40. 클라우드 보안 기초 (1) : 개념 및 입문, 종류

클라우드의 경우 불과 3, 4년 전만 하더라도 그렇게까지 각광을 받지 않았다.

하지만 갑작스럽게 클라우드 관련 직무, 회사, 자격증 시험이 많이 활성화가 되었고,

 

신설 회사들은 클라우드 쪽으로 환경들을 대부분 구축을 하고 있는 상황이기에

우리가 확실하게 짚고 넘어가야할 영역이라고 볼 수 있다. 

 

 

---

 

 

클라우드 컴퓨팅

 

 

배경
초기에는 기업이나 개인이 데이터를 저장하고 프로그램을 실행하기 위해 온프레미스 서버를 구축해야 했다. 

즉, 회사에서 직원들의 이메일을 관리하거나 파일을 저장하려면 큰 서버를 구매하고, 전문 IT 직원이 이를 관리해야한다. 

하지만 해당 방식은 아래와 같은 여러 문제가 존재한다. 

• 비용 부담 : 서버 구매, 전기료, IT 인력 고용 등으로 초기 비용이 매우 높다. 
• 유연성 부족 : 더 많은 사용자가 생기면 서버 용량을 확장해야 하지만, 이 과정이 비교적 느리고 복잡하다.
• 기술의 빠른 변화 : 기술이 빠르게 발전하면서 기존 장비가 금방 뒤쳐질 수 있다.

이러한 문제를 해결하기 위해 클라우드 컴퓨팅이 탄생했다. 

클라우드 컴퓨팅은 인터넷을 통해 필요한 만큼의 IT 자원을 빌려서 사용하는 모델이다. 
마치 전기처럼, 전력회사가 발전소를 관리하는 동안 사용자는 전기 요금만 내고 편리하게 사용하는 것과 같다.

정의
클라우드 컴퓨팅이란, 인터넷을 통해 서버, 스토리지, 소프트웨어 등 IT 자원을 제공하고 사용한 만큼만 비용을 지불하는 서비스이다. 

사용자는 클라우드 제공업체(AWS, Google Cloud 등)가 제공하는 자원을 빌려서 사용한다.

데이터 관리와 유지보수는 클라우드 제공업체가 담당하며, 

사용자 입장에서는 하드웨어 구매나 관리 없이 인터넷만 있으면 필요한 서비스를 이용 가능하다.

 

이렇게 클라우드 쪽으로 전환을 하고자 많은 시도를 해오고 있지만,

여기서 발생되는 문제는 클라우드가 사용량에 따라서 비용을 지불한다는 점이다.

 

이 말은 즉, 사용량이 많으면 많을수록 더 많은 비용을 지불하는 것이다.

 

그런데 그렇게 도입했을 당시에는 어떻게 하면 우리가 사용량 등을 효율적으로 사용할 수 있을지에 대한

판단 또는 기준들이 없다 보니 생각보다 너무 많은 비용이 지불되는 것이다.

그래서 결과적으로 온프레미스로 운영하는 것과 비용적인 부분은 크게 차이나지 않는다.

 

보안성이라고 한다면 아무래도 온프레미스 환경에 대한 보안은 여태까지 잘 해왔기 때문에,

우리가 어떤 부분들이 중요하고 어떻게 해야 될지에 대한 관리가 잘 되고 있지만,

 

클라우드 분야는 새로운 기술과 개념이다 보니 미숙한 부분이 존재하여

어떠한 사건 사고가 발생할지 모른다는 그런 불안감들 때문에 전체적으로 클라우드로 전체 전환을 하지 않고,

 

일단 클라우드와 온프레미스를 그냥 반반 운영하거나 서비스에 따라서

좀 더 분간해서 사용하는 식으로 하고 있는 것이 일반적인 형태이다.

 

물론 새롭게 만들어진 회사들은 클라우드를 도입해서 어떻게든 비용을 최대한 줄여가는 형태로 많이 구성하고 있다.

 

 

---

 

 

클라우드 보안 위협 요소

 

 

서비스 장애

클라우드는 인터넷을 기반으로 운영되므로, 네트워크나 데이터센터에 문제가 발생하면 서비스가 중단될 수 있다.

클라우드 서버가 과도한 트래픽으로 다운되는 경우나 자연재해로 데이터센터가 손상되는 경우가 존재한다.
이는 기업의 업무 중단, 데이터 접근 불가 등의 문제가 발생하며, 기업의 손실로 이어질 수 있다.

