클라우드 보안 5가지 ‘오해’와 ‘진실’

1. 클라우드로 옮긴 데이터는 안전하다.
2. 클라우드 때문에 내 일자리가 없어질 수 있다.
3. 클라우드 서비스 제공업체는 내 데이터에 접근할 수 있다.
4. 클라우드상의 데이터에 대한 통제력과 가시성은 확보할 수 없다.
5. 클라우드는 컴플라이언스 준수를 지원한다.

이 다섯가지는 ‘참’일까, ‘거짓’일까? 글로벌 클라우드 서비스 제공업체인 마이크로소프트의 보안 전문가가 이에 대한 해답을 내놨다.

팔로알토네트웍스가 최근 개최한 ‘클라우드 앤드 시큐리티 세미나’에 연사로 참석한 위 예 탄(Wee Yeh Tan) 마이크로소프트 아태지역 보안 담당 매니저의 얘기를 요약한다.

클라우드로 옮긴 데이터는 안전하다? – 거짓

한 설문조사에 따르면, 클라우드를 도입하기 전에 응답자들의 60%는 데이터 보안에 큰 우려를 나타냈다. 45%는 클라우드로 데이터를 옮기면 통제가 불가능해질 것을 걱정했다. 하지만 클라우드를 채택한 이후엔 정반대의 결과가 나타났다. 응답자의 94%는 오히려 기존에 온프레미스 환경에서는 누릴 수 없던 장점을 얻었고, 62%는 오히려 통제력이 개선됐다고 답했다.

실제로 신뢰할 수 있는 클라우드 서비스는 IT 운영과 보안에 많은 이점을 제공한다.

하지만 클라우드 보안은 ‘파트너십’ 체제가 기본이다. 클라우드 서비스 제공업체는 ‘책임공유(Shared Responsibility)’ 모델을 채택하고 있다.

물리적 환경과 서비스형인프라(IaaS)를 위해 제공하는 패브릭은 클라우드 서비스 제공업체가 책임지지만 가상화엔진과 운영체제(OS) 윗단은 고객사 책임이다. 클라우드 서비스에 접속하는 계정관리, 데이터 보안, 서비스에 사용되는 장치와 브라우저가 모두 해당된다.

클라우드에 있는 데이터 보안은 고객사의 몫이란 얘기다.

탄 매니저는 “마이크로소프트 보안팀은 ‘블루팀’과 ‘레드팀’으로 나뉜다. ‘레드팀’은 마이크로소프트 클라우드를 뚫기 위해 끊임없이 침투 공격을 시도한다. 보안운영팀인 ‘블루팀’은 방어 역할을 담당한다. ‘블루팀’은 마이크로소프트 내에서 하드웨어와 소프트웨어 설계와 구입 단계부터 폐기까지 라이프사이클 전 단계에 걸쳐 보안관리를 수행한다”라면서 “클라우드로 데이터를 옮기면 안전할 것이라는 믿음은 이같은 클라우드 보안 강화를 위한 노력에서 나온다”고 설명했다.

클라우드 때문에 내 일자리가 없어질 수 있다? – 거짓

‘엘리베이터 보이’와 ‘전화국 교환원’, ‘공룡’의 공통점은 현재는 존재하지 않는다는 것이다. 기술 발전으로 엘리베이터 버튼을 누르는 것도, 전화를 연결시켜주는 사람도 필요 없는 시대가 된 지 오래다. 혹시 클라우드가 확산되면서 내 일자리가 줄어드는 것은 아닐까 하는 걱정과 우려가 많다.

보안 담당자도 마찬가지다. 클라우드 서비스 제공업체들과 보안책임과 역할을 나눌 수 있기 때문에 기존에는 직접 통제하고 책임져야 했던 관리 영역과 범위가 줄어들 수 있다.

기업은 방대한 모든 자산을 보호할 수 있는 충분한 자원을 운영하기 어렵다. 우선순위에 주력하다보면 보안 허점과 구멍이 생긴다. 우수한 인력을 보안효과를 높일 수 있는 업무에 집중시키거나 재배치할 수 있다. 클라우드 환경에서는 보안과 통제 요구수준이 높아질 수 있기 때문에 일자리가 사라지진 않을 것이다.

