클라우드 컴퓨팅

클라우드 컴퓨팅 보안의 방향성

클라우드 컴퓨팅에 대한 이야기가 이슈화 되면서 과연 클라우드 컴퓨터에 대한 보안에 대한 궁금증이 생기기 마련이다. 한국 EMC의 클라우트 컴퓨팅에 대한 보안의 방향을 들어보며 클라우드 컴퓨팅 보안에 대해 짚어봤다. 각종 정보를 저장하고, 프로그램을 실행하는 복잡한 IT 인프라를 구름(Cloud, 클라우드)으로 가려놓고, 사용자의 필요에 따라 수많은 컴퓨터를 마치 하나의 컴퓨터처럼, 하나의 컴퓨터를 수많은 컴퓨터처럼 사용할 수 있게 하는 클라우드 컴퓨팅.   클라우드 컴퓨팅은 정보의 저장, 처리를 특정 IT 인프라에 구애를 받지 않고 자유자재로 가능하게 하는 IT 산업에 있어 가장 혁명적인 변화 중의 하나이다. 이처럼 IT 인프라의 효율성을 극대화 해주는 클라우드 컴퓨팅은 전력량, 탄소배출 감소 등 그린 IT분야에서는 물론, 생산성을 극대화하는 다양한 협업에 이르기까지 많은 장점을 제공한다.   특히, 기업에 있어서 클라우드 컴퓨팅에 대한 열망은 단순히 기술의 하나로서가 아닌 ‘경제’적인 부분과 밀접한 관련이 있다. 클라우드 컴퓨팅을 통해 기업이 내부적으로 관리해야 하는 비싼 IT 인프라 대신에 단지 사용한 대로만 돈을 내면 되는 이른바 ‘렌트 서비스’로 바꿀 수 있는 것이다.  이처럼 큰 혜택을 제공하는 클라우드 컴퓨팅도 그 종류에 따라 ‘공공 클라우드 컴퓨팅 (Public Cloud Computing)’과 ‘폐쇄형 클라우드 컴퓨팅 (Private Cloud Computing)’으로 구분되는데 이와 같은 두 종류의 클라우드 컴퓨팅의 확산이 가속화되면서 부상하고 있는 부분이 ‘보안’이다. 클라우드 컴퓨팅을 통한 다양한 서비스가 가상화와 SOA 등의 신기술은 물론, 인터넷을 통한 컴퓨팅, 네트워킹, 스토리지의 효율성 극대화에 근거해 가능할 수 있듯이, 보안 분야에서도 이와 같은 신기술을 활용하려는 적극적인 노력이 이루어지고 있다.   중요한 미래 IT 성장 동력으로서 클라우드 컴퓨팅 시장이 빠르게 성장할 것으로 전망됨에 따라 이를 구현하기 위한 기술과 비즈니스 모델들도 발 빠르게 개발됨과 동시에 전략적이고 체계적인 보안 체계의 확보가 필수 요소로 떠오르고 있다.  ■ 클라우드 컴퓨팅의 숙제, 보안 이슈 공공 클라우드 컴퓨팅을 보면, 현재 단계에서는 일반 프로그램 및 대표적인 기업용 프로그램의 조합 하에 비교적 덜 중요한 이메일, 인스턴트 메시징 서비스 등의 정보를 다루고 있다. 하지만, 클라우드 컴퓨팅이 고객 정보 등을 다루고자 하는 기업의 요구를 충족하기 위해서는 보다 정교한 기업용 프로그램을 지원하는 높은 수준의 보안이 필요하다.   또한, 공공 클라우드 컴퓨팅은 보안 분야에 있어 새로운 이해 관계자들과 얽혀있는 상태이다. 서비스를 제공하는 업체, 관련 인프라를 제공하는 업체, 그리고 계약업체가 새로운 참여자로, 이는 기업 내 데이터 센터만을 관리해야 하던 것에 비해 이들과 충분한 관계를 쌓고, 높은 수준의 보안을 제공할 수 있어야 함을 의미하는 것이다.   신뢰관계의 구축 클라우드 컴퓨팅의 핵심적인 이슈는 기존에 조직이 직접적으로 관리하던 인프라스트럭처 보안이 클라우드 상으로 옮겨가게 됐다는 점이다. 