데이터 유출 및 무단 접근

클라우드는 인터넷 기반이기 때문에 공격자가 데이터를 훔칠 가능성이 존재한다.

즉, 클라우드는 개인정보 검출, 접근 통제 등을 설정하는 것들이 기존 온프레미스랑은 좀 다른 부분들이 많은 것이 현실이다.

 

그런데 이러한 것들을 잘 인지하고 정책을 적용 및 점검하여 유연하게 다루어야 하는데,

이러한 것들이 잘 이루어지지 않아서 문제가 발생되어지고 사고로 이어지는 경우들도 생길 수가 있는 것이다.

 

어떻게 보면 해외 같은 경우들이 클라우드 쪽으로 정말 많이 활성화되어 있다. 해외에서의 법적 규제라고 한다면,

개인 정보를 보호하는 측면 말고는 특별히 망분리에 대한 규제같은 것들은 아무것도 없다.

 

우리나라는 망분리라는 것을 적용하여, 보안사고를 많이 줄였다고 하지만 망분리 도입 이후에

10년 넘게 아무런 정책을 개선하지 않았다는 것 자체에서는 그만큼 뒤쳐질 수 밖에 없는 현실인 것이다.

 

그래서 이러한 부분들이 현재까지 문제가 되고 있는 것이 안타까운 우리나라 클라우드 현실이다.

예를 들어, 클라우드에 저장된 고객 정보(이메일, 비밀번호 등)가 유출되면 

기업 신뢰도 하락과 법적 문제가 발생하며, 관리 계정(관리자의 로그인 정보)이 탈취당하면 모든 데이터가 악용될 수 있다.

법적 및 규제 문제

클라우드 제공업체는 전 세계적으로 서비스를 제공하지만, 데이터가 저장된 위치에 따라 법적 규제가 달라질 수 있다. 

 

특히 금융권 같은 경우는 법적 규제가 아직 매우 많다. 물론 현재 샌드박스라는 신청을 통해서 개선하기 위한 방법들을 찾고 있지만,

 

사실 샌드박스 신청이라는 것도 그냥 내가 하고 싶어서 신청하면 되는 것이 아니라, 서비스의 혁신성, 고객에게 주는 편의성,

그의 준하는 보안 수준을 갖고 있는 등의 상태에서 엄청나게 긴 신청서를 한글 문서로 작성하여 제출해야 되고,

 

거기에서 통과가 되었다고 한들 추가적인 점검 등이 모두 올바르게 수행되어야지만 나중에 서비스를 운영할 수 있는 형태인 것이다.

 

즉, 사실상 이러한 사항들을 준비하지 못하면 하지 말라는 의미밖에 안 되는 것이다.

그래서 이런 클라우드 분야를 원활하게 이용하기 위해서는 우리나라의 법은 개선되어야 될 것이 아직까지 많은 것이 현실이다.

예를 들어, 한국의 개인정보보호법, 유럽의 GDPR 규제 준수를 위해 데이터가 특정 국가 내에 저장되어야 할 수도 있다.

 

 

---

 

 

클라우드 보안을 위한 고려사항

 

 

데이터 암호화
저장 및 전송 중인 데이터는 암호화를 통해 보호되어야 한다.
암호화 키 관리를 통해 암호화 키를 안전하게 저장하고 관리한다.

접근 제어
클라우드 서비스는 누구나 인터넷으로 접근할 수 있으므로, 권한 관리가 중요하다. 

다단계 인증(Multi-Factor-Authentication)을 적용해 비밀번호 외에도 추가 보안을 적용하여, 권한 없는 사용자의 접근을 차단한다. 

또한, 사용자의 역할(Role)에 따라 권한을 최소화하여 부여한다.

데이터 백업 및 복구
서비스 장애나 데이터 손실에 대비하여 정기적으로 데이터 백업을 수행한다.

보안 감사 및 모니터링
주기적으로 클라우드 인프라의 보안 상태를 점검 및 모니터링하여, 

비정상적인 접근을 탐지할 수 있는 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)을 적용한다.

 

---

 

 

클라우드 유형

 

Public Cloud (퍼블릭 클라우드)

여러 조직 또는 개인이 하나의 클라우드 인프라를 공유하면서 사용하는 형태이다. 

인프라(서버, 스토리지 등)는 클라우드 제공업체가 소유하고 관리하며, 사용자들은 네트워크를 통해 이를 사용하는 방식이다.