마이크로소프트도 7년 전부터 클라우드 여정을 운영하고 있다. 마이크로소프트 내부 이메일과 파일공유 시스템 표준으로 ‘오피스365’를 사용하면서 기존 익스체인지와 셰어포인트 운영자가 타격을 받을 수 있는 상황이 됐다. 이들은 다들 회사를 그만뒀을까? 단 한 명도 그만두지 않았다. 뛰어난 기술전문가들이었던 만큼 부가가치를 창출할 수 있는 아키텍처팀으로 재배치돼 일하고 있다.

클라우드 서비스 제공업체는 내 데이터에 접근할 수 있다? – 일부 참

애저 서비스를 이용하는 기업의 데이터에 마이크로소프트가 접근할 수 있을까? 어느 정도는 사실이다. 고객 데이터에 접근할 수 있지만 운영자들이 함부로 접근하지 않도록 다양한 통제 정책을 적용하고 있다.

만일 고객사 서비스에 문제가 생겨 마이크로소프트 고객사 데이터에 접근해야 할 경우에는 승인 절차를 거쳐야 한다. 티켓을 발행해 기술 매니저가 엔지니어의 요청을 받아 허용 여부를 결정한다. 허용 시간도 2~4시간으로 통제한다. 운영 담당자가 아닌 경우엔 고객 데이터에 접근할 수 없다. 마이크로소프트는 내부 인력이 고객사 데이터에 접근하는 기회를 최소화하기 위해 자동화를 확대하는 전략을 운영하고 있다.

사실 마이크로소프트가 클라우드 서비스를 운영하는 데이터센터는 100여곳이 넘을 만큼 방대하다. 센터마다 서버가 수만대다. 인력이 뛰어다니며 다 관리할 수 없기 때문에 자동화를 많이 구현하고 있다.

마이크로소프트는 고객들이 사용하는 클라우드 애플리케이션과 서비스에 사용하는 키를 비용효율적이면서 손쉽게 보호할 수 있도록 ‘애저 키 볼트(Azure Key Vault)’를 제공한다. 저장·이동·사용 중인 모든 데이터를 안전하게 암호화하며, 키에 대한 접근을 모니터링한다.

허용되지 않은 데이터 접근을 막기 위해 고객들은 이같은 기술을 별도로 활용하면 된다.

이밖에도 마이크로소프트는 최근 애저 클라우드에 고객이 매우 중요한 기밀 데이터를 안전하게 보관할 수 있는 보안영역(TEE, Trusted Execution Environments)을 제공한다. 또한 ‘올웨이즈 인크립티드(Always Encrypted)’ 애저 SQL 데이터베이스 기술도 제공해 중요한 고객 데이터를 암호화된 상태를 유지한다. 이 데이터는 복호화 될 수 없다.

클라우드상 데이터에 대한 통제력과 가시성은 확보할 수 없다? – 거짓

애저는 위협을 탐지·방지하고 대응하기 위한 다양한 보안관리 툴을 제공해 고객이 데이터를 직접 통제하고 보호할 수 있도록 지원한다.

▲클라우드 기반 디렉토리·계정접근관리 기술인 ‘애저 액티브 디렉토리(AD)’와 ▲사이버위협에 대한 가시성을 높여 이를 방지·탐지·대응하는 ‘애저 시큐리티센터’ ▲온프레미스와 클라우드로부터 생성되는 데이터를 수집·검색·시각화하는 ‘애저 로그 애널리틱스’ ▲데이터를 안전하게 백업하는 ‘애저 백업’ ▲애저 리소스를 배포·제어하는 ‘애저 소스 매니저’ 등 다양하다.

최근 마이크로소프트는 그래프 보안 애플리케이션프로그래밍인터페이스(API)를 제공해 애저 파트너 업체들의 보안 솔루션을 간소한 방법으로 통합해 사용할 수 있도록 지원한다.

예를 들어 위협이 발생한 경우 이 API를 통해 연동돼 있는 팔로알토네트웍스 보안 제품에서 즉각 대응조치를 취할 수 있다.

클라우드는 컴플라이언스 준수를 지원한다. – 참

마이크로소프트 애저는 고객이 다양한 컴플라이언스를 준수할 수 있도록 지원한다. ISO 27001 개인정보보호 국제표준을 비롯해 미국 정부·산업계·지역별(국가별) 규정 72개를 지원하는 툴과 기능을 제공한다.