구글 문서도구(Google Docs)에 의존하는 소규모 기업이든 클라우드로 글로벌 ERP 시스템을 움직이는 대기업이든, 웹을 통해 애플리케이션과 서비스를 제공하는 업체에게 몇 가지 일반 보안 및 규정 준수사항을 요구해야 한다.
이런 요구사항에는 호스팅 시스템뿐만 아니라 누가 당신의 애플리케이션과 데이터를 액세스할 수 있는지, 또 데이터가 어디에 저장되는지, 그 데이터가 공유되는 것보다 전용 하드웨어에서 호스팅 되는지 등이 포함된다.
공급자들은 또한 CIO가 기업 및 규제 기준을 준수할 수 있도록 데이터와 애플리케이션을 액세스한 사용자에 대해 자세한 로그를 지원해야 한다. 그리고 데이터가 기업 방화벽 외부에서 제대로 암호화되어 있는지도 검증할 필요가 있다.
클라우드 업체에 요구해야 하는는 사항은 당신의 회사 기준 및 준수사항, 진행 중인 워크로드의 양과 유형, 그리고 어떻게 직원과 공급자 사이의 관리 및 보안 책임을 분산하는가에 따라 달라진다. 보안 요구사항은 또한 서비스로서 소프트웨어(SaaS)를 사용할 것인지, 서비스로서 인프라(IaaS)를 사용할 것인지, 또는 서비스로서 플랫폼(PaaS)을 사용할 것인지 제공하는 것에 따라 달라진다. 하지만, 클라우드 보안 계획을 세울 때, 최소한 다음의 질문을 고려해야 한다.
1. 누가 인증/접근 제어권을 가지나?
사용자의 신분과 역할을 바탕으로, 그들이 사용자인지, 그리고 그들이 볼 수 있는 데이터와 수행 가능한 기능을 제어할 수 있는지 확인할 수 있는 능력은 거의 모든 클라우드 사용자 인터뷰에 있어 최우선 사항이다. 인증은 액티브 디렉토리(Active Directory)와 같은 저장소를 사용해 방화벽 내의 사용자 정보와 컨트롤을 유지하면서 클라우드로 서버와 애플리케이션을 호스트할 때 가장 어려울 수 있다.
최상의 솔루션은 내외부 조직 시스템의 모든 것으로부터 인증 정보를 묶어주는 FIM(federated identity management) 액세스 시스템이다. 이것은 비밀번호 또는 토큰 같은 적합한 자격을 보여주는 모든 사용자들의 실시간 인증을 구현한다. 또한, 싱글 ID와 패스워드로 기업 내 또는 클라우드에서 그들의 모든 애플리케이션과 데이터를 액세스할 수 있는 사용자를 허용하는 싱글 사인온(single sign-on)을 지원한다.
포레스터 리서치(Forrester Research) 애널리스트 에브 말러는 선두 SaaS 공급자들의 경우 ‘아이덴티티 공급자’로서 거대 고객에게 단일 사용승인을 제공하는 인프라를 보유한 반면, 대다수 소규모 서비스 공급자와 그들의 고객들은 역량이 부족한 경향이 있다고 지적했다.
그는 이어 FIM 시스템들의 경우 비싸고 번거롭기 때문에, 대다수 조직들은 사용자 인증 정보의 복사본이 다른 애플리케이션에 의해 관리되는 ‘동기화’ 어프로치로 만족할 수밖에 없는 설정이라고 덧붙였다.
그러나 그에 따르면 동기화 접근법은 사용자의 자격 데이터를 많은 장소와 회사에 널리 퍼트려 보안을 위태롭게 할 수 있다. 또한 내부 시스템과 클라우드 기반의 애플리케이션에서 불러온 종업원의 액세스 시간 사이에 생긴 지연이 잠재적인 보안 갭을 만들 수 있다.
또 다른 인증 옵션은 클라우드 공급자가 클라이언트 기업 저장소에 저장된 사용자 정보에 직접 연결되는 것이다. 말러는 이를 “동기화보다 안전할 수 있다”고 말하면서도, 현실적으로 비교적 간단한 시스템 컬렉션을 가지고 있을 때에 가능하다고 설명했다.
이는 의료서비스 공급자 HCR 매너케어(ManorCare)가 채용했던 방법이다. HCR 정보보안 이사 토마스 바인스에 따르면 그는 지난 7년간 회사의 전자의료기록시스템을 호스트하기 위해 클라우드 기반 애플리케이션을 이용했으며, 매우 안정적이었다. 그는 사용자 인증과 그들을 승인하는 액세스 레벨을 결정하기 위해 액티브 디렉토리(Active Directory)를 구현하기 위해 Z스케일러(Zscaler, 사용자들이 액세스하는 사이트를 제어하고 악성앱 웹사이트를 체크)의 클라우드 기반 보안 서비스를 이용했다.