특징

1. 효율성 : 초기 투자 비용이 거의 들지 않는다.사용한 만큼만 비용을 지불하는 형태이며,
   중소기업이나 개인 사용자가 IT 자원을 쉽게 활용할 수 있다.
   
   
2. 확장성 : 클라우드 자원을 필요에 따라 즉시 확장하거나 축소할 수 있다. 
   예를 들면, 트래픽이 폭증하는 온라인 쇼핑몰에서 임시로 서버 용량을 늘릴 수 있다.
   
   
3. 관리 부담 감소 : 클라우드 제공업체가 하드웨어 유지보수, 소프트웨어 업데이트 등을 담당한다.
   
   
4. 보안 이슈 : 여러 사용자가 같은 물리적 서버를 공유하기 때문에, 데이터 보안에 민감한 기업에는 부적합할 수 있다.
   
   
5. 접근성 : 전 세계 어디서든 인터넷만 있으면 접근 가능하다.

AWS, Microsoft Azure, Google Cloud 등

 

 

Private Cloud (프라이빗 클라우드)

특정 조직이 전용으로 사용하는 클라우드 환경이다. 클라우드 인프라는 해당 조직이 소유하거나 제3자가 관리할 수 있다.

특징

1. 보안과 제어력 : 외부 사용자와 자원을 공유하지 않기 때문에 보안이 뛰어나다. 
   조직의 요구에 따라 커스터마이징이 가능하며, 데이터와 애플리케이션에 대한 완전한 통제권을 가질 수 있다.
   
   
2. 고비용 : 전용 하드웨어와 소프트웨어를 사용해야 하므로 초기 비용이 높다. 유지보수를 위한 IT 전문 인력이 필요할 수 있다.
   
   
3. 규제 준수 용이 : 민감한 데이터를 다루는 금융, 의료, 정부 기관에서 규제를 준수하기 위해 사용된다. 
   예를 들어, 환자 데이터를 저장하는 병원의 클라우드와 같다.
   
   
4. 확장성 제한 : 자원 확장이 퍼블릭 클라우드만큼 자유롭지 않을 수 있다.

금융 기관, 군사 조직 등

 

 

Hybrid Cloud (하이브리드 클라우드)

하이브리드 클라우드가 클라우드를 구성하는 가장 일반적인 형태이며,

Public Cloud와 Private Cloud를 결합하여, 두 환경을 유기적으로 연결해 사용하는 방식이다.

특징

1. 유연성 : 비즈니스 요구에 따라 데이터를 퍼블릭 또는 프라이빗 클라우드에 저장할 수 있다. 
   예를 들면, 중요한 고객 데이터는 프라이빗 클라우드에, 민감하지 않은 데이터(홍보용 콘텐츠 등)는 퍼블릭 클라우드에 저장한다.
   
   
2. 비용 효율성 : 자주 사용하지 않는 데이터를 퍼블릭 클라우드에 저장하면 비용을 절감할 수 있다.
   프라이빗 클라우드가 필요한 경우에도 퍼블릭 클라우드로 확장 가능하다.
   
   
3. 복잡성 증가 : 퍼블릭과 프라이빗 클라우드를 통합 관리해야 하므로 설정 및 운영이 복잡할 수 있다. 
   네트워크와 데이터 이동 속도 문제를 고려해야 한다.
   
   
4. 안정성 : 한 클라우드 환경에서 장애가 발생하면, 다른 환경으로 작업을 전환할 수 있어 안정성이 높아진다.

제조업체(생산 데이터를 프라이빗 클라우드에 저장하고, 고객 주문 데이터를 퍼블릭 클라우드에 저장), 

대규모 기업(내부 시스템은 프라이빗 클라우드로 유지하고, 고객을 대상으로 하는 애플리케이션은 퍼블릭 클라우드로 배포)

 

Community Cloud (커뮤니티 클라우드)

공통의 관심사나 목표를 가진 여러 조직이 클라우드 자원을 공유하여 사용하는 형태이다. 

이 클라우드는 특정 산업이나 커뮤니티의 요구를 충족시키기 위해 설계된다.

특징

1. 협력과 비용 분담 : 자원을 공유하므로 단독으로 클라우드를 운영하는 것보다 비용이 저렴하다.
   
   
2. 공통의 요구 충족 : 특정 산업에서 요구하는 법적, 기술적 요구 사항을 준수하기 쉽다. 
   의료기관 간 환자 데이터 공유를 위한 표준화된 환경을 예시로 들 수 있다.
   
