지금부터 본격적으로 클라우드 보안에 대해 살펴봅시다.
온프레미스와 마찬가지로 클라우드 환경에서도 보안 위협은 발생합니다. 앞서 클라우드 개념과 마찬가지로 주거 형태로 예를 들어 봅시다. 내가 관리하는 내 집인 경우 그 관리 책임은 자신이겠지만 숙박 업체의 경우에는 책임의 주체가 애매모호합니다. 외부적인 침입, 즉 건물로 아무나 못 들어오게 하거나 홍수, 재해 등의 위험으로부터 방어하는 것은 숙박 업체의 몫일 것입니다. 그런데 내가 빌린 방에 누군가 들어와서 지갑이나 중요 파일을 훔친다면 어떻게 될까요? 예를 들어 같이 숙박하던 친구가 훔쳤거나 또는 내가 방 키 관리를 잘못했다면 빌린 사람의 책임이기도 합니다. 이런 경우에는 상황을 고려하여 누구의 책임인지를 따져야 합니다. 이는 클라우드 환경에서도 마찬가지입니다.
실제 클라우드 공급 업체에서 제공하는 인프라와 서비스를 사용하는 환경에서 만약 사고가 발생한다면 누구의 책임일까요? 글로벌 보안 기업 탈레스와 포네몬 연구소에 따르면, 클라우드에서 데이터 보호의 책임에 대해 조사 대상 기업의 31%는 자신의 책임으로, 33%는 기업과 클라우드 공급 업체의 공동 책임으로, 35%는 클라우드 공급 업체의 책임으로 인식하는 것으로 나타났습니다. 즉 35%에 달하는 많은 기업이 클라우드 활용 시 클라우드 사업자가 모든 책임을 질 것으로 생각하고 있다는 것입니다.
앞서 말한 것처럼, 퍼블릭 클라우드 환경에서 보안 사고나 장애 사고 발생 시 클라우드 서비스 공급 업체가 제공하는 서비스가 어디까지인지 보고, 누구의 책임인지를 확인해야 한다. 이것을 클라우드 서비스 공급자는 ‘공동 책임 모델(Shared Responsibility)’이라고 설명하고 있습니다. 공동 책임 모델이란 클라우드 환경에서 보안은 클라우드 사업자와 기업이 함께 책임을 공유한다는 개념입니다.
[그림 1 AWS 공동 책임 모델 (출처: aws.amazon.com) ]
[그림 1]은 아마존웹서비스(이하 AWS)에서 기업과 클라우드 서비스 사업자 간의 보안 책임 범위를 설명한 것입니다. AWS 가 서비스하는 하드웨어, 네트워크, 시스템 등은 AWS 의 책임 범위이고 그 위에 고객이 직접 관리하는 영역에서의 보안, 예를 들어 네트워크 트래픽 관련 보안, 방화벽 설정, 암호화, 애플리케이션, 접근 제어, 데이터 보안 등은 모두 고객의 책임이라고 이야기하고 있습니다.
[그림 2 애저(Azure) 공동 책임 모델 (출처:docs.microsoft.com) ]
[그림 2]는 애저(Azure)의 공동 책임 모델이다. 그림에서 파란색으로 표기된 것이 고객, 회색이
마이크로소프트사의 책임 범위입니다. IaaS, PaaS, SaaS 등의 서비스 유형에 따라서 마이크로소프트사와 고객의 책임 범위가 달라진다는 것을 보여주고 있습니다.
결론적으로 기존의 온프레미스 환경에서는 기업이 모든 책임을 지지만, 클라우드 환경에서는 CSP(Cloud Service Provider)와 기업이 각 범위를 나누어서 보안을 책임져야 하며, 이를 보안 담당자는 명확히 인지해야 합니다.
이러한 '공동 책임 모델' 하에서 고객이 직접 관리하는 영역에서도 안전한 보안을 책임지고 싶다면? 서버 워크로드 중심의 보안 위협 관리 및 대응 플랫폼 AhnLab CPP에 대하여 자세히 알아보세요.
참고자료:
본 글은 아래 보고서를 기반하여 작성되었습니다. 더 자세한 내용은 아래의 자료를 참고하시기 바랍니다.
안랩, [백서] 클라우드 보안 위협에 대비하는 방법