비용 효율적이고 확장 가능한 IT 솔루션에 대한 수요 증가, 빅데이터 및 사물인터넷(IoT)과 같은 데이터 집약적 애플리케이션의 성장 등 여러 요인으로 클라우드 시장은 전 세계적으로 성장하고 있습니다. 가트너에 따르면 2023년 전 세계 클라우드 시장 규모는 2022년 4,903억 달러에서 20.7% 증가한 5,918억 달러로, 2022년 전망치였던 18.8%보다 높은 수치를 보였습니다[1]. 뿐만 아니라 2025년 전 세계 클라우드 시장 규모는 8,375억 달러로 전망되고 있으며, 국내 클라우드 시장은 2022년 기준 약 5조 원으로, 2025년에는 11조 6,000억 원 규모로 성장할 것이라고 예상됩니다.
이 같은 성장세에 반해, 2022년 발표된 클라우드 보안 리포트에 따르면 지난 1년 간 27%의 기업이 퍼블릭 클라우드 보안 사고를 경험했고, 이는 전년도 대비 10% 증가한 수치입니다[2]. 이 중 구성 오류를 경험한 기업은 23%로 가장 많았으며, 사용자 데이터 노출 사고(15%)가 그 다음을 이었습니다. 이 같은 사이버 보안 사고가 발생될 경우 기업의 보안성에 대한 사용자의 신뢰도가 급격히 떨어질 수 있기 때문에 클라우드 보안은 점점 더 중요하게 여겨지고 있습니다. 이번 포스팅에서는 IT인프라를 클라우드 환경에서 운영할 때 발생할 수 있는 보안 측면의 고려사항에 대해 알아봅니다.
클라우드 도입과 보안
앞서 살펴봤듯이 클라우드는 IT인프라 확장과 축소를 물리적 단위가 아닌 가상화 단위로 처리하여 유연성과 적시성을 부여하는 컴퓨팅 방식을 뜻합니다. 클라우드는 프라이빗, 퍼블릭, 하이브리드 방식이 있고, 이중 퍼블릭은 클라우드 서비스 공급자가 물리적 IT인프라와 서비스를 소유 및 운영하고 종량제 방식으로 다수의 기업에 공급하는 형태를 말합니다. 현재 퍼블릭 클라우드 서비스를 제공하는 서비스 공급자는 전세계적으로 아마존웹서비스(AWS, Amazon Web Services), 마이크소프트 애저(Microsoft Azure) 및 구글 클라우드(Google Cloud) 등이 있습니다. 기업은 이 업체들을 통해 서버와 소프트웨어를 직접 구입하지 않고도 IT 시스템을 운영하고 필요에 따라 컴퓨팅 자원을 확장할 수 있습니다. 클라우드 방식의 IT인프라 운영을 통해 시스템을 쉽게 사용하고 유지 관리할 수 있는 장점에도 불구하고, 인터넷을 통해 접속되는 퍼블릭 클라우드의 특징은 이용기업으로 하여금 자사의 데이터와 워크로드를 퍼블릭 클라우드에 저장하는 것에 우려를 가지게 합니다. 퍼블릭 클라우드 서비스 공급자들은 이용 기업이 데이터와 애플리케이션을 보호할 수 있도록 차별화된 보안 기능과 도구를 제공하기 위해 노력하고 있습니다.
보안 우려 없이 클라우드의 장점을 취하기 위해 클라우드 환경에서의 보안 고려사항에 대해 살펴보겠습니다.
클라우드 보안이란?
클라우드 보안은 클라우드 컴퓨팅 환경에서 데이터, 애플리케이션 및 인프라 서비스를 보호하기 위한 일련의 정책, 제어 및 기술을 뜻합니다. 보안의 3대 기본 원칙인 데이터 기밀성(Data Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하면서 데이터, 애플리케이션 및 인프라의 보안을 유지합니다. 이와 같은 보안 조치를 통해 클라우드 컴퓨팅 환경을 외부 및 내부의 보안 위협과 취약성으로부터 보호하는 것을 말합니다.
