), 제15 조제1항제5호(물리적 망분리)를 적용하지 아니한다. 다만, 고유식별정보 또는 개 인신용정보를 클라우드컴퓨팅서비스를 통하여 처리하는 경우에는 제12호(무선통 신망 설치 제한), 해당 정보처리시스템을 국내에 설치하여야 한다.
(전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치지 않는 외국금융회사의 국내지점, 제50조의2에 따른 국외 사이버몰을 위한 전자지급결제대행업자 제외)
클라우드 서비스 구축 시 고려사항
조직 관점
1. 조직 운영 : IT 인프라 및 운영 조직 변경(클라우드 관리 조직 필요)
2. 변화 관리 : 조직 및 환경 변화에 대한 인식 전환(조직원들의 변화의 저항과 변화에 대한 거부감을 최소화)
3. 교육 및 훈련 : 클라우드 기술에 대한 교육 및 훈련
4. 역할 정의 : 클라우드 운영 역할을 사전 정의함
정책 관점 고려사항
1. 정책 식별 : 서비스 도입 및 환경 구축 시, 영향 받는 정책, 지침 및 절차 식별(사전 지식 습득 필요, 변경이 필요한 정책 식별 및 개정)
2. 운용 모델 개발 : 클라우드 서비스 제공을 위한 표준 운영 모델 수립(기존 조직과 어떻게 조화롭게 구성할 것인지 고려)
3. 법률 검토 : 클라우드 환경에 대한 산업별 규제에 대해 사전 확인(공공기관의 경우 공공기관 민간 클라우드 이용 가이드라인 고려)
공공기관 클라우드 도입 시 고려사항
공공부문의 민간 클라우드 이용을 확대하기 위해 정보자원의 중요도별로 이용할 수 있는 클라우드 컴퓨팅의 종류를 정해야 한다.
공공기관은 모든 시스템에서 민간클라우드 이용이 가능하나 중앙부처와 지자체의 내부 업무시스템에서는 민간 클라우드 이용을 하면 안된다. 이는 국가 안보와 관련된 비밀, 국가안전, 국방, 통일, 외교 등 국가 중대 이익에 관련한 정보이기 때문에 따로 민간 클라우드 이용 제한 정보 시스템을 이용해야 한다. 행정기관의 내부적인 업무 처리를 목적으로 하는 시스템이다.
SaaS의 경우 간편등급 보안 인증도 이용 가능하지만 전자결재, 인사, 회계관리, 보안관련 서비스, 개인정보 파일을 운용하는 서비스를 관리하는 SaaS는 표준인증이 필수적이다.
보안 기술 관점 고려사항
1. 클라우드 보안 아키텍처 : 클라우드 서비스를 고려한 하이브리드 IT 환경 설계
2. 보안 통제 식별 : 클라우드 서비스 도입 시 영향 받는 통제 항목을 식별하고 통제 방안 수립
3. 클라우드 보안 기술 및 서비스 : 통제 사항에 대한 보안 적용 방안을 설계하기 위한 클라우드 보안 기술 및 서비스에 대한 연구와 식별
4. 표준 솔루션 검증 : 보안 솔루션이 클라우드 환경 적용 가능성과 클라우드 서비스에서 제공하는 솔루션이 보안 표준에 부합하는지 검증(클라우드 서비스에서 제공하는 솔루션이 보안 표준에 부합하는지 검증)
클라우드 서비스 구축 절차
1. 현황분석(시스템, 네트워크 및 분야별 보안 정책이 클라우드 환경에서 반영할 수 있도록 계획 수립)
2. 후보 플랫폼 설정
3. 도입 요건 검토, 협의(솔루션이나 요구사항 기준으로 일정, 가격, 세부 기능 목록 점검 방법에 대해 협의)
4. 세부 기능 점검 목록(테스트환경 구성 후 테스트)
5. 대상 플랫폼 설정
6. 아키텍처 분석, 설계
7. 퍼블릭클라우드에 서비스를 이관하고 프라이빗 클라우드 구축
8. 통합 테스트
9. 운영 적용/ 전환
이용자 관점에서의 클라우드 보안
ISMS안에서 보안 체계를 구축하고 운영해야 한다. 물리적 보안을 제외한 ISMS 전체 영역에 대한 보안 관리가 필요하다. 정보보호 정책, 조직, 자산관리, 인적보안, 외부자보안, 인증 및 권한관리, 접근통제, 암호화적용 등의 영역을 고려해야 한다. 클라우드 서비스는 클라우드 제공 업체와 서비스 이용 고객인 기업이 보안에 대한 책임을 공유하는데 이를 보안 공동 책임이라 한다. 아래 표는 클라우드 서비스 유형 별 보안 책임을 잘 정리해놓았다.
클라우드 환경의 특성을 충분히 이해해야 클라우드 보안을 적절히 수행할 수 있다. 클라우드 환경은 필요할때 서비스로 이용할 수 있고 가상적인 논리환경이다. 또한 소프트웨어 환경이며 도메인 기반의 환경이다.