이러한 양상으로 기업들은 보안 인프라를 외부 계약자를 통해 관리하게 하여 보안 이해 관계자들의 숫자와 역할에 근본적인 변화를 가져오게 했다. 다양한 클라우드 컴퓨팅의 이해 관계자(사용자, 기업, 네트워크, 서비스 제공업체 등)들이 신뢰관계를 구축하게 됨으로써 공공 클라우드 컴퓨팅이 민감한 기업 데이터를 관리할수 있게 됐다.   보안 표준의 정립 민감하고 규제된 데이터를 공공 클라우드 컴퓨팅에 활용하기 위해서는 강력한 인증, 위임되어 있는 권한, 암호화된 데이터의 키 관리, 데이터 손실 보호 그리고 규제에 관한 보고 등이 포함된 보안 표준과 호환성이 체계적으로 정립되어야 한다.   공공 클라우드 간 이동성 클라우드 컴퓨팅은 개방형 아키택쳐와 쉬운 연동성을 지향하고 있으나, 현재의 클라우드 서비스는 보안에 있어 하드웨어에 종속되는 양상을 보이고 있다. 보다 많은 기업들이 다양한 클라우드 사이에서의 이동성(Portability)를 요구할 것이며, 이에 따라 다양한 서비스를 개방적이고, 표준에 근거한 환경과 접목할 것이다.   기업의 정보와 기밀의 보호 이미 기업들은 데이터 접근 권한을 가진 사람들을 통해 민감한 정보가 다루어 질 것이라는 기대를 가지고, IT 부서를 통해 공공 및 폐쇄 클라우드 내의 정보를 보호하기 위한 노력을 하고 있다. 그러나, IT 부서들은 과거를 볼 때 효과적으로 사용자들과 민감한 정보를 분류, 구분하는 능력에 있어 부족함을 보였다. 이처럼 사용자와 민감한 정보들을 효과적으로 관리할 수 없다면 클라우드 환경에서 확대되는 보안 기능을 수행하기 힘들 것이다.   효과적인 데이터 접근 제어 정보 관리 (Governance)는 효율적이며, 높은 수준의 정보 접근을 원하는 사용자들의 요구와 균형을 맞출 수 있어야 한다. 사용자와 기업은 모두 접근에서의 투명성과 용이성을 기대하고 있다. 클라우드 하에서는 전자 서명 키를 이용하는 보안토큰 기반(token-based)의 정보 접근을 원치 않는 사용자들이 많을 것이다. 규정 준수 많은 기업들이 IT 관리 부서를 거치지 않고 직접적으로 프로그램과 정보를 클라우드 시스템을 통해 활용하고 있다. 이는 필연적으로 IT 부서들이 내/외부 정보의 관리 능력이 떨어지게 됨과 함께 많은 문제점들이 야기될 수 있음을 의미한다. 기업 내 여러 사업부들이 IT 부서가 맞닿을 수 있는 관리 능력에서의 문제를 더욱 부각시킬 수 있고, 만약 문제가 발생했을 시에는 법률 관련 부서들에서 민감한 정보에 대해 통제가 할 수 있다는 점을 증명하기를 요청할 수 있다. 이러한 보고는 그 어떤 클라우드 컴퓨팅 상에서도 가장 큰 요구조건 중의 하나일 것이다.   보안 서비스 레벨 가치가 높은 정보에서부터 중요하지 않은 정보에 이르기까지, 모든 종류의 정보는 클라우드 내에서 끝날 것이다. 따라서 여러 종류의 정보의 중요도를 고려한 다양한 보안 서비스의 필요성이 증가하게 될 것이다. 보다 직접적인 도전은 보안 수준을 정보 또는 비즈니스 프로세스에 따라 그리는 일이 될 것이다. 이를 통해 가장 최고 수준의 보안을 무조건적으로 제공하는 것이 아닌 비용을 최소화한 보안 수준을 설정할 수 있다.    ■ 한국EMC의 클라우드 컴퓨팅 보안의 방향성 EMC가 제시하는 클라우드 시대에는 보안 원칙은 ID, 정보, 인프라스트럭처 이 세 분야 모두에서 완벽한 수준의 보안이 조화되어야 한다는 것이다. 