Dec 5, 2014

"클라우드 컴퓨팅 정보보안에 취약한가?"

한국경제, 2014-12-02, 손영동 < 고려대 정보보호대학원 초빙교수 >

인간의 무한한 상상력은 인터넷을 만들어냈다. 인터넷은 세상 거의 모든 것을 휘감으며 끝없이 팽창해가는 디지털 정보를 빨아들이고 있다. 놀랍게 빨라진 세상은 이전과는 다른 문화와 생활양식을 탄생시키면서 지구촌 사람들로 하여금 새로운 환경으로의 적응을 요구하고 있다. 여기에는 새로운 가치를 함축하고 있는 핵심 인프라가 있다. 바로 클라우드 컴퓨팅이다.

클라우드 컴퓨팅은 자신의 정보를 자기 호주머니가 아닌 인터넷에 저장해두고 사용할 수 있게 하는 기술을 의미한다. 개인이 디지털 기기를 가지고 다녀야 하는 불편함이 사라지고 언제 어디서나 인터넷에 연결만 하면 된다. 때문에 디지털 불평등을 해소하는 해결책도 될 수 있다. 급격한 기술의 발달로 인해 디지털 격차(digital divide)가 줄기 전에 또다시 새로운 디지털 격차가 생성돼 정보의 비만과 빈곤이 사회적 문제로 부각될 수 있는데, 이를 극복할 수 있게 해주는 것도 클라우드 컴퓨팅이다.

얼마 전 애플이 운영하는 아이클라우드(i-cloud) 계정이 털려 할리우드 여배우 누드사진이 유출된 사고가 있었다. 이를 두고 많은 사람이 클라우드의 보안 취약성을 우려하지만 아이클라우드가 해킹된 방식은 사용자 아이디의 암호가 풀릴 때까지 무차별적으로 암호를 대입하는 방식이었다. 해커들이 아이클라우드의 취약점을 파악해 서버를 직접 공격해서 정보를 빼낸 게 아니라, 사람들이 여러 서비스에 같은 아이디를 사용한다는 데 착안해 옛날 방식으로 비밀번호를 알아내거나 끼워 맞춘 것으로 보인다.

클라우드 서비스는 엄청난 속도로 성장하고 있다. 시장조사기관인 IDC에 따르면 전 세계 퍼블릭 클라우드 서비스 시장은 향후 5년간 연평균 22.8%씩 성장해 2018년 약 141조원에 달할 것으로 전망했다. 이는 전체 정보기술(IT) 성장률의 6배가 넘는 수치다.

상황이 이렇게 돌아감에도 우리가 클라우드 도입을 꺼리는 이유 중에는 보안문제가 항상 상위에 랭크돼 있다. 대규모 해킹사고가 연이어 터지고 있고 개인정보 보호를 강화해야 한다는 사회적 공감대로 인해 더욱더 보안에 대한 우려가 심한 상황이다. 급기야 클라우드가 정보보안에 취약하니 무조건 이용하지 말자라는 식이다. 마치 비행기 사고가 나면 위험하니 비행기를 타면 안 된다는 논리와 비슷하다.

실제 비행기는 고도로 훈련받은 조종사가 운항하고 사고 발생은 극히 예외적이다. 이에 반해 우리가 일상적으로 타고 다니는 승용차의 경우 과속과 운전미숙 등으로 사고 발생률은 훨씬 높다. 우리는 이를 ‘가용성 휴리스틱(availability heuristic)’이라 한다. 가용성 휴리스틱은 어떤 문제나 이슈에 대해 무언가를 찾기보다는 당장 머릿속에 잘 떠오르는 것을 우선하는 경향을 말한다.

우리가 PC를 사용할 때 운영체제와 각종 보안패치를 업그레이드해야 하지만, 귀찮아서 못하거나 시스템 오류 등으로 업그레이드가 안 되는 경우도 있어 사실상 유지·관리를 전문가처럼 하기가 어렵다. 결국 상당수 개인용 PC는 언제든 해킹의 위협에 노출돼 있거나 소위 ‘좀비PC’가 돼 해킹의 수단으로 이용되기도 한다. 이에 반해 클라우드 서비스는 전문가집단이 시스템과 서비스를 안정적으로 유지·관리한다.

아마존이 독식하고 있는 클라우드 시장에 구글ㆍIBMㆍMSㆍ애플 등 글로벌 기업들이 사활을 걸고 뛰어들고 있다. 미국 영국 일본 등 각국 정부도 클라우드 서비스 활용에 박차를 가하고자 지원정책을 펴고 있다. 미국의 정보기관인 중앙정보국(CIA)도 아마존의 클라우드 서비스를 이용하고 있고 미국항공우주국(NASA)도 이 서비스를 활용하고 있다.

