컴퓨터가 점차 발달하면서 클라우드 컴퓨팅(Cloud Computing)이 미래에 핵심적인 기술로 이슈가 되고 있다. 클라우드 컴퓨팅 기술 발전을 통해 스마트 기기와 신기술 또는 다른 분야의 항목들과 융합이 가능해지며, 무한한 가능성을 보여주고 있다. 본 논문에서는 클라우드 컴퓨팅 개념 및 구조를 설명하였고, 클라우드 컴퓨팅 보안 위협과 보안사고 사례를 통해 클라우드 컴퓨팅 서비스도 안전하지 않아 CSA에서 제시한 클라우드 보안 가이드에 지침을 나타냈다. 또한 클라우드 보안 서비스인 SecaaS를 통해 클라우드 컴퓨팅 보안서비스를 연구하였고, 이를 통해 앞으로 클라우드 기술을 적용 및 확장 가능한 미래 기술을 전망한다.
4. 구분
(기업/년)
2015 2016 증감
중견기업
이상
38개 50개 31.6%(12개↑)
중소기업 315개 485개 54.0%(170개↑)
합계
353개 535개 51.6%(182개↑)
31%
11%
8%5%
45%
클라우드 시장 점유율 (%)
아마존
MS
IBM
Google
NEXT 20
국내 클라우드 기업 현황
5. − 클라우드 컴퓨팅 : 인터넷상에서 유틸리티
컴퓨팅과 IT 기술, 자원 또는 서비스 제공
을 말함
− 클라우드 컴퓨팅을 배치 모델(e.g. Hybrid),
서비스 모델(e.g. SaaS), 주요 특성(e.g. Rapid
Elasticity), 공통 특성(e.g. Massive Scale)으로
구분함
− 배치 모델 : 하이브리드, 사설, 공용, 커뮤니
티 클라우드
− 서비스 모델 : SaaS, PaaS, IaaS, BaaS
− 주요 특성 : 주문형 셀프 서비스, 광대역 네
트워크 접근, 신속한 탄력성, 자원 공유, 측
정된 서비스
− 공통 특성 : 큰 스케일, 탄력적인 컴퓨팅,
가상화, 저비용 소프트웨어
6. • IaaS : 가상 머신, 가상 인프라, 가상
저장장치와 같은 하드웨어 자원을
사용자에게 제공
ex) EC2(Amazon Elastic Compute Cloud)
• PaaS : IaaS를 포함하고 운영체제, 개발
프레임워크 등을 사용자에게 제공, PaaS
서비스 모델의 예는 Google AppEngine
• SaaS : PaaS를 포함하며, 애플리케이션,
관리, 사용자 인터페이스를 포함하는
서비스
ex) Office 365
• BaaS : SaaS를 포함하며, API와 Backend를
통합 할 수 있는 다양한 컴퓨터 언어용
도구를 제공
ex) Parse
7. • CSA에서 발표한 2016 12가지의 클라우드 위협
항목을 제시
• 데이터 유출, 불충분한 ID 자격 증명 및 접근 관리,
안전하지 않은 인터페이스 및 API, 시스템 취약점,
계정 도용, 악의적인 내부자, 지능적 지속 위협,
공유된 기술 문제, 클라우드 서비스의 남용 및
사소한 사용, 서비스 거부, 불충분한 조사, 데이터
손실과 같이 클라우드 12가지의 위험 유형을
발표했음
• 자주 일어나는 위협항목을 나타낸 것이며 다양한
보안사고 사례가 기반
위 협
Data Breaches
Insufficient Identity, Credential
and Access Management
Insecure Interfaces and APIs
System Vulnerabilities
Account Hijacking
Malicious Insiders
Advanced Persistent
Threats(APTs)
Shared Technology Issues
Abuse and Nefarious Use of
Cloud Services
Denial of Service
Insufficient Due Diligence
8. • 2015년, 아마존에서 BitDefender는 AWS 에서 호스팅되는 공용 클라우드
애플리케이션의 보안상 취약점으로 다수의 개인정보 유출 사례, 미국
국세청(IRS)의 취약한 API("Get Transcript")를 통해 30 만 건 이상의 데이터
노출
• 2016년, 대형 DNS 서비스 업체인 딘(Dyn)이 대규모 DDoS 공격당했으며
아마존과 깃허브, 트위터 등 업체에 트래픽 문제가 발생, 링크드인 650만
계정 비밀번호 유출, 야후 2014년 해킹 당시 5억명의 특정 사용자 계정
정보의 사본 유출 등 이러한 보안사고 사례를 통해 꾸준히 지능적이면서
향상된 공격기법들이 증가하고 있다. 향후 미래에는 클라우드 보안 역시
안전하다고 할 수 없음
9. • Security as a Service (SecaaS) : 클라우드 시스템의 여러 종류와 모델을
기반으로 제공하는 소프트웨어 형태의 보안 서비스
• 기존 소프트웨어구조에서 효율적인 보안 장비로 바꿔가고 있지만
알려지지 않은 취약점들도 많을 뿐만 아니라 보안 제품 간의 호환성
문제 등 관리가 쉽지 않기에 보안이 안전하다고 답할 수 없음
• SecaaS의 시장은 2015년 31억 2000만 달러에서 2020년 85억 2000만
달러로 연 평균 22.2% 성장할 전망
• 로그 관리, 모니터링 등 반복적인 보안업무가 간소화되어 지능형 지속
위협 공격(APT), 분산 서비스 거부 공격(DDoS) 등 대응에 효과적
• SecaaS를 효과적으로 사용가능하며 저비용, 효율적인 관리 및 보안성
강화를 통해 중소기업의 취약한 정보 보안 해결책이 될 전망
• CSA는 기존에 존재하는 SecaaS 서비스에서 보안 위협 시
소비자들에게 더 나은 보안 솔루션의 이해를 위해 표와 같이 12가지
항목으로 분류
도메인
Network Security
Vulnerability Scanning
Web Security
Email Security
Identity and Access Management(IAM)
Encryption
Intrusion Management
Data Loss Prevention (DLP)
Security Information and Event
Management (SIEM)
Business Continuity and Disaster
Recovery (BCDR)
Continuous Monitoring
10. • 최근 다른 분야의 항목들(의료, 바이오, LED, 보안 등)에 클라우드와 기술이 융합
및 개발이 적용되고 있으나 보안사고는 지속적으로 나타나고 있어 기술적 대책이
필요한 상황
• 보안사고들을 최대한 줄이기 위해 클라우드 컴퓨팅 보안서비스를 빠르게
도입시켜 전문 보안업체들은 클라우드 컴퓨팅 보안에 힘을 써야함
• 클라우드 컴퓨팅을 보안 문제없이 안전하면서도 효과적인 보안서비스를
제공하여 사물인터넷(IoT), 인공지능(AI), 머신러닝 등 다양한 미래 기술들과
빠르게 적용할 수 있을 것으로 전망
11. • Synergy Research Group , 클라우드 인프라 서비스 시장, 2016
• IDC, Worldwide Semiannual Public Cloud Services Spending Guide, 2015