클라우드 보안은 클라우드 자원에 대한 접근을 통제하고 관리하는 데 사용되는 프로세스와 시스템, 클라우드를 구성하는 인프라를 대상으로 합니다. 이를 통해 클라우드가 호스팅하는 애플리케이션과 데이터를 보호하게 되고, 개인정보보호, 기밀성 및 무결성을 유지함으로써 비즈니스 연속성 보장과 재정적 손실 회피라는 궁극적 목표를 달성하게 합니다.
기업마다 비즈니스 애플리케이션과 워크로드가 다르기 때문에 모두를 만족시킬 하나의 클라우드 보안 유형은 없습니다. 클라우드 보안 유형에는 이용기업에 허용되는 제어, 보안 및 접근성 수준이 각각 상이한 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드 등 세 가지의 옵션이 있으며, 기업은 비즈니스 애플리케이션의 형태에 따라 적합한 유형을 선택할 수 있습니다. (클라우드 유형에 대해서는 ‘퍼블릭 vs 프라이빗 클라우드’ 및 ‘하이브리드 클라우드’ 등의 기존 포스팅을 참조해주십시오.)
보안과 확장성을 위한 하이브리드 클라우드
보안에 대해 민감하지만 워크로드 변동성이 높다면 프라이빗 클라우드나 하이브리드 형태의 클라우드를 이용하는 것이 좋습니다. 프라이빗 클라우드는 주로 대기업 정부기관 및 금융기관에서 도입하는 클라우드 컴퓨팅 유형입니다. 프라이빗 클라우드를 통해 기용기업은 특정 비즈니스 요건이 충족되도록 클라우드 환경을 제어할 수 있으며, IT인프라 자체가 다른 기업과 공유되지 않기 때문에 높은 수준의 제어 및 정보보호가 가능합니다. 또한 하이브리드 클라우드를 선택해 민감한 데이터는 프라이빗 클라우드에 저장하고 공유 가능한 범용 데이터는 퍼블릭 클라우드에 저장해 유연하고 비용 효율적으로 구성하는 것도 가능합니다. 많은 기업이 하이브리드 클라우드 도입을 통해 퍼블릭 클라우드의 보안 위험을 대체하고 있습니다.
이렇게 하이브리드 클라우드 사용이 높아지고, 클라우드 환경이 복잡해지면서 클라우드 보안에 대한 책임소재 문제도 새로운 화두가 되고 있습니다. 그런 측면에서 정부가 먼저 관련 규제를 내놓기 시작했습니다. 과학기술정보통신부는 지난 1월 31일 공공시설에 도입되는 클라우드 컴퓨팅의 보안 안정성을 높이기 위해 ‘클라우드컴퓨팅서비스 보안인증(CSAP)에 관한 고시’ 및 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준’ 개정안을 고시하며 관련 법령을 정비하고 있습니다. 개정안에 따라 국내 공공 시장에 도입되는 클라우드 서비스에 대해 보안인증의 등급을 부여하기로 했습니다. 국내 클라우드 서비스 시장이 성숙해지는 단계에서 규제가 증가하는 것에 대한 여론의 갑론을박이 이어지고 있는 상황이지만 그만큼 클라우드 시장에서 보안이 핵심 화두라는 것을 반증한다고 볼 수 있습니다.
보안이 중요하다면 프라이빗 클라우드
퍼블릭 클라우드의 보안사고는 설정상의 취약과 데이터 노출, 클라우드 도메인을 이용한 공격 등 다양합니다.
최근 기업들은 프라이빗 클라우드를 통해 IT인프라 확장성을 확보하면서 보안 이슈에도 대응하고 있습니다. 클라우드 유형마다 장단점이 있듯이 프라이빗 클라우드에도 단점은 존재합니다. 그럼에도 기업들이 프라이빗 클라우드를 선택하는 몇 가지 이유를 보안 관점에서 알아봅니다.
