주요 콘텐츠로 건너뛰기
질문으로 돌아가기

클라우드 보안이란 무엇인가요?

클라우드 보안에는 외부 및 내부 사이버 보안 위협으로부터 클라우드 컴퓨팅 환경을 보호하는 절차와 기술이 포함됩니다. 인터넷을 통해 정보 기술 서비스를 제공하는 클라우드 컴퓨팅은 혁신과 협업을 가속화하고자 하는 기업과 정부에게 필수적인 요소가 되었습니다. 현재 및 새로운 사이버 보안 위협으로부터 클라우드의 데이터와 애플리케이션을 안전하게 보호하려면 무단 액세스를 방지하도록 설계된 클라우드 보안 및 보안 관리 모범 사례가 필요합니다.

클라우드 컴퓨팅 카테고리

클라우드 보안은 사용 중인 클라우드 컴퓨팅의 범주에 따라 다릅니다. 클라우드 컴퓨팅에는 네 가지 주요 범주가 있습니다:

  • 퍼블릭 클라우드 제공업체가 운영하는 퍼블릭 클라우드 서비스 - 여기에는 서비스형 소프트웨어(SaaS), 서비스형 인프라(IaaS) 및 서비스형 플랫폼(PaaS)이 포함됩니다.
  • 퍼블릭 클라우드 제공업체가 운영하는 프라이빗 클라우드 서비스 - 이러한 서비스는 제3자가 운영하는 고객 전용 컴퓨팅 환경을 제공합니다.
  • 내부 직원이 운영하는 프라이빗 클라우드 서비스 - 이러한 서비스는 내부 직원이 제어하는 가상 환경을 운영하는 기존 데이터 센터의 발전된 형태입니다.
  • 하이브리드 클라우드 서비스 - 비용, 보안, 운영, 액세스 등의 최적화 요소에 따라 프라이빗 및 퍼블릭 클라우드 컴퓨팅 구성을 결합하여 워크로드 및 데이터를 호스팅할 수 있습니다. 운영에는 내부 직원과 선택적으로 퍼블릭 클라우드 제공업체가 참여합니다.

퍼블릭 클라우드 제공업체가 제공하는 클라우드 컴퓨팅 서비스를 사용하는 경우 데이터와 애플리케이션이 제3자에게 호스팅되므로 대부분의 데이터를 자체 제어 네트워크 내에 보관하던 기존 IT와 클라우드 컴퓨팅은 근본적인 차이가 있습니다. 보안 책임을 이해하는 것이 클라우드 보안 전략 수립의 첫 번째 단계입니다.

클라우드 보안 책임의 세분화

대부분의 클라우드 제공업체는 고객을 위해 안전한 클라우드를 만들려고 노력합니다. 이들의 비즈니스 모델은 보안 침해를 방지하고 대중과 고객의 신뢰를 유지하는 데 달려 있습니다. 클라우드 제공업체는 제공하는 서비스의 클라우드 보안 문제를 피하려고 노력할 수 있지만 고객이 서비스를 사용하는 방법, 추가하는 데이터, 액세스 권한을 가진 사람을 통제할 수는 없습니다. 고객은 구성, 민감한 데이터, 액세스 정책으로 클라우드의 사이버 보안을 약화시킬 수 있습니다. 각 퍼블릭 클라우드 서비스 유형에서 클라우드 제공업체와 클라우드 고객은 보안에 대해 서로 다른 수준의 책임을 공유합니다. 서비스 유형별로는 다음과 같습니다:

  • SaaS(서비스형 소프트웨어) - 고객은 데이터 및 사용자 액세스를 보호할 책임이 있습니다.
  • 서비스형 플랫폼(PaaS) - 고객은 데이터, 사용자 액세스 및 애플리케이션을 보호할 책임이 있습니다.
  • 서비스형 인프라(IaaS) - 고객은 데이터, 사용자 액세스, 애플리케이션, 운영 체제 및 가상 네트워크 트래픽을 보호할 책임이 있습니다.

모든 유형의 퍼블릭 클라우드 서비스에서 고객은 자신의 데이터를 보호하고 해당 데이터에 액세스할 수 있는 사용자를 제어할 책임이 있습니다. 클라우드 컴퓨팅의 데이터 보안은 클라우드의 이점을 성공적으로 도입하고 활용하기 위한 기본 요소입니다. Microsoft Office 365 또는 Salesforce와 같이 널리 사용되는 SaaS 서비스를 고려 중인 조직은 클라우드에서 데이터 보호에 대한 공동의 책임을 어떻게 이행할지 계획해야 합니다. AWS(Amazon Web Services) 또는 Microsoft Azure와 같은 IaaS 서비스를 고려하는 조직은 데이터부터 시작하여 클라우드 앱 보안, 운영 체제, 가상 네트워크 트래픽까지 포함하는 보다 포괄적인 계획이 필요하며, 각 서비스에서 데이터 보안 문제가 발생할 가능성도 있습니다.