해외 사례와 같이 우리도 정부 차원에서 클라우드 서비스를 선도적으로 이용하는 것이 중요하다. 정부가 안전하게 사용하는 선례를 만들면 이를 계기로 민간부문의 활성화가 이뤄진다.


지금처럼 검증도 되지 않은 우려만으로 클라우드 서비스를 배척한다면 글로벌 기업에 종속될 수밖에 없다.

이에 정부는 2013년 10월 ‘클라우드 발전법’을 국회에 제출했으나 국회에서 심의조차 받지 못하고 계류 중에 있다. 아마존·시스코 등 글로벌 기업들이 하나둘 국내시장을 공략하고 있는 상황에서 법안 처리가 해를 넘기지 않았으면 하는 바람이다.

Dec 4, 2014

클라우드를 안전하게 보호하기

KISTI 미리안 『글로벌동향브리핑』 2014-12-04

IDC의 연구보고서에서는 정부 클라우드 플랫폼을 안전하게 보호할 수 있도록 만드는 방법에 대하여 다음과 같이 제시한다. 지난 5~6년 사이에, 서유럽 정부 관계자들은 클라우드 컴퓨팅이 가지는 잠재적인 이익에 주목하기 시작하였는데, 클라우드 도입 초창기, 정부 CIO 관계자들은 클라우드가 기존의 인프라와 애플리케이션의 단순한 대체 관계에 불과하다고 하고, 클라우드를 용이하면서도 손쉬운 새로운 수단으로 자리매김할 수 있는 인프라가 될 수 있다는 인프라로서 작용할 것이라고 제시한다.

특히, 정부 CIO들은 애플리케이션에 대한 접속능력을 증가시키고, 원격에서 데이터에 대한 접근권한을 획득할 수 있도록 하기 위하여 컴퓨팅 용량의 성장에 대한 요구에 대처할 수 있는 새로운 방법이 될 것으로 클라우드 컴퓨팅이 가지는 장점을 보고 있는 와중에 있다.

영국 정부의 경우 서유럽 다른 국가들에 비하여 모든 배치 모델에 있어서 클라우드 컴퓨팅 채택에 있어서 가장 선도적인 국가로 손꼽히고 있다. G-클라우드 프로그램은 특히 플래그십 이니셔티브에서 작용하게 되고, 클라우드스토어가 다양한 구매자와 공급자에 대한 성숙도를 높일 수 있을 것으로 기대된다. 클라우드에 대한 영국 정부 CIO의 채택률을 높게 만드는 요인 중의 하나는 투명성과 더불어 G-클라우드에 의하여 채택된 정보에 대한 공통적인 접근방법을 강화시키는 부분이다.

G-클라우드의 주요한 정보 확신에 대한 마일스톤은 범정부 차원의 일종의 메커니즘을 포함하여 2012년에 출범한 클라우드 스토어의 출시 이후 몇 개월간의 운영절차를 거쳐서 더욱 중요한 부분으로 자리매김하고 있다. 2014년 6월에, 10곳의 서로 다른 공급자들이 제공하는 약 60개 이상의 서비스들이 G-클라우드 범정부 승인을 획득한 것으로 전해진다.

IDC 연구는 범정부 승인 메커니즘이 구매자와 공급자에게 엔드투엔드 리뷰를 제공할 여력이 없는 소규모 정부 당국자에게 특히 중요하게 작용하게 될 것으로 제시한다. 범정부 승인 프로세스이 물론 결점이 없을 수는 없다. 특히, 속도가 느리고 구매자와 공급자 모두 비용적인 측면의 부담이 존재하고 있다는 사실에 주목할 필요가 있다.

결과적으로, 2014년에, 영구 정부에서는 이를 강화시키기 위한 두 단계의 조치를 취하였는데, 첫째는, 단순화된 정보 분류 프레임워크를 채택하였다는 부분에 있고, 두 번째는 G-클라우드에 대한 공급자들이 더 이상 범정부 차원의 승인을 획득할 필요가 없도록 만드는 부분에 있다. 대신 이들은 자체적인 인증 서비스를 수행하게 되는 것으로 전해진다.

최근 영국 정부 IT 관계자와의 대화를 통하여 해당 시장이 이와 같은 새로운 가이드라인에 완전하게 적응하기 위해서는 8개월에서 12개월의 시간이 필요할 것으로 전망되며, IDC는 정부 CIO들과 CISO들이 범정부 승인을 획득한 벤더들에게 보다 높은 신뢰도를 부가하거나 국방이나 정치 분야와 같은 기밀이 유지되는 정보 자산을 다룰 수 있는 개별적인 정부 부처 차원에서 승인을 얻을 수 있을 것이라고 IDC 관계자는 말한다.

출처