   
3. 보안성과 독립성 : 퍼블릭 클라우드보다는 안전하며, 특정 커뮤니티만 접근 가능하다.
   
   
4. 확장성 제한 : 퍼블릭 클라우드에 비해 확장성과 접근성이 부족할 수 있다.

의료기관(여러 병원이 협력해 환자 데이터를 교환하며 규제를 준수), 교육기관(대학 간의 연구 데이터 공유)
정부기관(지역 간 행정 데이터를 통합 관리)

 

---

 

 

클라우드 서비스 모델

 

 

클라우드 서비스 모델은 제공하는 서비스의 범위와 사용자의 책임 수준에 따라 
IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service)로 나뉜다.

각각의 모델은 기업의 요구사항에 맞추어 IT 자원을 효율적으로 사용하도록 설계되었다.

 

IaaS(Infrastructure as a Service)

Infrastructure as a Service, 이 말은 즉 온프레미스 환경에서 서버, 스토리지, 네트워크도 구축하여

모두 갖춰진 형태에서 내부 서버의 형태를 딱 구성하는 온프레미스의 일반적인 형태를

 

그대로 가상 환경에 구현한 것을 우리가 IaaS 라고 이야기한다.

 

즉, 컴퓨팅 자원(서버, 스토리지, 네트워크 등)을 가상화하여 제공하는 서비스로, 

사용자는 하드웨어를 직접 소유하거나 관리하지 않고, 필요할 때만 리소스를 사용한다.

특징

1. 유연성 및 확장성 : 사용자는 요구에 따라 컴퓨팅 자원을 추가하거나 줄일 수 있다. 
   즉, 급격히 증가하는 데이터 처리량을 지원할 수 있다.
   
   
2. 사용자 책임 : 사용자는 운영 체제(OS), 미들웨어, 애플리케이션을 직접 설치 및 관리해야 한다.
   하드웨어는 제공업체가 관리하나, 소프트웨어와 데이터 보안은 사용자 책임이다.
   
   
3. 비용 효율성 : 물리적 인프라를 구입하지 않고, 필요할 때만 비용을 지불한다.
   
   
4. 복구 및 백업 : IaaS는 클라우드 제공업체의 데이터센터를 활용하므로 백업 및 복구가 용이하다.
   
   
5. 제한된 커스터마이징 : 사용자 정의가 가능한 범위가 제한적이며, 제공된 기능에 의존해야 한다.

기업이 자체 데이터센터를 구축하지 않고, 클라우드에서 가상 서버를 임대해 사용할 때와 

대규모 분석 및 시뮬레이션 작업에 필요한 고성능 컴퓨팅 환경에서의 사용을 예시로 들 수 있다.

 

Amazon Web Services (AWS EC2, S3), Google Compute Engine,

Microsoft Azure Virtual Machines 등의 서비스가 존재한다.

 

PaaS(Platform as a Service)

애플리케이션 개발 및 배포를 위한 플랫폼을 제공하는 서비스이다. 

하드웨어와 소프트웨어 인프라뿐만 아니라, 개발에 필요한 도구와 프레임워크까지 제공된다.

 

PaaS는 플랫폼 Azure 서비스라고도 이야기한다.

 

기존 온프레미스 환경에서는 개발, 배포를 위한 별도의 개발망, 테스트망을 구축하는 식으로 진행을 하는데,

이러한 것들을 클라우드 환경에서 하기 위한 목적으로 만들어 놓은 환경을 우리가 PaaS라고 이야기 한다.

 

즉, IaaS 같은 경우는 PaaS 영역을 포함한 전체 네트워크를 구성하는 것을 의미하고,

PaaS는 개발과 배포를 위한 인프라를 구축해놓은 형태까지만을 의미한다고 이해할 수 있다.

특징

1. 개발 환경 제공 : 소프트웨어 개발에 필요한 운영 체제, 데이터베이스, 런타임 환경, 개발 도구를 통합 제공한다. 
   이로써 사용자는 애플리케이션 개발에만 집중할 수 있다.
   
   
2. 관리 부담 감소 : 서버 관리, 운영 체제 업데이트, 보안 패치를 클라우드 제공업체가 처리한다.
   
   
3. 빠른 개발 및 배포 : 개발 환경이 이미 구성되어 있어 애플리케이션 개발과 배포 속도를 높일 수 있다.
   
   
4. 유연성 및 확장성 : 개발자 요구에 따라 플랫폼을 확장하거나 조정할 수 있다.
   
