클라우드에 데이터를 안전하게 저장하기

클라우드 데이터 스토리지는 지속적인 관심을 끌고 있습니다. 기업은 여러 환경에서 리소스를 빠르게 프로비저닝할 수 있는 비용 효율적이고, 가용성, 확장성, 내구성이 뛰어난 플랫폼을 제공하는 클라우드 스토리지를 선택하고 있습니다. 세 가지 클라우드 옵션(퍼블릭, 프라이빗, 하이브리드)은 각각 고유한 이점과 보안상 장단점이 있습니다.

대규모 타사 클라우드 제공업체에서는 보안에 주력하기 위해 대역폭이 필요하지만 모든 제공업체가 다 그런 것은 아닙니다. 클라우드의 유형에 상관없이 내부자 위협, 하이재킹된 계정, 분산 서비스 공격(DDoS), 유일한 방어 수단으로 사용되는 암호, 항상 존재하는 맬웨어 등 보안 취약성이 광범위하게 존재합니다. 클라우드는 단순하므로 다양한 악의적 공격에 취약할 수 있습니다. 모니터링, 인증, 등록 공정 및 네트워크 트래픽 평가 방법은 대부분의 사이버 위반을 제거하는 데 필요한 보안 감지 수준을 강화합니다.

헤드라인 vs. 안전한 데이터 스토리지

클라우드에는 보안 위험이 있습니다. 현재까지 Microsoft, Dropbox, National Electoral Institute of Mexico, LinkedIn, Home Depot, Apple iCloud, Yahoo에서 모두 최악의 클라우드 보안 위협이 발생한 적이 있습니다. 2019년 한 해 동안 데이터에 대한 무단 액세스, 직원, 기술, 벤더에서 사용하는 공정 등이 취약성이 발견되었습니다. 사용 가능성을 유지하고 다운타임 위험을 최소화하는 것은 클라우드 제공업체의 책임입니다. 하지만 일반적으로 이에 대한 책임과 탓은 클라우드 사용과 관련된 모든 당사자에게 돌아갑니다.

보안을 강화하는 방법은 다양할 수 있습니다. 클라우드 제공업체에서 일정 수준의 보안을 제공하지만 추가적인 조치를 통해 보완해야 합니다. 기업 보호를 강화하기 위해 보안 솔루션 회사를 고용할 수도 있습니다. 잘못된 정보를 서버에 표시하지 않고 데이터 이상 현상을 정확히 파악할 수 있도록 데이터의 정확성을 확보합니다. 클라우드 정보를 통합하고 결합합니다. 보호 수준이 얼마나 강력한지에 대해 지속적이고 업그레이드된 분석적인 노력을 수행하고 필요한 경우 변경합니다.

대규모 통합을 촉진할 수 있는 기회를 모색합니다. 이용 중인 클라우드에 대한 통합 뷰를 제공하는 단일 콘솔에서 작업할 수 있다면 엔드 투 엔드 보호를 제공하는 큰 행운을 얻게 될 것입니다. 이러한 다양한 환경을 결합하려면 우수한 제3자 보안 도구가 필요합니다. '싼 게 비지떡'이라는 격언을 기억하세요. 가장 저렴한 옵션이라는 이유로 솔루션을 선택한다면 최적의 결과를 얻지 못한다고 하더라도 놀랄 일이 아닙니다.

사용 가능한 개발 옵션의 과잉

데이터 스토리지를 안전하게 유지하는 새롭고 더 강력한 방법이 있습니다. 예를 들면 다음과 같습니다.

Microchip의 PIC-IoT WG 개발 기판은 16비트 PIC 응용 제품을 Google Cloud에 연결합니다. 그림 1과 같이 이 기판은 PIC 마이크로 컨트롤러(MCU), 보안 소자 IC 및 인증된 Wi-Fi 네트워크 컨트롤러로 구성됩니다. 이 솔루션은 대규모 소프트웨어 프레임워크 및 실시간 운영 체제(RTOS)의 고유한 보안 취약성을 제거합니다.