클라우드 컴퓨팅에서의 ID 관리 부분에서는, 한국EMC RSA 정보보안사업부는 기존의 강한 인증 (Authentication) 능력을 바탕으로, 다면 인증, 1회용 패스워드, 페더레이티드 ID (Federated Identity) 관리, 리스크 기반 인증 등 다양한 솔루션을 제공하고 있다. RSA의 트랜잭션 모니터링 (Transaction Monitoring) 시스템은 온라인 보안을 극대화하기 위해 사용자들이 로그인을 하는 ID를 체크하는 것뿐 아니라, 온라인의 가짜 네트워크를 통한 정보의 공유와 확산을 확인해 보다 높은 수준의 위협을 대비한다.   클라우드 컴퓨팅의 정보 보안 부분에서도 한국EMC는 정보의 관리, 규정 지속적으로 각각 정보의 내용을 확인해 그에 맞는 인증을 제공하는 보안 능력을 갖추고 있다. 더불어 정보 손실을 막기 위한 일련의 솔루션도 갖추고 있다.   또한 인프라스트럭처에서의 보안의 경우, 한국EMC의 광범위한 제품들은 가상화, 정보 분리, 정보 보호 등을 제공하기 위한 기본적인 요소 외에도 클라우드 인프라스트럭처에 보안 요소를 부여할 수 있게 설계됐다. 한국EMC의 인프라스트럭처 자원 관리 제품들은 RSA 인비전(enVision) 로그 관리 분석 기능과 연동돼 향상된 보안을 제공한다.     한국EMC의 최고의 보안을 고려해 설계된 클라우드 컴퓨팅 솔루션 한국EMC는 클라우드 비즈니스를 위한 플랫폼 ‘포트리스(Fortress)’와 일반 소비자를 겨냥한 온라인 백업서비스인 ‘모지(Mozy)’를 비롯해, 클라우드 최적화 스토리지 솔루션 ‘EMC 아트모스(Atmos)’, 통합 개인정보 관리 플랫폼 ‘파이웍스(piWorx)’ 솔루션 등 개인사용자부터 기업고객에 이르는 수요를 충족시켜주는 클라우드 컴퓨팅 솔루션 라인업을 구축하는 한편, EMC의 선도적인 정보 인프라스트럭처 노하우를 접목해 보다 완성도 있는 클라우드 컴퓨팅 솔루션과 서비스를 제공하고 있다.   EMC의 클라우드 컴퓨팅 솔루션은 우선 기업의 클라우드 컴퓨팅을 위한 하드웨어와 소프트웨어를 제공하는 플랫폼(platform) 분야와 이 같은 플랫폼을 기반으로 백업 및 아카이빙 등의 다양한 정보관리 서비스를 제공하는 분야로 구성된다.   ‘EMC 포트리스(Fortress) 플랫폼’은 온라인 애플리케이션 서비스를 지원하기 위한 클라우드 서비스의 과금, 계량, 암호화 및 보안 모델을 자체 표준화된 플랫폼으로 개발한 제품으로, 신속한 클라우드 서비스 제공을 지원한다.  개인 정보의 통합관리 플랫폼 ‘파이웍스(piWorx)’는 개인 정보의 저장 위치에 관계없이 통합관리를 가능하게 하고 필요 시 자유자재로 타인과 공유할 수 있도록 지원하는 최초의 클라우드 서비스다.   ‘모지(Mozy)’ 서비스는 개인사용자와 소규모 사업자를 위한 온라인 백업 서비스로, 하드 드라이브 고장, 의도치 않은 데이터 삭제, 천재지변, 시스템 도난 등의 사고에서 데이터를 보호해준다.   ‘EMC 아트모스(Atmos)’ 클라우드 최적화 스토리지 솔루션은 클라우드 인프라 환경에서 중앙집중식으로 정보를 관리하고 자동으로 배치해 줌으로써 클라우드 기반의 분산된 정보 서비스 및 애플리케이션을 안전하게 구축하고 효율적으로 제공할 수 있게 해준다. 