NetIQ 클라우드 제품 관리 이사 톰 세세르에 따르면, 클라우드에서 서버 이용을 구매하는 IaaS의 도입의 경우, 서비스 공급자로부터 LDAP 디렉토리에의 단순한 링크가 충분할 수 있다. 그것은 일반적으로 제한된 수의 관리 역할만 있기 때문이다. 예를 들어, 첫 역할은 새로운 서버들을 만드는 사용자들을, 두번째는 서버의 용량을 확장할 수 있는 사용자를, 세번째 역할은 서버들을 사용할 대규모 그룹을 관장하면 된다.
심플리파이드(Symplified), 옥타(Okta) 그리고 핑 아이덴티티(Ping Identity) 등의 공급 업체들은 말러가 일컬은 ‘제휴라는 단순화된 방안’(a simplified way of federating)을 통해 단일 사용승인을 제공한다. 이는 사용자의 접근 요청을 클라우드 기반의 인증 프로세스로 향하게 하는 방식이다. 이 때 이 클라우드 기반의 인증 프로세서는 고객이 이용하는 모든 클라우드 서비스를 지원한다.
다음 도전 과제는 사용자들이 오직 애플리케이션, 그들이 허가 받은 애플리케이션 내의 데이터 또는 기능만 액세스할 수 있게 수행하는 것이다.
말러는 모든 조직들이 액세스 지정 시 같은 단위 레벨을 요구하지는 않는다면서도, 필요한 세부 레벨을 파악하는 것이 중요하다고 지적했다. 특히 더 많은 사용자들의 액세스를 허용함으로써 더 큰 매출을 올리려 하기 마련인 공급자의 ‘코스 그레인드(coarse-grained)’ 컨트롤에 의존하지는 말아야 한다고 덧붙였다.
2. 장소는 안전한가?
클라우드 업체는 사용자들 모르게 데이터를 가장 가격 효율이 높은 장소로 이동시킨다. 하지만 보안을 확보하기 위해 고객은 그들의 데이터 위치를 알 수 있어야 한다. 재무서비스 공급자 윌셔 어소시에이츠(Wilshire Associates) IT 인프라 및 정보 보안 부사장 게리 랜도우는 불필요한 사이트로 복제를 제공할 수 있는 클라우드 공급자를 원한다며, “또 데이터가 있게 될 곳을 알고 싶다. 왜냐하면 나의 데이터가 강력한 법적 보호가 부족한 곳으로 옮겨지길 원치 않기 때문이다”라고 말했다.
문서 보안에 관심이 있는 클라우드 고객들은 와치독스(WatchDox)와 같은 SaaS 툴을 사용할 수 있다. 와치독스는 클라우드 기반 문서를 볼 수 있게 컨트롤하고, 또 누가 액세스했는지 보여준다. CVG 스트레티지(CVG Strategy, 방어 및 제조 컨설팅) 케빈 골스톤 부사장는 와치독스가 디지털 권한관리 소프트웨어보다 사용하기가 쉽고 덜 번거롭다고 호평했다.
AMAG 제약은 그들의 민감한 애플리케이션과 제조 프로세스 및 퀄리티 통제 관련 정보 8TB에 달하는 데이터를 24시간 호스트하기 위해 클라우드 공급자에 의존하고 있다. 이 회사의 IT 담당 임원 나단 맥브라이드는 허가된 사용자에 한해 문서 접근를 제한하고 사용자가 회사를 떠날 때 다른 종업원에게 문서 소유권을 넘길 수 있도록 클라우드락(CloudLock, 예전 Aprigo)의 구글 앱용 클라우드락을 사용한다. 이는 액세스 가능한 사람을 바꾸거나 각 문서를 찾기 위해 수동 작업할 필요성을 없애준다.
3. 감사는 언제 진행되나?
기업이 사용한 애플리케이션과 데이터를 알기 위해, 산업과 정부 표준은 감사와 보고를 요구한다. HCR의 바인스는 매 분기 각 애플리케이션 공급자에 대해 감사를 실시한다. 여기에는 소프트웨어 업데이트부터 사용자들의 계정 유효성과 HIPPA 및 사베인-옥슬립(Sarbanes-Oxley) 법 준수에서 요구하는 통제까지 모든 것이 포함된다.
그에 따르면 감사 및 보안 그룹간의 연륜과 친밀한 협력 덕분에 감사 작업에는 한 직원이 한 분기만 투입되면 된다.
AMAG의 맥브라이드가 계약하는 각 클라우드 공급자는 엄격한 FDA 데이터 보안 요구를 충족해야 한다. 요구 중 하나는 여러 일에 걸친 온사이트(on-site) 감사로 AMA가 벤더의 설비와 절차에 대해 진행하는 것이다.