클라우드 보안 과제

퍼블릭 클라우드의 데이터는 제3자에 의해 저장되고 인터넷을 통해 액세스되므로 안전한 클라우드를 유지하는 데 몇 가지 문제가 발생합니다. 다음과 같습니다:

  • 클라우드 데이터에 대한 가시성 - 대부분의 경우 클라우드 서비스는 기업 네트워크 외부와 IT가 관리하지 않는 디바이스에서 액세스됩니다. 즉, IT 팀은 네트워크 트래픽을 모니터링하는 기존의 방법과 달리 클라우드 서비스 자체에 대한 완전한 가시성을 확보할 수 있는 기능이 필요합니다.
  • 클라우드 데이터 제어 - 타사 클라우드 서비스 제공업체의 환경에서는 자체 구내에서 서버와 애플리케이션을 제어할 때보다 IT팀의 데이터 액세스 권한이 적습니다. 클라우드 고객에게는 기본적으로 제한된 제어 권한이 부여되며, 기본 물리적 인프라에 액세스할 수 없습니다.
  • 클라우드 데이터 및 애플리케이션에 대한 액세스 - 사용자가 인터넷을 통해 클라우드 애플리케이션과 데이터에 액세스할 수 있으므로 기존의 데이터센터 네트워크 경계를 기반으로 한 액세스 제어는 더 이상 유효하지 않습니다. 사용자 액세스는 BYOD(Bring-Your-Own-Device) 기술을 포함하여 모든 위치 또는 디바이스에서 이루어질 수 있습니다. 또한 클라우드 제공업체 직원의 권한 있는 액세스는 기업의 보안 제어를 우회할 수 있습니다.
  • 규정 준수 - 클라우드 컴퓨팅 서비스를 사용하면 규제 및 내부 규정 준수에 또 다른 차원이 추가됩니다. 클라우드 환경은 내부 팀, 파트너 및 고객의 요구 사항뿐만 아니라 HIPAA, PCI, 사베인즈-옥슬리와 같은 규제 요건을 준수해야 할 수 있습니다. 클라우드 제공업체 인프라와 사내 시스템과 클라우드 간의 인터페이스도 규정 준수 및 위험 관리 프로세스에 포함됩니다.
  • 클라우드 네이티브침해 - 클라우드에서의 데이터 침해는 클라우드의 기본 기능을 사용하여 데이터 도난이 발생하는 경우가 많다는 점에서 온프레미스 침해와는 다릅니다. 클라우드 네이티브 침해는 공격자가 멀웨어를 사용하지 않고 클라우드 배포의 오류나 취약점을 악용하여 공격을 '시작'하고, 취약하게 구성되거나 보호되지 않은 인터페이스를 통해 액세스를 '확장'하여 중요한 데이터를 찾은 다음, 해당 데이터를 자체 스토리지 위치로 '유출'하는 일련의 행위입니다.
  • 잘못된 설정 - 클라우드 네이티브 침해는 클라우드 서비스 설정을 포함한 보안에 대한 클라우드 고객의 책임으로 귀결되는 경우가 많습니다. 조사에 따르면 현재 IaaS 환경의 구성 오류를 감사할 수 있는 기업은 26%에 불과한 것으로 나타났습니다. IaaS의 잘못된 설정은 공격자가 성공적으로 착륙한 후 데이터를 확장하고 유출할 수 있도록 하는 클라우드 네이티브 침해의 첫 관문 역할을 하는 경우가 많습니다. 또한 연구에 따르면 클라우드 고객이 IaaS에서 잘못된 구성을 발견하지 못하는 경우가 99%에 달합니다. 다음은 이 연구에서 발췌한 내용으로 잘못된 구성으로 인한 연결 끊김의 수준을 보여줍니다:
  • 재해 복구 - 사이버 보안 계획은 중대한 부정적 침해의 영향을 보호하는 데 필요합니다. 재해 복구 계획에는 데이터를 복구하고 조직이 운영과 비즈니스를 계속할 수 있도록 설계된 정책, 절차 및 도구가 포함됩니다.
  • 내부자 위협 - 불량 직원은 클라우드 서비스를 사용하여 조직을 사이버 보안 침해에 노출시킬 수 있습니다. 최근 맥아피 클라우드 채택 및 위험 보고서에 따르면 85%의 조직에서 내부자 위협을 나타내는 불규칙한 활동이 발견되었습니다.

