美 NSA, '클라우드 보안 가이드' 발행

게티이미지뱅크
게티이미지뱅크

클라우드 도입 시 보안이 우려된다면 참고할 만한 자료가 나왔다.

미국 국가안보국(NSA)은 '클라우드 취약점 줄이기'라는 제목으로 클라우드 보안 가이드를 발행했다. 기업이 클라우드 환경을 보호할 수 있는 다양한 방법과 함께 클라우드 취약점 유형이 담겼다. 크게 클라우드 구성 요소와 클라우드 취약점으로 구성된다. 총 8쪽 분량이다.

클라우드 아키텍처는 클라우드 서비스 제공자(CSP)마다 다르기 때문에 표준화한 모델은 없다. NSA는 클라우드 공통 구성 요소를 △신원 접근 관리 △가상화와 컨테이너화(전산) △네트워킹 △스토리지 등 네 개 유형으로 구분한 후 각각에 대한 보안 조치법을 소개했다. 클라우드 네트워킹 보안 조치로는 내부자 위협으로부터 고객 클라우드 자산을 보호하기 위한 제어가 반드시 포함돼야 한다고 권고했다.

클라우드 암호화와 키 관리는 클라우드 정보유출을 막기 위한 핵심 요소다. CSP가 일부 정보에 암호화를 수행하더라도 클라우드 고객 역시 자사 정보를 보호하기 위한 추가 조치에는 무엇이 있는지 파악해야 한다. 정보 중요도에 따라 클라우드 암호화와 키 관리 전략을 수립하는 것이 좋다.

CSP와 고객 간 책임공유도 필요하다. CSP는 클라우드 보안 구성 도구와 모니터링 시스템을 제공하지만, 고객 역시 자사 보안 요구사항에 따라 적절하게 보안 요소를 구성할 책임이 있다.

클라우드 공격자 유형으로는 악의를 가진 CSP 관리자와 고객사 내부 관리자, 사이버 범죄자, 정부 지원 해커, 부주의한 고객사 관리자 등이 포함됐다.

클라우드 취약점은 △공급망 취약점 △공동 소유권으로 인한 취약점 △취약한 접근 제어 △잘못된 보안 설정 등으로 발생할 가능성이 있다. 이 가운데 잘못된 보안 설정으로 인한 취약점 노출은 가장 흔하게 발생하면서 공격자가 쉽게 악용할 수 있어 주의가 요구된다. 공급망 취약점을 활용한 클라우드 공격은 난도가 높지만 정부 지원 해커 등에 의해 수행될 우려가 있다.

NSA는 “클라우드를 정교하게 도입하면 보안성을 높일 수 있지만 도입과 실제 운영 과정에서 기업 리스크도 따라온다”면서 “기업 자산을 클라우드로 옮길 때 보안 영향을 충분히 평가해야 한다”고 권고했다. 이어 “클라우드 리스크 관리는 고객이 위협과 취약점을 충분히 이해하는 것에서부터 출발한다”면서 “도입 시 뿐만 아니라 지속적인 과정으로써 클라우드 위험을 관리해야 할 것”이라고 덧붙였다.

오다인기자 ohdain@etnews.com