41. 클라우드 보안 기초 (2) : 특징, 관련 법령

 

 

기존 온프레미스 환경 대비 차이점 및 비교

 

 

온프레미스(On-Premise) 환경
온프레미스는 기업이나 조직이 자체적으로 IT 인프라를 구축하고 운영하는 방식이다. 

서버, 네트워크 장비, 스토리지 등 모든 장비를 소유하고, 자체 데이터센터에서 관리한다.

특징

• 완전한 제어권 : 모든 하드웨어와 소프트웨어가 기업 내부에 있기 때문에 보안과 데이터 관리에 대한 통제력이 높다.
• 높은 초기 비용 : 서버와 장비 구매, 데이터센터 구축, 유지보수 비용이 높다.
• 유지보수 부담 : IT 전문 인력을 통해 하드웨어 유지보수, 소프트웨어 업데이트, 백업 등을 수행해야 한다.
• 확장성의 제한 : 자원이 고정되어 있어 갑작스러운 요구 증가에 대응하기 어렵다. //41주차 메모장
  
  

클라우드 환경
클라우드는 IT 자원을 필요에 따라 인터넷을 통해 제공받는 서비스로,

사용자는 필요한 만큼만 비용을 지불하며, 인프라는 클라우드 제공업체가 관리한다.

특징

• 유연성 및 확장성 : 사용자는 필요에 따라 자원을 즉시 추가하거나 줄일 수 있다.
• 비용 효율성 : 초기 투자 비용 없이 사용량에 따라 지불하는 방식이다(Pay-as-you-go).
• 관리 부담 감소 : 하드웨어 유지보수와 소프트웨어 업데이트를 클라우드 제공업체가 수행한다.
• 글로벌 접근성 : 인터넷만 있으면 어디서든 IT 자원에 접근 가능하다.
  

클라우드의 보안 측면을 생각해보면, 기존 온프레미스 환경 같은 경우는 오랫동안 이 환경을 운영했기 때문에

여러가지 보안성을 체크하기 위한 체크리스트, 취약성을 분석하기 위한 분석 평가 등이 이미 과거부터 현재까지 잘 마련이 되어 있다.

 

하지만 클라우드 같은 경우는 물론 과거보다 많이 개선되긴 했지만

비교적 온프레미스보다 도입된 지 오래되지 않았기 때문에 온프레미스만큼의 체계적인 시스템들이 부족하다고 볼 수 있다.

 

또한 사람에 대한 역량에 관해서도 클라우드 분야의 경우는 온프레미스랑 비교했을 때는 적은 게 현실이다.

 

즉, 기업 내에서도 클라우드를 다루고 있긴 하지만 그만큼 완벽하게

클라우드를 다루는 인력이 많지 않기 때문에 과거에는 좀 더 많은 클라우드 보안 사고들이 많이 발생했다.

 

하지만 현재는 이러한 부분들이 많이 개선이 되어도 빈번하게 발생되고 있고,

잘 몰라서, 그리고 실수해서 휴먼 에러로서 발생되어지는 것들이 많다는 게 현실이라고 볼 수 있다.

 

 

---

 

 

클라우드 환경의 특징, 장점 및 단점

 

 

클라우드 환경의 주요 특징

• 온디맨드(Self-Service) : 사용자는 필요할 때 언제든 자원을 할당하거나 해제가 가능하다.
• 광범위한 네트워크 접근성 : 인터넷만 있으면 어디서나 서비스에 접근할 수 있다.
• 리소스 풀링(Resource Pooling) : 여러 사용자가 물리적 자원을 공유하며, 논리적으로 분리된 환경을 제공한다.
• 빠른 확장성(Elasticity) : 자원을 자동으로 늘리거나 줄여 사용량 변화에 대응한다.
• 측정된 서비스(Metered Service) : 사용량을 측정하고 비용을 산출해 투명하게 관리한다.

