<배경 문서> : 금융부문 클라우드 컴퓨팅 보안 가이드, 금융보안연구원, 2010. 12
[요약서] 금융부문 클라우드 컴퓨팅 보안 가이드
클라우드 컴퓨팅은 인터넷 기술을 활용하여 ‘IT 자원을 서비스’로 제공하는 것으로 IT자원(소프트웨어, 스토리지, 서버, 네트워크 등)을 필요한 만큼 사용하고 서비스 부하에 따라서 실시간 확장이 가능하며 사용한 만큼 비용을 지불하는 서비스이다.
최근 금융권에서는 서버 가용성 확대 및 운영비용 절감 등을 위하여 클라우드 기술을 도입하고 있으며, 대고객 서비스에도 해당 기술의 이용이 점차 확대되고 있는 상황이다.
이러한 클라우드 기술 이용 시 많은 장점이 있으나 도입을 꺼리게 되는 가장 중요한 주제인 보안에 대해 면밀한 검토를 필요로 하고 있다.
해당 가이드에서는 금융관련 클라우드 컴퓨팅 서비스 현황을 분석하고 기존에 발표된 클라우드 컴퓨팅 보안 가이드를 기반으로 금융부문 클라우드 컴퓨팅 서비스의 안전성 확보를 위한 방안을 제시한다.
1. 클라우드 컴퓨팅 유형
이용하는 범위와 제공하는 서비스 모델에 따른 클라우드 컴퓨팅의 유형을 기술한다.
NIST가 정의한 클라우드 컴퓨팅 모델에 의하면 <5>3가지의 서비스모델, 4가지의 구현모델로 나눌 수 있다.
<5>가. 구현에 따른 구분 : Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud
<5>나 서비스 모델에 따른 구분 : IaaS, PaaS, SaaS
흔히 폐쇄적이라는 인식이 강한 금융권에서도 운영서버 통합, 스마트 워크, 대고객 서비스 등에 클라우드 컴퓨팅 기술을 적극 도입하고 있다. 엔드유저대상 금융관련 서비스를 중심의 예를 들어본다.
<5>가. 국내 금융 클라우드 컴퓨팅
- 틸론의 엘클라우드 HTS 서비스
- 삼성증권의 엠팝프로 서비스
<5>
나. 해외 금융 클라우드 컴퓨팅
- BankSimple 의 뱅킹 클라우드 서비스
- Yodlee사의 개인 자산 관리 서비스
2. 클라우드 컴퓨팅 보안
<5>
1. Gartner – 클라우드 컴퓨팅 보안위협 대책
Gartner에서는 클라우드 컴퓨팅 보안위협에 대한 가이드라인 “Assessing the Security Risks of Cloud Computing” 2008년 6월에 발표하였다.
2. RSA – Identity & Data Protection in the Cloud
2009년 11월 EMC의 RSA 정보보안 사업부에서는 클라우드 환경에서의 정보보호 가이드 “Identity & Data Protection in the Cloud” 를 발표하였다.
3. CSA – Top Threats to Cloud Computing V1.0
클라우드 보안연합(CSA)에서는 2010년 3월 클라우드 컴퓨팅의 위협을 정리한 보고서 “Top Threats to Cloud Computing V1.0” 를 발표하였다.
4. CSA – 클라우드 컴퓨팅 위협영역 보안 가이드
클라우드 보안연합(CSA)에서는 2009년 12월 클라우드 컴퓨팅 보안영역을 13개의 항목으로 분류한 가이드 “Security Guidance for Critical Areas of Focus in Cloud Computing V2.1” 를 발표하였다.
5. 일본 – ASP, SaaS 정보보안 대책 가이드
“ASP/SaaS의 정보보안 대책 연구회”에서 2008년 1월 “ASP, SaaS의 정보보안 대책 가이드라인”을 발표하였다.
6. ENISA - Cloud Computing Top Security Risks
ENISA(European Network and Information Security Agency)에서 2009년 11월 “Cloud Computing Benefits, Risks and Recommendations for Information Security”11)을 발표하였다.
7. U.S. Government - Cloud Computing Security
2010년 11월 클라우드 컴퓨팅 보안을 위한 미 정부 가이드라인12) “Proposed Security Assessment and Authorization for U.S. Government Cloud Computing Draft Version 0.96”이 발표되었다.
8. 클라우드 서비스 업체의 보안
지메일, 구글 캘린더 등 여러 클라우드 애플리케이션을 제공하는 구글앱스(Google Apps)와 다양한 클라우드 컴퓨팅 서비스를 제공하는 아마존 등은 보안을 위해 다양한 형태의 보안기능 적용하고 있다.
3. 금융 클라우드 컴퓨팅 보안위협
클라우드 컴퓨팅에는 기술적 위협은 물론이고 관리적 위협이 존재한다. 관리적 위협은 아래와 같이 크게 3가지로 분류될 수 있다.
1. 가용성 및 호환성에 대한 위협
클라우드 컴퓨팅 서비스 장애는 데이터의 손실 및 서비스 중단 등으로 클라우드 컴퓨팅을 이용한 서비스의 신뢰에 나쁜 영향을 준다. 또한 폐업이나 서비스 제공업체 이전 등의 이유로 호환성에 대한 보장도 필요하다.
예) 클라우드 컴퓨팅의 장애에 대한 대표적인 사례
1. 윈도우 애저 테스트 버전 서비스 중단
2. 2009년 1월 세일즈포스닷컴 한 시간 동안의 서비스 중단
3. 구글 지메일의 반복되는 장애
2. 재난, 시스템 장애위협
데이터를 보관하는 데이터 센터에 전쟁이나 자연재해, 해킹에 의한 위협이 발생할 수 있다.
3. 정책 적용관련 위협
관리자에 의한 시스템 오용, 정책적 설정 오류 등의 위협이 발생할 수 있으며, 정책에 의한 계정 및 권한의 일관적이고 자동화된 적용이 필요하다.
4. 법령 및 규제관련 위협
클라우드 스토리지 및 연산 장비의 위치가 타 국가에 존재하는 경우 데이터 유출에 대한 위협뿐만 아니라 상이한 각 국의 법적 규제의 준수를 어렵게 한다. 국가 간 법적규제를 극복하기 위한 노력으로 미국과 유럽연합(EU)간의 세이프하버(Safe Harbor) 협정 등이 있으나 현시점에서는 서비스 이용국가에 서비스 제공업체의 기본시설(IDC) 직접 구축하는 방식으로 진행되고 있다.
4. 결론
1. 국경 간 금융서비스의 개방에 따른 고려사항
정보통신 기술의 발달로 현재까지의 상업적 주재에 기반을 둔 서비스에서 국가 간 금융서비스 거래로 넘어가는 경우 더욱 클라우드 서비스 이용은 활성화될 것이고 이에 따른 금융관련 규제, 감독의 적용이 이용국가기준에서 서비스 제공국가 기준에 의존할 가능성이 높다.
2. 보안을 통합한 솔루션 제공
장기적으로 볼 때 클라우드 공급업체들이 보안을 통합한 솔루션을 공급할 것이다. 따라서 단기적으로 이용자 보안을 위한 각 금융기관에서 지속적인 노력 필요하다. 클라우드 컴퓨팅 시장이 성숙해감에 따라 보안업체는 직접판매에서 클라우드 공급업체를 통한 판매로 전환될 것이다. No comments
0 개의 댓글:
댓글 쓰기