미국병원협회 기술 솔루션 및 운영 IT 이사 카르틱 차카라파니는 SAS 70 준수가 보안 보증으로 자주 인용되고 있는데, 그것은 단지 공급자들이 가진 콘트롤을 나열하는 것일 뿐이라고 지적했다.
미국병원협회는 급여용 CRM 시스템에서 클라우드에서 모바일 애플리케이션용 데이터까지 모든 것을 호스트하고 있다. SaaS IT 관리 공급자인 서비스 나우(Service Now) IT 보안 이사 재이슨 라우는 ISO 27001이 좀더 철저한 대안일 수 있다고 제안했다.
클라우드 보안 연합(CSA) 전략이사회 의장이며 스토리지 공급자인 EMC 최고 관리 이사 마린 폴맨(Marlin Pohlman)은 SAS 70 대신에 SSAE(Statement on Standards for Attestation Engagements) No. 16이나 SOC2를 사용할 것을 권고했다.
CSA는 또한 클라우드 컨트롤 매트릭스(Cloud Controls Matrix)에 보안 원칙 세트를 삽입했으며, 4사분기 중 보안, 신뢰 및 보증 레지스트리(STAR)을 위해 클라우드 공급자이 작성한 보안 설문지를 사용자들이 확인할 수 있을 것으로 기대하고 있다. Z스케일러 CEO와 CSA 공동설립자 제이 츄드리에 따르면, 공급자가 주장한 보안 실천이 잘 되고 있는지 비교해보는 포맷을 사용자들은 받아볼 수 있게 된다.
어떤 경우에도 차카라파니는 어떤 시스템에 어떤 데이터가 저장되어 있는지, 어떻게 데이터가 저장되고 암호화됐는지, 그리고 그것이 무엇에 의해 읽고 쓰여지는지 정확한 패스에 대해 자세하게 질문하라고 조언했다. 그는 또 어느 운영자가 시스템을 액세스할 수 있는지, 그리고 그들의 접근은 어떻게 컨트롤되는지 알아야 한다고 말했다.
NetIQ 세세르는 단일 사용승인 용량이 다중 ID와 패스워드의 혼란을 없애는 반면, 그것은 또한 그들이 로그인했던 시스템, 사용 자격과 상관없이 사용자의 행동 모두를 캡처함으로써 좀더 완벽한 감사를 할 수 있다고 말했다.
코어 시큐리티 테크놀로지, 엔써클(nCircle) 등의 공급자들은 사용자들이 취약점 스캔을 실행할 수 있도록 권한을 부여하고 있다. 대다수 회사들은 그들이 내부적으로 하고 있는 동일한 스캔 기능을 원하며, 그들의 조직을 위해 클라우드 공급자들의 동일한 보고서를 받기를 바란다고 엔써클의 CTO 팀 키니니는 말했다.
하지만, 일각에서는 이를 흉내낸 공격에 의해 이러한 테스트가 공급자의 서비스를 방해할 수 있다고 반박하고 있다. 또 스캔이 불완전하며 부정확하다고는 의견도 있다. 맥브라이드는 공급자와의 ‘인간관계를 상하게 하는 확실한 길’이라고 평가했다. 폴맨은 공급자를 액세스하기 위해 덜 참견하는 길로서 미국국립표준기술원에 의해 개발된 시큐리티 컨텐트 오토메이션 프로토콜(Security Content Automation Protocol)을 제안하고 있다.
4. 데이터는 전용 하드웨어에 있는가?
많은 클라우드 공급자들은 비용 효율성, 확장 가능한 서비스를 제공하는 방안의 일환으로 여러 고객의 데이터와 애플리케이션들을 같은 서버나 스토리지를 공유하는 멀티테넌트(multitenant) 구조를 제안한다. 하지만, 다른 고객들로부터 안전하게 분리돼 그들의 데이터가 자신만의 플랫폼에 있기를 원하는 고개도 있다.
허트랜드 페이먼트 시스템즈(Heartland Payment Systems) CTO 크리스 헤린은 어떤 애플리케이션이 전용 하드웨어에 장착되고, 어떤 애플리케이션이 공유되는 시스템으로 갈 수 있는지 선택할 수 있는 공급자를 선택한다고 말했다. 예를 들어 헤린은 가상 서버에서 작동되는 애플리케이션용으로 전용 하드웨어 옵션을 선택했다. 그가 추가적인 안전조치를 원한 이유는, 비록 허트랜드 사양을 따른다 할지라도 회사의 엔지니어들가 아닌 IaaS 공급자가 하이퍼바이저를 관리하기 때문이다.
5. 누가 스토어를 지켜보는가?