하지만 온프레미스 환경이라고 한다면, 장비를 하나 사는 데에도 다른 장비와 호환 여부, 퍼포먼스 여부 등을 검토해야 하고,

해당 장비들은 보통 해외에 있다 보니 국내에 들어와서 검수하는 데도 시간이 걸리는 시간, 장비를 구축하기 위한

 

엔지니어 관련 일정 및 자원, IDC에 들어와서 입고시키기 위한 절차,

서명 등을 걸쳐서 작업을 하는데, 이 또한 원활하게 잘 되지 않는다면 또 문제가 발생한다. 

 

이와 같은 문제로 온프레미스 환경에서 장비를 도입하는 게 그렇게 쉽지는 않다는 단점이자 차이점이 존재한다.

 

장점

• 비용 절감 : 초기 장비 구입, 설치, 유지보수 비용이 절감된다.
• 유연성 : 요구사항에 맞게 즉시 확장 또는 축소가 가능하다.
• 접근 편의성 : 어디서나 인터넷을 통해 IT 자원 및 애플리케이션에 접근이 가능하다.
• 업데이트 자동화 : 소프트웨어 업데이트와 보안 패치를 자동으로 제공받는다.
• 재해 복구 및 백업 : 클라우드 제공업체의 글로벌 데이터센터를 통해 안정적인 데이터 보호가 가능하다.

 

단점

• 데이터 보안 및 프라이버시 우려 : 데이터가 클라우드 제공업체의 서버에 저장되므로 외부 침해 위험이 존재한다.
• 인터넷 의존성 : 인터넷 연결 상태에 따라 서비스 품질이 좌우된다.
• 비용 관리 어려움 : 장기간 사용 시, 예상보다 높은 비용이 발생할 수 있다.
• 종속성(Lock-in) : 특정 클라우드 제공업체에 의존하게 되면, 다른 플랫폼으로 전환이 어려울 수 있다.
• 규제 준수 : 데이터 위치와 산업 규제 준수를 위해 세심한 관리가 필요하다.

 

 

---

 

 

클라우드 관련 법령 : 국내 클라우드 관련 법령

 

 

클라우드와 관련된 국내 법 같은 경우는 해외와 비교했을 때, 아직까지는 많이 보수적으로 보고 있는 것이 현실이다.

 

그래서 클라우드를 사용하는 데 있어서도 매우 제한적으로만 사용이 가능하고, 클라우드 이용 신고를 해야지만

클라우드를 이용할 수 있으며, 이러한 신고를 하지 않으면 법 위반사항으로서 제재가 되는 현실이 존재한다. 

 

 

클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률

• 제정 연도 : 2015년
• 목적 : 클라우드 서비스의 활성화, 이용자 권리 보호와 정보 유출 방지.
• 주요 내용
  - 클라우드 서비스 활성화 : 공공기관 및 민간 기업에서 클라우드 서비스를 적극 활용하도록 장려.
  - 정보 보호 의무 : 클라우드 제공업체는 데이터를 안전하게 저장·처리하고, 정보 유출 방지를 위한 보안 체계 구축 의무.
  - 이용자 보호 : 클라우드 서비스 사용 시 발생할 수 있는 피해에 대해 이용자를 보호할 책임을 명시.
  - 정부의 역할 : 클라우드 발전을 위한 정책 수립, 연구 개발 지원, 인력 양성 등.
  

위와 같은 법률이 제정되긴 했지만 정말 사용자를 고려한 법령이라고는 볼 수 없다.

해당 법들은 구체적으로 어떻게 하라고 안내해 주지 않는다. 즉, 추상적으로 방향만 잡아주는 형태이다.

 

이러한 이유는 기업 내에서 자체적으로 하도록 유도를 하는 것이다. 그러다 보니 외부에서 감사 또는 심사 나왔을 때,

심사관의 관점 및 해석에 따라서 양호, 미흡의 판단이 달라질 수 있는 상황들이 많이 발생이 된다.