수 페타바이트의 정보 관리를 지원해 웹 2.0 기업, 인터넷서비스사업자, 통신사업자, 미디어 및 엔터테인먼트 회사들을 주요 수요처로 예상되고 있다. ‘아트모스’는 EMC의 클라우드 컴퓨팅 플랫폼인 ‘포트리스’에 적용되어 온라인 백업 서비스인 ‘모지’ 뿐만 아니라, 아카이빙 서비스 등에도 활용될 예정이다.   ■ 한국 EMC RSA 정보보안사업부의 보안 전략 및 관련 제품 한국EMC(대표 김경진)는 RSA 정보보안사업부를 중심으로 본격적인 ‘정보 중심(Information-centric) 보안 전략’을 펼치고 있다. EMC는 2006년 본사 차원에서 온라인 ID 및 디지털 자산 보안 솔루션 기업 ‘RSA 시큐리티(RSA Security)’와 보안 정보 및 이벤트 관리 솔루션 기업 ‘네트워크 인텔리전스(Network Intelligence)’를 인수, RSA 정보보안사업부를 출범했고, 이후 지식기반 인증(Knowledge-based Authentication) 솔루션 기업인 버리드(Verid) 등을 추가로 인수하며 보안역량을 대폭 강화했다. 과거에 전형적인 보안 솔루션들이 정보 자체보다는 정보가 저장된 시스템 외부의 보안을 위한 포인트 솔루션 위주의 ‘주변(perimeter)’ 보안에 초점을 맞췄다면, EMC의 ‘정보 중심’ 보안 전략은 보안을 정보 인프라의 일부로 인식하고, 정보의 생성에서부터 활용, 및 폐기 단계에 이르기까지 정보 및 정보 인프라스트럭처에 대한 전략적이고 체계적인 보안 체계를 확보하는데 주력하고 있다.   RSA 정보보안사업부는 업계 최고의 아이디 및 접근 관리 기술과 암호화, 그리고 인증키 관리 소프트웨어를 확보함으로써 보다 안전한 ILM (Information Life-cycle Management, 정보수명주기관리) 구현을 적극적으로 지원하는 역량을 갖췄으며, RSA의 정보보안 기술을 EMC의 제품에 통합하여 고객들에게 최고의 정보 중심 보안 포트폴리오를 제공하고 있다.   한국 EMC RSA 정보보안사업부2009년 전략 한국EMC RSA정보보안사업부는 올해 기업용 종합 보안 회사의 선도주자로서 국내 시장에서 리더십을 공고히 하기 위해 인터넷뱅킹, 기업용 OTP(One Time Password: 일회용 비밀번호 생성), 보안감사 시스템, 그리고 개인정보 보호법 및 다양한 컴플라이언스에 대응하기 위한 통합로그관리시스템 SIEM(Security Information and Event Management) 분야에 역량을 집중하고 있다.   시장 별로는 전통적으로 보안에 대한 수요가 높은 금융시장뿐만 아니라 대기업을 대상으로 적극적인 마케팅 및 영업활동을 통해 신규 시장 기회를 발굴하고 시장을 확대하는데 주력하고 있다. 이를 위해 전세계적으로 검증된 혁신적인 보안 솔루션 포트폴리오를 지속적으로 강화하고, 국내 고객들을 대상으로 하는 보안관련 대규모 전시 및 세미나, 보안담당자를 위한 타겟팅 세미나 개최, 그리고 EMC의 정보보안사업부로서 강력한 시너지를 발휘할 것이며, 다양한 대 고객 마케팅 활동을 통해서 기업용 보안시장의 선두 회사로서의 위치를 글로벌 위상에 맞게 한국 내에도 확보한다는 전략이다.   