프라이빗 클라우드는 클라우드가 방화벽 뒤에 위치해 회사가 데이터에 접근할 수 있는 사람을 완전히 제어하고 데이터 유출 위험을 차단할 수 있다는 장점이 있습니다. 퍼블릭 클라우드 공급업체는 큰 규모의 사용자와 트랜잭션의 트래픽을 동시에 처리해야하기 때문에 악성 트래픽이 발생할 가능성이 크지만, 프라이빗 클라우드는 전용 물리적 인프라로 구성되기에 보안을 더 효과적으로 제어할 수 있습니다. 또한, 기존 애플리케이션 모델과 클라우드 네이티브 애플리케이션 모델을 모두 지원하기 때문에 끝없이 변화하는 비즈니스 환경 및 IT 요구에 따라 인프라를 유연하게 변환하고 복잡성을 해소할 수 있습니다. 이는 빠르게 변화하는 비즈니스의 니즈에 따라 신속히 대응할 필요가 있는 기업 혹은 기업만의 특별한 조건에 맞도록 클라우드 환경의 수정 및 변경이 필요한 기업이 프라이빗 클라우드를 더 선호하는 이유로 볼 수 있습니다. 또한 프라이빗 클라우드를 사용해 데이터 보호, 문제해결 같은 인프라 관리 작업 등 운영을 자동화하고 셀프 서비스 기능을 지원하면서 IT 직원은 반복되는 관리 작업에서도 자유로워지면서 투입 시간을 최소화할 수 있습니다.
단, 프라이빗 클라우드는 클라우드를 시작하고 운영을 하기 위해서 초기 투자에 부담이 클 수 있다는 점을 유념해야 합니다. 그렇기 때문에 퍼블릭 클라우드, 하이브리드 클라우드가 가진 다양한 측면을 완전히 이해한 후 기업의 니즈에 가장 적합한 형태의 클라우드를 선택하는 것이 중요합니다.
보안 전문성을 가진 기업이 공급하는 클라우드
기업과 기관의 클라우드 도입이 증가함에 따라 클라우드 보안은 최근 널리 논의되는 주제로 꼽히고 있습니다. 클라우드 컴퓨팅의 급속한 성장과 함께 사이버 위협, 데이터 유출 및 기타 보안 문제 또한 함께 크게 증가했습니다. 이에 여러 기업과 기관은 클라우드에 저장된 민감한 데이터의 보안과 클라우드 인프라 및 데이터를 보호하기 위해 강력한 보안 조치를 채택해야 할 필요성에 대해 더 많은 관심을 갖게 되었습니다. 사이버 위협의 증가, 클라우드의 확산과 클라우드 환경의 고도화에 따라 동시에 증가할 클라우드 보안에 대한 수요는 계속해서 증가할 것으로 전망하고 있습니다. 클라우드에 특화된 기술력도 계속해서 발전될 것이고 동시에 규제사항도 많아질 것입니다. 이때 기업들은 비즈니스에 최적화된 IT인프라 운영 방식을 선택하고 조직원들과의 이해도를 높이며 이를 효율적으로 운영하기 위한 방법을 전략적으로 구상해야 합니다. 그리고, 클라우드 공급자의 보안에 대한 기술적 전문성과 보안 인프라에 대한 투자 수준을 검증하는 것도 중요합니다. 도입하려는 클라우드가 신뢰할 만한 공급자로 부터 서비스되는 것인지에 대한 확인이 클라우드 보안의 첫걸음 입니다.
해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 다우기술에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
Featured images via gettyimages.
References
1. 2023년 전세계 퍼블릭 클라우드 시장 규모 전망 보도자료, 가트너, 2022
2. 2022 Cloud Security Report, CyberSecurity INSIDERS, 2022