 

즉, 서로 해석 관점의 중간점을 찾지 못하게 되는 상황들이 생기는 것이다. 이렇게 법령은 항상 두루뭉술하게 만드는 경향이 있어

정책을 관리하고 법령을 제정하는 사람들의 입장에서는 매우 안타까운 부분 중에 하나라고 볼 수 있다.

 

 

개인정보 보호법

• 목적 : 개인정보 처리의 투명성을 확보하고, 불법적 정보 유출을 방지.
• 주요 내용
  - 개인정보의 저장 및 처리 기준 : 데이터가 저장되는 위치에 따라 국내법 준수 요구.
  - 제3자 제공 제한 : 이용자의 동의 없이 개인정보를 클라우드 제공업체 또는 타사로 전달 금지.
  - 위반 시 처벌 : 과징금 부과, 형사처벌 등 강력한 규제.

 

전자금융거래법

• 목적 : 금융 데이터의 안전한 거래 및 처리 보장.
• 주요 내용
  - 금융 클라우드 사용 기준 : 금융 기관은 민감한 데이터를 클라우드에 저장할 때 보안 인증을 필수적으로 거쳐야 함.
  - 재해 복구 시스템 의무화 : 클라우드에서 처리된 금융 데이터는 재해 시 신속히 복구될 수 있도록 이중화 필요.

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률

• 목적 : 클라우드 서비스의 정보 유출 방지와 보안 강화를 위한 규제.
• 주요 내용
  - 암호화 : 개인정보 저장 시 필수적으로 암호화.
  - 접근 통제 : 클라우드 데이터에 접근할 수 있는 권한을 철저히 관리해야 함.
  - 사이버 공격 대응 : 클라우드 제공업체는 DDoS와 같은 사이버 공격에 대비한 방어 체계 구축.

특히 클라우드 같은 경우는 개인정보가 국내에서만 가지고 있는지, 

국외로 나가게 되는 경우가 발생하는지에 대한 부분을 상당히 중요하게 본다.

 

우리나라에서 준수하는 클라우드 관련 규정은 개인정보 데이터가 국외로 적재, 전송되는 등의 행위를 절대적으로 금하고 있다. 

 

국내에서만 클라우드를 이용할 수 있도록 하는 내용이나 개인정보를 감형화 시킨다거나 익명화를 시킴으로써

개인정보를 식별하지 못하게끔 한다고 하면, 검증을 통해서 이용할 수 있긴 하지만 현재 법령상에서는 개인정보의 국외이전은 불가하다. 

 

 

클라우드 관련 법령 : 해외 클라우드 관련 법령

 

 

국내 관련 클라우드 법령은 해외 법령 기반으로 많이 제정이 되었다고 볼 수 있다.

실제로 클라우드는 해외 같은 경우가 먼저 크게 발달을 했는데, 해당 이유는 단순하다.

 

우리나라 같은 경우는 이동수단을 통해 1~2시간 내에 도달하는 경우가 빈번하지만, 미국만 하더라도 8시간, 10시간 등

물리적인 시간이 장시간 소요되다 보니, 원격 또는 재택 등을 통해 클라우드와 같은 기술이 좀 더 빠르게 발달을 했다라고 볼 수 있다.

 

 

GDPR (General Data Protection Regulation)

• 도입 연도 : 2018년
• 지역 : 유럽연합(EU)
• 목적 : 개인정보 처리의 투명성과 보안을 강화하여 개인의 권리를 보호.
• 주요 내용
  - 데이터 이동 제한 : 데이터가 EU 외 지역으로 전송될 경우, 동일한 수준의 보호를 보장해야 함.
  - 데이터 삭제 권리 : 사용자는 자신의 데이터를 삭제 요청할 수 있는 권리 보유 (잊힐 권리 : right to be forgotten).
  - 위반 시 처벌 : 매출액의 최대 4% 또는 2천만 유로의 벌금을 부과.

