[보안칼럼]클라우드 보안, 책임공유모델 확산해야

[보안칼럼]클라우드 보안, 책임공유모델 확산해야

세계 수많은 조직이 비용과 운영 효율성을 고려해 클라우드 도입을 실행하거나 검토한다. 시장조사업체 가트너에 따르면 올해 글로벌 퍼블릭 클라우드 서비스 시장 규모는 2143억달러(약 256조원), 2022년에는 3312억달러(394조원)까지 확대될 것으로 전망된다. 국내 시장도 올해 약 2조3000억원에서 2022년 3조7000억원까지 늘어날 것으로 보인다.

클라우드 도입 시 걸림돌로 꼽히던 보안 역시 솔루션 경쟁으로 지속 강화된다. 다만 침해 시 책임 소재에 대한 인식은 재확립해야 한다. 지난해 11월 보안업체 탈레스가 발표한 '2019 클라우드 보안 연구'에 따르면 클라우드 데이터 보호 책임이 자사에 있다고 답한 기업은 31%에 그쳤다. 35%는 클라우드 공급업체 책임, 33%는 공동 책임이라고 각각 답했다.

클라우드 보안 현업에 몸담은 종사자로서 국내 클라우드 현장에서의 책임 인식이 부족하다는 것을 느낀다. 아직 많은 퍼블릭 클라우드 사용자가 보안에 관한 모든 책임은 온전히 제공자가 지는 것으로 생각한다. '책임공유모델' 인식 확산이 조속히 필요하다.

책임공유모델이란 퍼블릭 클라우드 서비스 제공자와 사용자가 클라우드 보안 책임을 분담하는 것이다. 용어는 책임공유지만 실제 내용으론 책임 분담에 가깝다. 아마존웹서비스(AWS), 마이크로소프트(MS) 애저 등 주요 퍼블릭 클라우드 서비스 제공업체에서 책임공유모델을 채택했다.

사용자별로 제공업체와 서비스가 다르기 때문에 표준은 없지만 기본적으로 서비스형인프라(IaaS), 서비스형플랫폼(PaaS), 서비스형보안(SaaS) 순으로 제공업체 책임이 커진다.

IaaS라면 제공업체는 네트워크, 스토리지, 데이터베이스(DB) 등 인프라 요소와 데이터센터 등 물리 요소의 보안에 책임을 진다. 반면에 SaaS라면 인프라뿐만 아니라 소프트웨어(SW) 스택 보안을 모두 책임진다. 사용자 통제권이 그만큼 적기 때문이다.

책임공유모델에서 퍼블릭 클라우드 서비스 사용자가 명심해야 할 점은 클라우드에 저장된 데이터에 대한 기본 책임은 사용자에게 있다는 점이다. 클라우드 서비스 침해로 발생한 보안 사고는 제공자에게 책임이 있지만 이외 데이터에 대한 위협 방어, 계정 보안 등은 사용자가 보안을 확립해야 한다. 제공업체가 사용자 데이터 전부를 통제할 수 없기 때문이다.

일각에선 책임공유모델을 두고 '책임전가모델'이라고 비판한다. 그러나 책임공유모델 취지는 서비스 제공업체와 사용자가 협력해서 각자가 통제하는 요소를 보호하고 궁극으로 클라우드 전체 보안을 확립하는 것이다. 사용자는 외부 업체가 제공하는 클라우드 서비스를 이용하면서 데이터 주권을 확보할 수 있다.

퍼블릭 클라우드 도입 시 책임공유모델에 대한 공감과 이해는 보안을 위한 선결 과제다. 서비스 계약 시 체결하는 서비스 수준 협약을 상호 간 면밀히 검토해서 보안사고 시 책임 소재를 사전에 분명히 해야 한다.

만연한 보안 불감증도 개선이 필요하다. 소셜 네트워크 기반의 온·오프라인연계(O2O), e커머스 등 서비스가 클라우드에서 운용되지만 보안은 무방비 상태에 처한 경우가 많다. 기존 데이터센터와 온프레미스 환경에서는 여러 계층에 걸쳐 네트워크 보안과 다중 보안 대책이 수립된 반면에 클라우드에서는 단 하나의 보안 솔루션도 도입하지 않은 경우가 적지 않다.

퍼블릭 클라우드는 계속 성장하고 보안 솔루션 역시 발전을 거듭해 점점 더 안전한 기술 환경이 조성될 것이다. 이와 함께 책임공유모델에 대한 인식 제고로 국내 조직이 더욱 안정된 클라우드 혜택을 누렸으면 한다.

김진광 트렌드마이크로 한국지사장 jaykay_kim@trendmicro.com