클라우드 서비스(SaaS) 개발사/이용자가 알아야 할 보안

강은성 시소랩 대표님의 글 ” 클라우드 서비스(SaaS) 개발사가 알아야 할 보안“을 토대로 정리한 글 입니다.

(원문: http://www.ciokorea.com/news/154769#csidx68981c82faf84dabb55412ea6f55810  )

 

정부의 적극적인 지원과 스타트업 활성화 등에 따라, 클라우드 서비스 이용이 큰폭으로 증가하고 있습니다. 

  - 클라우드 시장 규모믄 연평균 해외 23.1%, 국내 16.8% 급성장 예상(과기정통부, 2019)

 

하지만, 클라우드의 인기가 높은 만큼, 보안에 대한 우려도 증가하고 있습니다. 지난 5년간 서비스 중단, 데이터 파일 삭제, 개인정보 유출 등 정보보안 사고는 꾸준히 발생하고 있으며, 최근 보안사고 중 대부분은 고객사의 설정오류에 기인한 문제였습니다.

 - 넷플릭스 서비스 중단(‘15년), 애플 서비스 중단 (‘17년), 혼다 개인정보 유출 (‘18년), A사 고객정보 유출 (‘19년)

 

클라우드 서비스 개발사 및 이용자는 이러한 보안사고에 대비하고 보안을 강화하기 위해, 클라우스 서비스에 대한 충분한 이해, 관리계정에 대한 적절한 통제, 그리고 클라우드 인력에 대한 기술역량을 제고해야 합니다.

 

 1) 클라우드 서비스 사업자 (CSP)의 ‘책임 공유제’에 대한 충분한 이해는 물론 책임범위에 대해 명확히 설정할 필요가 있습니다.

 

 2) 클라우드 환경에서는 보안팀 뿐만 아니라, 구매팀, IT운영팀, 재무팀 등 또한 클라우드 계정을 소유하게 되므로, 계정 및 권한관리에 대한 중요성이 커지게 됩니다. 따라서, 계정 및 권한 관리 (IAM, Identity Access Management) 시스템을 도입하고 적절한 정책관리가 필요합니다.

 - DB, 네트워크, 애플리케이션, 보안솔루션 등 모든 IT자원을 파악하고 계정부여 및 관리

 - 최소의 권한 부여, 책임성 및 추적성 강화, 계정 모니터링 및 접근통제 관리 등 보안접근통제 실시

 

 3) 서비스 개발사 또는 이용자는 CSP가 제공하는 네이티브 보안솔루션을 활용하여 기본적인 보안을 구현할 수 있으며, 무료서비스와 공개 세미나 등을 통해 클라우드 서비스의 안전한 보안설정 및 운영에 대한 이해도를 높일 수 있습니다.

 - N/W Firewall, WAF, Anti-DDoS, 서버존 분리 등 네트워크 보안

 - 데이터 암호화, 키관리, 하드웨어 보안 모듈을 통한 데이터 보호

 - 로깅 및 이벤트 감시 솔루션을 통한 모니터링

 

※ IBM IAM: 인증, 권한 부여된 액세스 관리, ID 거버넌스 및 액세스 관리, 액세스 권한 부여, 디바이스에서 싱글 사인온 제공, 다단계 인증을 사용하여 보안 강화, 사용자 라이프사이클 관리 사용 및 권한 부여된 계정 보호 등의 작업을 수행할 수 있습니다.