클라우드 보안 솔루션

클라우드 보안 솔루션을 찾는 조직은 클라우드 데이터에 대한 가시성 및 제어라는 주요 클라우드 보안 문제를 해결하기 위해 다음 기준을 고려해야 합니다.

  • 클라우드 데이터에 대한 가시성 - 클라우드 데이터를 완벽하게 보려면 클라우드 서비스에 직접 액세스해야 합니다. 클라우드 보안 솔루션은 클라우드 서비스에 대한 API(애플리케이션 프로그래밍 인터페이스) 연결을 통해 이 작업을 수행합니다. API 연결을 통해 볼 수 있습니다:
    • 클라우드에 저장되는 데이터
    • 클라우드 데이터는 누가 사용하나요?
    • 클라우드 데이터에 액세스할 수 있는 사용자의 역할.
    • 클라우드 사용자가 데이터를 공유하는 대상
    • 클라우드 데이터가 위치한 위치.
    • 클라우드 데이터에 액세스하고 다운로드하는 위치(디바이스 포함)입니다.
  • 클라우드 데이터 제어 - 클라우드 데이터에 대한 가시성을 확보한 후에는 조직에 가장 적합한 제어 기능을 적용하세요. 이러한 제어 기능에는 다음이 포함됩니다:
    • 데이터 분류 - 클라우드에서 생성되는 데이터를 민감, 규제 대상, 공개 등 여러 수준으로 분류합니다. 일단 분류되면 데이터가 클라우드 서비스에 들어오거나 나가는 것을 중지할 수 있습니다.
    • 데이터 손실 방지(DLP) - 클라우드 DLP 솔루션을 구현하여 무단 액세스로부터 데이터를 보호하고 의심스러운 활동이 감지되면 자동으로 데이터의 액세스 및 전송을 비활성화합니다.
    • 공동 작업 제어 - 지정된 사용자의 파일 및 폴더 권한을 편집기 또는 보기로 다운그레이드하고, 권한을 제거하고, 공유 링크를 취소하는 등 클라우드 서비스 내에서 제어 기능을 관리합니다.
    • 암호화 - 클라우드 데이터 암호화는 데이터가 유출되거나 도난당하더라도 데이터에 대한 무단 액세스를 방지하는 데 사용할 수 있습니다.
  • 클라우드 데이터 및 애플리케이션에 액세스- 사내 보안과 마찬가지로 액세스 제어는 클라우드 보안의 중요한 구성 요소입니다. 일반적인 제어에는 다음이 포함됩니다:
    • 사용자 액세스 제어 - 권한이 있는 사용자만 클라우드 데이터와 애플리케이션에 액세스할 수 있도록 시스템 및 애플리케이션 액세스 제어를 구현하세요. CASB( 클라우드 액세스 보안 브로커 )를 사용하여 액세스 제어를 시행할 수 있습니다.
    • 장치 액세스 제어 - 권한이 없는 개인 장치가 클라우드 데이터에 액세스하려고 할 때 액세스를 차단합니다.
    • 악성 행위 식별 - 사용자 행동 분석(UBA)으로 손상된 계정과 내부자 위협을 탐지하여 악의적인 데이터 유출이 발생하지 않도록 합니다.
    • 멀웨어 방지 - 파일 검색, 애플리케이션 화이트리스트, 머신 러닝 기반 멀웨어 탐지, 네트워크 트래픽 분석 등의 기술을 사용하여 멀웨어가 클라우드 서비스에 침입하는 것을 방지합니다.
    • 권한 있는 액세스 - 권한 있는 계정이 데이터 및 애플리케이션에 액세스할 수 있는 모든 가능한 형태의 액세스를 파악하고 노출을 완화하기 위한 제어 장치를 마련하세요.
  • 규정 준수 - 클라우드에 상주하는 데이터와 애플리케이션을 포함하도록 기존의 규정 준수 요건과 관행을 강화해야 합니다.
    • 위험 평가 - 클라우드 서비스를 포함하도록 위험 평가를 검토하고 업데이트합니다. 클라우드 환경 및 제공업체가 도입한 위험 요소를 식별하고 해결합니다. 클라우드 제공업체를 위한 위험 데이터베이스를 사용하여 평가 프로세스를 신속하게 진행할 수 있습니다.
    • 규정 준수 평가 - PCI, HIPAA, 사베인즈-옥슬리 및 기타 애플리케이션 규정 요건에 대한 규정 준수 평가를 검토하고 업데이트합니다.