서비스 업체들, VM 불법접근 및 DDoS 공격차단 등 보안 강화 한창

국내 클라우드 컴퓨팅 시장은 2014년 2조원 규모로 급성장이 예상된다. 그러나 보안은 여전히 시장 활성의 최대 걸림돌로 작용하고 있다. 보안에 대한 보장이 없이 클라우드 서비스 확대는 한계가 있을 수밖에 없다. 클라우드 서비스 전문 업체들이 VM 독립성 유지 및 불법접근 차단, 대형 DDoS공격 대비책 등 다양한 방안을 마련하고 있는 이유이기도 하다. 이들 서비스 업체들은 오히려 "서비스의 보안성과 안전성을 높였기 때문에 기업에서 직접 시스템을 관리, 운영하는 것보다 전문 업체로부터 서비스를 받는 게 오히려 보안 강화에 더 효과적일 수 있다"며 자신감마저 드러내고 있다.
예상되는 보안위협은 어떤 것들이 있고, 현재 제공하는 클라우드 서비스의 보안 수준은 어느 정도인지 집중 살펴본다.

퍼블릭 클라우드 서비스는 비용절감, 확장성 등의 이점을 앞세워 인터넷 게임, 쇼핑몰 등 중소기업들을 중심으로 시장을 확대하고 있다. 반면, 프라이빗 클라우드는 내부정보의 유출 가능성, 서비스 장애로 인한 비즈니스 영향 등을 고려한 중견, 대기업들을 중심으로 도입이 확대되고 있다.

중요 정보가 많은 중견, 대기업의 경우 많은 비용을 들여 회사 내부나 써드 파티(협력사) 데이터센터에 독립적으로 클라우드 플랫폼을 직접 구축하는 프라이빗 클라우드를 더 선호하고 있다. 해당 업체들이 아무리 퍼블릭 서비스의 안전성을 강조해도 통제권이 외부에 있으면 불안해하는 기업들이 프라이빗 클라우드 서비스를 선호하고 있는 것이다.

클라우드 서비스 전문 업체에 의해 회사 외부에서 제공되는 퍼블릭 클라우드 서비스는 다른 사용자들과 물리적인 자원 하나를 논리적으로 공유, 임대해 쓰는 방식이라 정보유출, 악성코드 감염 등 보안위협이 높다는 생각을 갖고 있다. 클라우드 서비스 도입기에 있는 국내에서는 아직 알려진 보안 사고는 없지만, 실제 해외에서는 퍼블릭 클라우드 서비스 관련 정보유출이나 서비스 중단과 같은 크고 작은 보안 사고들이 발생하고 있다.

보안에 대한 막연한 두려움

클라우드 서비스 이용 시 발생할 수 있는 기술적 보안 위협으로는 접근 통제 우회, 가상머신과 하이퍼바이저의 취약성을 이용한 공격, 네트워크 도청, 클라우드 인프라를 통한 악성코드 유입 및 전파, 분산서비스 거부공격(DDoS), 완전하지 않은 데이터 삭제로 인한 복원 가능성, 개인정보 유출, 데이터 유실, 프라이버시 침해 등 다양하다.

뿐만 아니라 악의적인 내부자, 퇴사자에 의한 시스템과 네트워크 통제, 현지 법률 저촉으로 인한 데이터 몰수 또는 원치 않는 데이터 공개(법원 제출), 폐업으로 인한 서비스 중단 및 데이터 유실 등 관리적인 보안위협도 존재한다.

이와 관련 업계의 한 관계자는 "클라우드 보안 위험이 과연 어떤 것인지 서비스를 받는 고객도 제공하는 업체들도 정확히 알지 못하고 있다. 서비스에 대한 인식의 차이겠지만, 외국 보다 국내 고객들은 막연한 두려움을 가지고 있는 경향이 강하다. 이를 없애기 위해 발생 가능한 위협에 대해 분석한 후 단계적인 보안적용 계획을 수립해나가고 있다"고 밝혔다.

기본적으로 퍼블릭 클라우드 서비스 업체들은 보안을 위해 시스템과 네트워크를 물리적으로 분리했고 서비스 중단이 없도록 데이터센터 내 전원시설이나 보안장비를 2~3중화해 서비스를 제공하고 있다. 뿐만 아니라, 트래픽을 실시간 모니터링하고 통합보안관제를 수행하여 바이러스, DDoS 공격으로 인한 보안위협을 막고 있다.

더 나아가 업체별 차별화된 보안 솔루션을 추가해가며 고객 확보에 속도를 내고 있다. 현재 클라우드 서비스(IaaS) 고객에게 방화벽, DDoS 차단(KT 제공) 기능 정도가 무료로 제공되고 있으며 IPS/IDS, VPN 등의 기능이 유료로 서비스되고 있거나 서비스 준비 중에 있다. 향후 업체들은 웹방화벽, 클라우드 환경에 특화된 백신, DB암호화, e-디스커버리, 디지털 포렌식 등 보안 기능을 제공해 나간다는 계획이다.

방화벽, VLAN, DDoS차단 등 기본 제공

물리적 자원의 공유를 통해 발생되는 문제 즉, 동일한 네트워크로 타고객의 VM이 나의 VM에 접속할 수 있고, 타고객의 VM이 DDoS 공격을 받아 클라우드 인프라서비스 중단 시 나의 VM도 같은 영향을 받을 수 있다. 이런 문제를 해결하고자 KT는 고객들의 VM이 동일한 네트워크에 존재하지 않도록 고객마다 독립된 VLAN을 제공, VM에 대한 사설 네트워크를 제공함으로써 관리자의 인위적 적용을 제외한 외부자의 VM 접근을 기본적으로 막고 있다. 또한 DDoS 차단솔루션을 기본으로 제공함으로써 클라우드 인프라 및 고객서비스를 보호하고 있다고 밝혔다.

호스트웨이는 가상서버들 간의 보안 및 물리적 서버 팜에 대한 보안 이슈를 해결하기 위해 가상서버들 사이에 공유형 클라우드 방화벽 기능을 통해 보안기능을 제공하고 있다. 또 물리적인 서버 팜에는 전용 방화벽 및 해당 OS 정책을 통해 외부로부터 허가되지 않은 접근을 원천적으로 차단하고 있다.

호스트웨이는 "기본적으로 제공되는 방화벽 외에 유료로 웹방화벽, IPS 등을 구축해 개별적으로 보안성을 높일 수 있도록 서비스 중이며 HA(High Availability)구성 및 CDP백업(유료)을 제공해 안정성 높은 클라우드 서비스를 이용하도록 하고 있다"고 전했다.

SK텔레콤은 방화벽, DDoS, IDS, VPN 등 네트워크 보안 솔루션 구축을 완료하고 보안관제를 수행하고 있으며 지속적으로 보안을 강화해 나갈 계획이라고 밝혔다. 특히, DB암호화, 문서암호화, N/W 통신암호화 등 고객 데이터 보안 강화에 중점을 둘 예정이다. 문서암호화의 경우 SKT의 분산파일시스템에 인텔의 AES-NI와 같은 H/W 기반 암호화 기능을 탑재해 암호화로 인한 성능저하가 없도록 할 방침이다.



<이하 상세 내용은 컴퓨터월드 6월 호 참조>

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지