클라우드 서비스의 보안 위협

관련자료 받아보기 (파워포인트 21페이지)

클라우드 서비스가 대세...
공짜로는 네이년, 다음, 유플러스, SKT, 애플, MS 등 거의 크다 싶은 대형 IT 소비자업체에선 무료 또는 유료로 서비스를 하고 있다. 또한 드롭박스와 같은 중소규모의 클라우드 서비스도 있다. 이런것을 제대로 활용할 수만 있으면 상당한 편리한 부분임에 틀림없다.


그런데, 사용하면서 늘 불안하고 혹시나 하는 것이 있다. 
그건 바로 내부자의 불법적인 접근이다. 분명 나만 알고있는 정보를 클라우드에 저장하는 순간 그 클라우드 서비스업체의 관리자는 분명 들여다 볼 수 있고, 자기 개인용컴에 저장해둘 수도 있을 것이다. 그럼 그때부터는 유출이 순전히 운에 맡겨진 상당한 위험속에 빠져들것이다. 최근의 연예인 A양의 경우로 빗대어 본다면 그 파트너가 개인소장용으로 자기 컴터가 아닌 이런 클라우드 서비스에 가입하여 저장/관리하고 있다면 그 업체의 관리자는 접근이 가능하고 그 내용이 개인의 흥미 내지는 사회의 흥미꺼리가 될 것 같으면 사소한 욕심에 자기 컴에 저장해둬서 자기 주변사람들에게만 보여줄 수도 있다는 것이다. 이게 단지 이런 사소한 남녀간의 문제부터 큰기업의 경우 기업의 일급비밀까지 이런 상태로 노출될 우려가 있다는 것이 결정적인 단점이 아닌가 싶다. 


외부의 헤커는 관리를 잘하여 이중 삼중으로 방지할 수 있지만, 아래 내용에서와 같이 승무원의 고의 또는 과실에 의한 사고는 완벽한 방법이 없는 것이다. 







□ 클라우드 보안위협
  ○ 더 안전하다!
    - Cloud Service Provider의 전문적인 보안관리 및 통제하에 있어 더 안전함
    - Provider는 방화벽, IDS, DDoS 등 보안장비 구축, 보안관제서비스 제공
    - 철저한 정비, 전문가에 의해 통제
  ○ 더 취약하다!
    - 자원공유, 가상화 등 클라우드 특성으로 인한 보안위협이 존재
    - 현재의 보안 수준만으로는 충분하지 않고, 더 보안을 강화해야 함
    - 정비불량, 악의적승객, 승무원과실
 

□ 가상화 취약성
  ○ 가상화 기술(하이퍼바이저)을 통해 이용자의 가상머신들이 상호 연결되어 다양한 공격경로 존재(他 가상머신 및 하이퍼바이저로 해킹, 악성코드 등 전파가 용이)
  ※ 하이퍼바이저: 1개 시스템에 다수의 가상머신이 동시 실행 가능한 가상플랫폼(가상화의 핵심기술)
 
 
□ IT 자원공유
  ○ IT자원 공유, 멀티테넌시 환경에서 해킹 및 관리자 실수 등에 의해 이용자 정보유출
  ※ 멀티테넌시(다중임차인) : 동일 IT자원(스토리지, S/W, 서버 등)을 다수의 이용자가 공동 활용하는 개념
  ※ 이용자의 정보가 클라우드 서버 내 어디에 저장되고, 백업되고, 누가 접근하는지에 대해 알 수 없음
 
 
□ 정보 집중화로 인한 대규모 피해
  ○ 클라우드 서버에 고객 정보가 집적되어 저장되기 때문에, 해킹, DDoS 공격의 표적이 되기 쉽고, 사고 발생시 全 이용자 서비스 연쇄 중단 및 대규모 피해 야기
  - 아마존, 11시간 장애로 190개 서비스가 동시 마비(’11년4월)
  - 서비스 장애 발생 시, 고객은 원인의 빠른 파악이 어려움
  ※ 서비스 제공자에 의존하는 구조(사업자가 복구/패치 전 이용 불가)
  - 서비스 집중화로 DDoS 등 사이버 공격 대상이 되기 쉬움
  ※ 클라우드 서버가 마비될 경우, 중단시간 및 범위 등 피해 확대
 
 
□ 보안 책임소재 불분명 및 정책 복잡화
  ○ 서비스 모델에 따라 IT자원의 관리 책임이 상이하여 보안 책임의 분할이 어려움
  ○ 서비스 접속환경 및 이용단말 등이 다양하여 보안 책임소재를 명확히 규명하는 것이 불가능하며, 복잡한 보안 정책 적용이 필요
 
 
□ 내부자위협
  ○ 다수 이용자의 정보가 서비스 제공자에게 위탁/관리됨에 따라 내부 관리자의 권한 증가
  ○ 내부자의 실수나 고의적 정보접근으로 인한 이용자 정보손실 및 유출 가능
  ※ 내부자의 실수나 고의적 정보유출 등에 대해 이용자가 파악하기 어려움
 
 
□ 클라우드정보보호대책
 
  ○ 목표
  -예상되는 보안위협의 선제적인 보안대책을 마련하여 국내 클라우드 서비스 경쟁력 강화
 
  ○ 기본방향
  - 서비스 초기 단계부터 제공자 및 이용자의 보안성을 강화
  - 산·학·연·관 클라우드 전문가 그룹을 통한 정책 방향을 설정
 
  ○ 클라우드 정보보호 추진 현황 및 계획
    1. 클라우드 서비스 정보보호안내서 발간
    2. 클라우드 정보보호 핵심 기술 개발 및 보급
    ※ 모바일 클라우드 통합 인증 및 권한관리 기술 개발
    3. 클라우드 정보보호연구반 운영을 통한 정보공유체계마련
    4. 클라우드 서비스 Testbed 구축 및 보안취약성 시험 분석
    5. 영세 클라우드 서비스 제공자 대상 보안컨설팅 서비스 제공
    6. 클라우드 서비스 침해사고 모니터링 및 신속 대응체계 구축
    ※ 해킹, DDoS 등으로 인한 대규모 클라우드 서비스 장애 대응
 
 
[목차]
 
Ⅰ. 클라우드특성
Ⅱ. 클라우드보안위협
Ⅲ. 클라우드정보보호대책
 
 
출처 : 한국인터넷진흥원

[출처] 클라우드 서비스 보안 위협 및 보안대책|작성자 취중선