서비스 나우의 라우는 “고객들이 종종 서드파티 공급자가 관련된 모든 다운스트림을 정확히 알기를 원한다. SaaS 공급자는 거대 기업처럼 보이지만, 다른 호스팅 설비를 이용하는 소규모 맘앤팝 매장(미국 NBC 시트콤 Seinfeld 에피소드)에 불과하지 않은가?”라고 말했다.
라우는 공급자가 있는 회사 상업지구의 형태, 보안 팀의 크기 그리고 보안직원이이 상근직인지 등 자세한 질문을 통해 회사 실제 규모를 살펴보라고 조언했다. 그는 “그들의 보안 정책과 표준에 대해 물어봐라. 만약 그들이 그것을 제공하지 못하면, 아마도 그들은 보안 프로그램이 없는 것이다”라고 말했다.
6. 어떻게 데이터가 암호화될 것인가?
암호화, 또는 변형, 데이터는 모든 보안 정책의 중심이다. 하지만, 암호화 타입과 제안 방식은 사용자가 어떻게 클라우드를 사용하느냐에 따라 달라질 수 있다.
암호화는 ‘데이터 센터와 하드웨어 사업에서 벗어나려는’ 헤린의 계획 중심에 있다. 그는 클라우드 공급자가 가진 서버에 애플리케이션을 호스팅 하지만, 자신의 직원에 의해 이를 관리하게 한다. 그는 그들의 상점에서 사용된 카드의 시간에서부터 고객들의 신용카드 숫자를 암호화하는데 볼티지 시큐리티(Voltage Security)의 강화된 어플리언스를 사용하고 있다.
이러한 접근법은 고객들의 신용카드 번호를 보호하는 페이먼트 카드 산업(PCI) 표준에 준수하는지에 대해 걱정하지 않고도 클라우드의 원가절감을 이룰 수 있게 해준다. 모든 신용카드 번호들은 읽혀지지 않기 때문에, 그 프로세스는 PCI에 적용되지 않는 것이다.
뉴욕의 비지팅 너스 서비스(Visiting Nurse Service) 정보보안 이사 및 CI 보안담당 래리 화이트사이트는 사용자와 클라우드 애플리케이션 간의 데이터 이동에 대해 1,024비트 암호화를 주장하고 있다.
그에 따르면 나머지 데이터의 암호화도 가치 있는 일이지만, 데이터 불명료화 및 SQL 인스턴트 또는 물리적 기계의 분리된 사용과 같은 곳에서의 다른 보안 통제를 가정하면 이는 그의 조직에서 반드시 필수사항이 아니다.
사고를 피하는 방법은 애플리케이션이 느려지지 않고 요구되는 암호화 단계를 충분히 빠르게 처리할 수 있는 서버와 스토로지 가격을 말해주는 IaaS 공급자를 확인하는 것이다. 폴맨은 각 조직과 관련기관에서 요구하는 암호화 레벨을 결정하기 위해 FIPS (Federal Information Processing Standards) 140-3 가이드라인을 컨설팅하는 것을 제안하고 있다. 바인스는 이 밖에 공급자의 DR 계획에서 암호화 데이터뿐만 아니라 데이터를 사용하기 위해 필요한 암호화 키까지 보호되고 있는지 확인해야 한다고 조언했다.
모든 예방책을 가졌다면, 이제 보안의 키는 사람이다. 몇몇 사용자들은 공급기업들이 더 많은 돈과 보상을 가지고 있기 때문에 데이터 보안을 자신들보다 더 철저히 지킬 수 있을 것이라고 믿고 있다.
맥브라이드는 “15개의 다른 작업을 하고 있는 우리 회사의 직원을 믿기보다 클라이언트들의 데이터를 안전하게 지키는 일에 매달리고 있는 클라우드 공급자에 기대는 것이 차라리 마음이 놓인다고 말했다.
출처
'경영, 비즈니스 > 기업보안' 카테고리의 다른 글
| 업무용 스마트폰 백업하는 방법 | 동기화 및 MDM 솔루션 사용하기 (0) | 2023.04.06 |
|---|---|
| 보안 사고에 대한 감정 변화에 효율적으로 대처하는 방법 (0) | 2023.04.05 |
| 윈도우 네트워크 취약점으로 인한 보안 위협에 대처하는 방법 (0) | 2023.03.15 |
| 해커의 공격 기법 및 공통적 특징, 그에 따른 보안 대책 (KISA) (0) | 2023.03.08 |
| 사고대응 커뮤니케이션 전략 | 보안 사고가 비즈니스 위기가 되지 않으려면 (0) | 2023.03.02 |
| 중소기업을 위한 다계층 보안체계 체크리스트 (0) | 2023.02.28 |
| 2023 가장 주의해야 할 맬웨어 (맬웨어 현황 2023, 멀웨어바이트) (0) | 2023.02.26 |
| 중소기업을 위한 사이버보안 지침서 (미국 비영리 사이버보안 기구 IST) (0) | 2023.02.08 |
