이재일 한국인터넷진흥원 인터넷침해대응센터 본부장(jilee@kisa.or.kr)
온라인 게임업체에 다니는 회사원 김모씨는 아침 운동 나가는 길에 지능형 헤드셋으로 개인 맞춤형 클라우드 서비스에 접속한다. 즐겨 찾는 음악 스트리밍으로 연결하면 신나는 음악을 들려준다. 출근길 지하철에서 김씨는 스마트패드로 클라우드에 접속해 어젯밤에 프로그램하다 멈췄던 온라인 게임을 계속 만든다. 업무시간이 되면 프로그램 개발에 최적화되도록 IT자원을 자동으로 배치해 준다.
![[미래 네트워크 미래 인터넷]<19>클라우드 보안 핵심, 소유에서 서비스로](https://img.etnews.com/cms/uploadfiles/afieldfile/2012/11/29/359652_20121129191027_701_0001.jpg)
퇴근 후 집에 돌아온 김씨는 하루 피로를 풀기위해 다시 한 번 클라우드에 접속한다. 프로그램 개발에 최적화된 클라우드 서비스는 다시 음악 스트리밍 서비스로 자동 연결돼 피로회복을 도와주는 조용한 음악을 들려준다.
김씨는 모든 과정을 단지 클라우드에 접속하는 것만으로 해결한다. 김씨가 접속한 클라우드 서비스는 생활 패턴을 파악해 자동으로 프로파일링돼 적절한 시간에 필요한 일을 알아서 제공하고 있는 것이다. 가까운 미래, 우리에게 다가올 일상 모습이다. 바로 최근 IT업계의 가장 큰 화두 중 하나인 `클라우드 서비스`가 만들어낼 가까운 미래다.
클라우드 컴퓨팅 서비스 등장으로 기존 IT자원을 소유하던 시대에서 서비스로 제공받는 시대로 패러다임이 변화하고 있다. 미국은 클라우드 퍼스트(Cloud First) 정책을 발표하며 IT예산 절감을 위해 정부기관이 클라우드 컴퓨팅 서비스를 도입하도록 적극 추진 중이다.
이런 상황에서 클라우드 컴퓨팅 서비스의 안정성(Stability)이나 보안(Security) 이슈는 서비스 도입의 걸림돌로 작용하고 있다. IT자원과 정보(데이터)가 서비스로 집중되면서 서비스 장애나 보안 사고 우려가 예상보다 큰 장애로 작용한다. 클라우드 서비스 핵심 기술인 가상화 취약점 등을 이용해 다른 사이트를 공격하는 사례가 발생해 또 다른 보안 우려를 낳고 있는 것도 사실이다.
대표 사례로 2011년 아마존의 가상 서버 임대 서비스인 EC2를 이용해 소니 온라인 엔터테인먼트 시스템을 공격해 7700만 건의 개인 정보가 유출된 사고가 있었다. 정확한 사고 경위가 밝혀지지는 않았지만 임대한 가상 서버에서 가상화 취약점을 이용해 인접한 가상 서버로 악성코드를 전파하는 방식으로 EC2 가상 서버를 DDoS 공격에 활용했을 것으로 예상된다.
실제로 클라우드 서비스 업체는 가상랜(Virtual LAN) 등을 통해 논리적으로 네트워크를 분리해 분리된 네트워크에 있는 가상 서버 간에는 패킷 스니핑이나 DDoS 공격 등이 불가능해야 한다. 그러나 가상랜에 전송되는 802.1Q 패킷을 변조해 공격자의 가상 서버가 스위치인 것처럼 위장하는 가상랜 호핑(Hopping)으로 공격하면 모든 가상 네트워크로 패킷을 전송해 트래픽 장애를 유발할 수 있다.
이는 클라우드 서비스가 갖는 다양한 보안 위협 중 하나에 불과하다. 보안 위협을 적절하게 해결하지 못하면 클라우드 서비스로 전환은 예상보다 더뎌질 수 있다. 기존 보안은 클라우드 컴퓨팅의 핵심 기술 중 하나인 가상화 기술의 구조적 특징을 인식하지 못한다. 가상화 기술의 경우 단일 물리적 컴퓨터에 다수의 논리 서버를 동작시키는 하이퍼바이져 계층을 둬 기존 보안기술로는 논리 서버 간 악성코드 전파나 해킹 모니터링 등이 불가능하므로 전용의 보안기술 개발이 필요하다.
클라우드의 보안성 강화를 위해서는 정부의 정책 지원 또한 병행되어야 한다. 미국은 FedRAMP 제도를 통해 정부기관에 도입되는 클라우드 컴퓨팅 서비스의 안전성을 공개적으로 평가하고 있다. 일본은 클라우드 서비스의 정보공개 인증제도 운영으로 사용자들이 안전한 클라우드 컴퓨팅 서비스를 선택할 수 있도록 지원한다. 국내에서도 클라우드 서비스 안전성 기준을 제시해 줄 필요가 있다.
IT산업 미래를 예측하는 단어 중 하나가 `초 연결(High Connectivity)`이다. 소유를 통한 문제해결 시대에서 서비스로 연결을 통한 문제 해결 시대가 오고 있다. 변화 기반에서 핵심 인프라중 하나가 바로 클라우드 서비스다. 인프라는 천재지변과 같이 예상할 수 없는 상황을 제외하고는 언제나 안정적으로 안전하게 운영되어야 한다. 그러므로 클라우드 서비스가 진정한 의미에서 미래 IT환경으로 자리 잡을 수 있도록 지속적으로 다양한 보안 대책을 마련해야 한다.