CCPA (California Consumer Privacy Act)

• 도입 연도 : 2020년
• 지역 : 미국 캘리포니아주
• 목적 : 소비자 개인정보 권리 강화.
• 주요 내용
  - 데이터 접근 권한 : 사용자는 기업이 자신에 대해 수집한 데이터를 요청하여 확인 가능.
  - 데이터 판매 차단 권리 : 소비자는 자신의 데이터를 제3자에게 판매하지 못하도록 요청 가능.
  - 처벌 기준 : 위반 시 최대 7,500달러의 벌금 부과.

 

FedRAMP (Federal Risk and Authorization Management Program)

• 지역 : 미국
• 목적 : 정부 기관이 클라우드 서비스를 안전하게 도입하도록 보안 기준 제공.
• 주요 내용
  - 클라우드 제공업체 인증 : 정부 기관이 사용하는 모든 클라우드 서비스는 FedRAMP 인증 필수.
  - 보안 프레임워크 : 데이터 암호화, 접근 제어, 정기적인 보안 점검 요구.

중국 사이버보안법

• 도입 연도 : 2017년
• 지역 : 중국
• 목적 : 클라우드 데이터를 포함한 모든 인터넷 데이터의 통제 강화.
• 주요 내용
  - 데이터 로컬라이제이션 : 중국 내 데이터는 반드시 중국 내 서버에 저장.
  - 보안 점검 의무 : 클라우드 제공업체는 데이터 보안과 관련된 정기 점검 의무화.
  
  
  

---

 

 

Public Cloud의 대표적인 종류 : 국내

 

 

네이버 클라우드 플랫폼
주요 서비스 : 데이터 분석, AI 도구, 웹 호스팅 등.
특징 : 한국어 기반의 사용자 인터페이스, 국내법 준수.

카카오 i 클라우드
주요 서비스 : AI API, 대화형 챗봇 등.
특징 : 카카오 생태계와의 통합 기능 강점.

KT Cloud
주요 서비스 : 기업용 클라우드 서비스, 데이터센터 기반 제공.
특징 : 안정적인 네트워크 인프라, 국내 규제에 최적화.

 

일부 국내에 있는 공공기관들은 아직까지 해외 클라우드 보다는 국내 클라우드를 선호하는 경향이 존재한다.

그래서 대부분이 네이버 클라우드를 통해서 구축되었거나 다른 클라우드를 검토하는 경우들이 대부분이다.

 

Public Cloud의 대표적인 종류 : 해외

 

 

그 외에 IT 회사들, 좀 더 혁신적인 기술들을 개발하는 회사들은 해외 클라우드를 통해, 확장성과 유연성을

조금 더 자율적으로 활용하기 위해 대표적으로 AWS, 그리고 Azure, Google Cloud, IBM 등등을 사용한다.

 

AWS (Amazon Web Services)
주요 서비스 : 컴퓨팅, 스토리지, 데이터베이스, AI/ML 등.
특징 : 세계 최대 규모의 클라우드 서비스, 높은 확장성.

Microsoft Azure
주요 서비스 : 하이브리드 클라우드 지원, 기업용 솔루션 제공.
특징 : Windows 환경과의 높은 호환성, 비즈니스 애플리케이션 강점.

Google Cloud Platform (GCP)
주요 서비스 : 데이터 분석(BigQuery), AI/ML 도구.
특징 : 데이터 분석과 AI 기능의 전문성, 합리적인 가격 정책.

IBM Cloud
주요 서비스 : AI 기반의 비즈니스 솔루션, 하이브리드 클라우드.
특징 : 대규모 기업 환경에 적합, 데이터 분석 도구 강점.

 

가장 사용 점유율이 높은 클라우드는 아직까지는 AWS이다.

그 다음은 Azure 이며, IBM이나 Google Cloud는 사용량이 거의 없다고 볼 수 있다.

 

앞으로 클라우드 관련 실습을 진행할 때는 비교적 많은 서비스와 비용 방면에서

AWS를 통해서 관련된 공부를 하는 것이 가장 큰 도움이 될 수 있다.

 

Azure도 많이 개선이 되어져서 과거보다는 점유율이 좀 많이 올라가고 있는 형태이다.