요즘 4차 산업혁명이라는 용어가 유행어처럼 이슈가 되고 있는데 이를 가능케 해주는 기반 원동력이 클라우드 기반기술 입니다. 국내의 경우는 기업을 중심으로 시장이 지속적으로 증가하는 추세(평균 17%)이며, 정부의 활성화 계획을 통해 지속적으로 확산이 예상되며, 해외의 경우 (미국, 일본 등)도 종부의 적극적 지원에 따라 시장규모가 꾸준히 증가하는 추세(평균 16.3%)입니다. Gatner의 조사자료에 따르면 국내시장의 경우 ‘20년 64억달러 규모로 성장하며, 해외시장은 ‘20년의 경우 3,834억달러 규모로 성장을 한다고 예측되었습니다.
하지만 클라우드 서비스는 IT자원(HW, SW 등)을 네트워크를 통해 사용하는 서비스로서, 다양한 보안위협이 존재하며, 특히 가상화 기술을 활용하기 때문에 다양한 공격경로를 통한 악성코드 전파가 용이하고, 클라우드 만의 취약점이 발생 가능하다는 것입니다.
좀더 구체적으로 살펴보면, 첫째 클라우드 정보위탁의 특성으로 인해 악의적인 내부자 및 관리자 실수에 의한 정보 유출 및 손실 위협이 존재하며, 둘째 IT 자원이 클라우드 센터에 집중된 형태로 침해사고 발생 시 자원을 공유하는 모든 사용자의 서비스에 장애 발생 가능하며, 셋째 데이터가 많은 서버들에 분산 저장 / 관리됨에 따라 데이터 암호화, 사용자인증, 접근제어 등의 어려움이 증가되며, 넷째 클라우드 서비스는 정보의 소유와 관리 주체 분리, 서버의 분산배치 등으로 인하여 기존의 법규와 규제로 적용이 어렵다는 것입니다.
이중에서도 가장 많이 나타나는 사례가 해킹이나 관리부주의로 인해 개인정보침해, 서비스 장애, 데이터 손실로 이어지는 사고가 일반적입니다. 이는 글로벌 기업인 애플, 아마존, 마이크로소프트, 페이스북 등을 비롯하여 국내의 여러 온라인 서비스업체에서도 공통적으로 나타나는 현상입니다.
그렇다면 이런 “보안사고 발생시 그에 대한 책임은 어떻게 될까?” 라는 궁금증이 발생하며 국내/외에서는 법적소송으로 이어지는 기사도 많이 접하고 있습니다. 따라서 사람들 인식은 클라우드 서비스 제공자가 보안에 대한 모든 책임을 가지고 있다고 오해하는 경우가 많습니다. 하지만 클라우드 서비스는 사업자와 이용자가 보안에 대한 책임을 공유하고 있으며 각 서비스(IaaS, PaaS, SaaS)에 다라 책임의 범위가 틀립니다. 이는 IT회사의 영역과 클라우드 서비스간의 영역으로 나뉘어지게 되고, 보안사고의 발생 위치에 따라 책임범위가 틀려지게 됩니다.
예로 온프라미스 형태의 전통적인 IT의 경우 모든 관리영역이 기업내부에서 이루어지고 있기 때문에 그 책임의 전가는 IT서비스 회사가 지게 됩니다. IaaS의 경우는 네트워크, 스토리지, 서버, 가상화 영역은 클라우드 제공업체가 담당하며, 그 외의 데이터관리, 운영체제, 미들웨어, 애플리케이션은 기업에서 책임을 지게 됩니다. PaaS의 경우는 애플리케이션과 데이터만 기업에서 관리하고, 나머지 영역은 클라우드 서비스 업자가 책임을 전가하게 됩니다. 마지막으로 SaaS의 경우는 모든 영역을 클라우드 서비스 제공자가 책임을 전가합니다.
앞으로는 산업은 클라우드 환경에서 제공받는 서비스는 무수히 많아질 것이며, 이에 따른 보안의 전략에도 많은 변화가 요구되고 있으며, 특히 클라우드 형태의 보안 서비스(SECaaS : Security as a Service)가 현재 주목을 받고 있습니다.
지속적으로 발전하는 클라우드 환경에 대해 외형적인 덩치만을 키우는 것도 중요하지만 내형적인 중요자료에 대해 안전하게 지킬 수 있도록 정부 / 기업간의 긴밀한 협력과 클라우드의 정보보호 관련 정책 주진 등 앞으로의 더 발전이 될 수 있기를 기대해 봅니다.