   
5. 제한된 제어 : 기본 인프라와 런타임 환경은 제공업체가 관리하므로 사용자가 커스터마이징할 수 있는 범위가 제한된다.

스타트업에서 빠르게 애플리케이션을 개발하여 시장에 출시하고자 할 때와 

복잡한 서버 관리 없이 웹 애플리케이션을 개발하고 배포하는 경우를 예시로 들 수 있으며,

 

Google App Engine, Microsoft Azure App Service, Heroku 등의 서비스가 존재한다.

SaaS(Software as a Service)

완전히 운영되는 애플리케이션을 인터넷을 통해 제공하는 서비스이다. 

사용자는 소프트웨어 설치나 유지보수 없이 바로 서비스를 이용할 수 있다.

 

즉, 클라우드의 형태로서 제공되어지는 여러 가지 프로그램들이라고 보면 된다. 

 

Google Drvie, Gmail, Microsoft 365에서 제공하는 Word, Excel, 아울러 그 밖에 사용하는 Zoom, Slack 등의 

여러 가지 다양한 클라우드에서 제공되어지는 소프트웨어들이 모두 SaaS의 형태라고 볼 수 있다.

특징

1. 완전한 서비스 제공 : 애플리케이션과 데이터 저장소가 제공되며, 사용자는 단순히 애플리케이션을 사용하면 된다.
   
   
2. 사용 편의성 : 소프트웨어 설치가 필요 없고, 브라우저나 앱을 통해 쉽게 접근할 수 있다.
   예시로, 이메일 서비스(Gmail), 문서 작성 도구(Google Docs)가 있다.
   
   
3. 비용 효율성 : 사용자 수와 사용량에 따라 요금이 부과된다. 
   또한, 초기 소프트웨어 구매 비용이 없으므로 비용이 절감된다.
   
   
4. 자동 업데이트 : 제공업체가 소프트웨어 업데이트와 유지보수를 처리하므로, 사용자는 최신 기능을 자동으로 사용할 수 있다.
   
   
5. 제한된 커스터마이징 : 사용자 정의가 가능한 범위가 제한적이며, 제공된 기능에 의존해야 한다.

이메일 서비스, 협업 도구, CRM(Customer Relationship Management) 시스템 등을 예시로 들 수 있으며, 

중소기업이 자체 IT 인프라 없이 생산성을 높이고자 SaaS 도구를 도입하는 것과 같다.

 

Google Workspace (Gmail, Google Drive), Microsoft 365 (Word, Excel, Outlook), Salesforce 등의 서비스가 존재한다.

 

 

함께 사용되는 사례를 예시로 한 스타트업이 클라우드 기술을 활용하여 서비스를 제공한다고 가정하면, 

AWS EC2를 사용해 가상 서버를 배치하고(IaaS), 개발자들이 Google App Engine을 사용해 애플리케이션을 개발하고(PaaS),

Google Workspace를 활용해 내부 이메일과 문서 협업(SaaS)을 수행할 수 있다.

이처럼 클라우드 모델은 상황에 맞게 조합하여 사용할 수 있다. 

 

 

---

 

 

보통 회사에서 네트워크를 구성을 할 때는 여러 가지 고민들을 하는데, 작은 회사 또는 신생 회사들은 아무래도 네트워크를 구성을 할 때,

온프레미스 자산들을 구축하기에는 초기 비용들이 너무 발생을 하다 보니 클라우드로 접근하여 구축하는 경우들이 더 많다.

 

이러한 이유로 클라우드 사용 사례는 점차 증가하고 있긴 하지만,

대기업 같은 경우 모든 것을 온프레미스에서 클라우드로 전환하기에는 제약이 존재하고,

 

일부 금융권이나 공공기관은 중요한 정보를 온프레미스로 가지고 있는

실물 서버 안에 보관하는 것이 더 안전하다고 생각을 하는 경우가 많다.

 

즉, 클라우드로 전환이 되고 있기는 하지만 전체적인 전환보다는

온프레미스와 클라우드를 함께 하이브리드 형태로 운영을 하면서 중요한 정보들은 내부에 보관을 하고,

 

그 외에 해당하는 일반적인 정보들은 클라우드로 제공하는 형식으로 구성하는 방식이 큰 회사들의 형태라고 볼 수 있다. 

다음 글에서는 클라우드 보안 기초 두 번째 주제로 관련 법령, 특징, 장점, 단점 등에 대해 알아볼 예정이다.