한국 EMC RSA 정보보안사업부 주력 제품 한국EMC RSA 정보보안사업부는 올 2009년 한해, 인비전 (enVision) SIEM(보안 정보 및 이벤트 관리) 솔루션, 시큐어ID (SecurID) OTP 솔루션, RSA 프로드액션 (FraudAction) 안티피싱 서비스, RSA 키매니저 (RSA Key Manager), DLP 등의 사업에 주력하고 있다.   ‘RSA DLP 스위트 7.0(RSA DLP Suite 7.0)’은 데이터센터 및 네트워크, 엔드포인트 환경의 민감한 데이터를 파악, 모니터링해 데이터가 손실, 유출 및 오용되지 않도록 보호하는 통합 데이터 보안 솔루션으로, 자동화 기능이 강화되어 사용 대기 상태에 있는 데이터를 자동으로 이동, 격리함으로써 비용효율적으로 강력한 데이터 보안이 가능하다. 특히 자동화를 통한 보안 업무의 간호화 및 총 소유비용(TCO)절감, 정형 데이터까지의 보호 데이터 범위 확대, 보안 정책 템플릿을 추가해 정교한 보안 정책을 지원하며 RSA 인비전 플랫폼 통합으로 더욱 향상된 보안 운영 효율성을 제공한다.   ‘RSA 인비전(enVision)’은 단일 플랫폼으로 엔터프라이즈 로그 관리, 컴플라이언스, 보안을 지원하는 보안 정보 및 이벤트 관리(SIEM) 솔루션으로, 네트워크, 엔터프라이즈 애플리케이션, 메인프레임, 데스크탑, 스토리지 디바이스 등으로부터 모든 로그 및 이벤트 데이터를 수집, 상관관계를 분석, 보고 및 관리한다.   전세계 OTP 시장점유율 1위의 ‘RSA시큐어ID(SecurID)’ OTP 솔루션은 L4 없이 솔루션 자체에서 제공하는 이중화 구성으로 OTP 시스템의 가용성 및 인증 서비스의 연속성을 보장하고, 운영서버 장애 시 백업인증 서버를 통해 안정적인 인증 서비스가 가능하다. 또, OTP 토큰의 비밀정보인 시드(Seed) 정보의 암호화를 통해 복제를 방지하며, 임의조작 방지(Tamperproof) 기술 적용으로 OTP 토큰 분해 시 데이터가 자동 삭제돼 정보 유출을 막아준다.   ‘RSA 키 매니저(RKM)’는 암호화 알고리즘 중에서 보안성과 성능이 가장 뛰어난 AES 알고리즘을 포함한 RKM 클라이언트 API를 제공, 암/복호화시 성능을 보장하며, 응용프로그램 개발 시 암호화 및 키 관리와 관련한 개발 작업의 복잡성을 제거한다. 특히, RKM 솔루션은 중앙 RKM 서버에서 암호화 키를 안전하게 보관하고 각 POS 단말에서 사용한 암호화 키 저장을 위해 단순 저장이 아니라 보안 키 저장(Secured key storage) 영역을 별도로 사용하고, 각 POS 단말에서 사용한 암호화 키는 다시 한번 더 암호화해서 보관해 높은 보안성을 자랑한다.   ‘RSA 프로드액션(FraudAction) 서비스’는 가트너에서 최근 발표한 ‘온라인 사기 탐지 분야 매직쿼드런트 보고서(Magic Quadrant for Web Fraud Detection)’에서 리더로 선정된 ‘RSA IPV 스위트(Identity Protection and Verification Suite)’의 핵심 서비스로, 99%의 높은 탐지 정확성을 자랑하는 업계 최초의 안티 피싱 서비스이다. 한국어를 포함한 180개의 다국어 번역 서비스 지원으로 실질적인 고객 보호 능력이 돋보이며, 현재 뱅크오브아메리카(BOA), HSBC, e*트레이드, 바클레이즈(BARCLAYS) 등 세계 유수의 기업에서 사용하고 있다.   제공 : 한국 EMC