그림 1: Microchip의 PIC-IoT WG 개발 기판을 사용하면 설계자가 차세대 IoT 제품에 클라우드 연결을 안전하게 추가할 수 있습니다. (이미지 출처: Microchip Technology)

PIC-IoT WG 기판은 온라인 포털을 통해 연결됩니다. www.PIC-IoT.com에서 간단한 연결 지침을 확인할 수 있습니다. 이 개발 기판을 사용하면 설계자가 온라인 포털을 통해 차세대 제품에 클라우드 연결을 추가할 수 있습니다. 이 온라인 포털에서 개발자는 회사에서 널리 사용되는 MPLAB Code Configurator(MCC)를 사용하여 응용 제품을 개발하고, 디버깅 및 맞춤 설정합니다. 이 기판을 통해 eXtreme Low-Power(XLP) PIC MCU를 통합된 코어 독립형 주변 장치 및 보안 소자와 연결하여 하드웨어의 RoT를 보호할 수 있습니다. PIC-IoT WG 개발 기판은 MPLAB X 통합 개발 환경(IDE) 및 MCC 고속 시제품 제작 도구에서 지원됩니다.

이 에지-클라우드 환경에서는 보안 인증을 제공하는 것이 중요합니다. Google Cloud Platform의 Google Cloud IoT Core 또는 AWS IoT와 결합된 Microchip ATECC608A CryptoAuthentication 장치 하드웨어 기반 RoT는 필요한 보안 인증을 제공합니다(그림 2). 이러한 보안은 최대 16개 키에 대한 보안 하드웨어 기반 키 스토리지를 사용하는 암호 코프로세서 덕분에 구현되었습니다. CryptoAuthoLib 라이브러리를 사용하면 MCU를 자유롭게 선택할 수 있습니다.

그림 2: Microchip의 ATECC608A 보안 암호화 장치는 Google Cloud 및 AWS IoT 플랫폼에 대한 보안 인증을 제공합니다. (이미지 출처: Microchip Technology)

장치 인증서는 안전한 Microchip 공장에서 ATECC608A의 HSM(Hardware Secure Module)을 사용하여 프로비저닝됩니다. 보안 소자는 장치 인증서와 난수 생성기(RNG)를 통해 공장에서 장치 내에 개인 키를 생성하여 개인 키가 사용자, 제조 공정 또는 소프트웨어에 노출되지 않도록 합니다.

연결성이 우수한 STMicroelectronics의 STM32L4 IoT Discovery 키트를 사용하면 IoT 장치 개발자가 시스템을 클라우드 서비스 제공업체에 빠르게 연결할 수 있습니다. 설계자는 ST의 X-CUBE-AWS 확장 소프트웨어를 활용하여 Amazon 웹 서비스(AWS) IoT 플랫폼에 빠르게 연결하고 장치 모니터링/제어, 데이터 분석, 머신 러닝과 같은 클라우드의 도구 및 서비스에 액세스할 수 있습니다.

그림 3: STMicroelectronics의 STM32L4 IoT Discovery 키트는 개발자에게 시스템의 클라우드 서비스에 연결하는 상대적으로 손쉬운 경로를 제공합니다. (이미지 출처: STMicroelectronics)

위험

Cisco 사이버 보안 보고서에 따르면 조직의 31%가 사이버 공격을 받은 적이 있다고 하며, IBM은 보안 위험의 37%가 응용 제품에 있다고 예측합니다. 클라우드 서비스 제공업체를 이용할 경우 많은 사용자가 동일한 응용 제품 사용자 인터페이스를 사용하므로, 인증부터 암호화까지 충분히 안전할 수도 있고 그렇지 않을 수도 있습니다. 데이터가 단순히 이동되지 않고 변경되거나 삭제될 수도 있습니다. 제공업체에서 제공하는 보안이 강력한지 확인하십시오. 인증과 암호화를 사용하고, 클라우드 제공업체에서 제공 중인 보안이 무엇이고, 현재까지 얼마나 효율적이었는지 정확히 파악하십시오.

요약

놀랍게도, 조직의 전체 퍼블릭 클라우드 환경에 대한 가시성과 위험 감지 기능을 제공하는 벤더인 RedLock에 따르면 데이터베이스의 49%가 암호화되지 않고 평균 51%의 조직이 하나 이상의 클라우드 스토리지 서비스에 공개적으로 노출되어 있다고 합니다. Gartner는 2022년까지 클라우드 보안 실패의 95% 이상이 고객의 잘못에서 기인할 것으로 예측합니다. 또한 Forrester는 보안 위반의 80%가 특권 자격 증명과 관련이 있다고 주장합니다. 분명히 다양한 곳에 책임이 공존할 수 있습니다. 즉, 클라우드 서비스 제공업체와 클라우드 서비스 사용자 모두 주요 원인이 될 수 있습니다.

물론 데이터를 암호화하고 다단계 인증을 구현해야 합니다. 하지만 데이터를 안전하게 유지하려면 조직 전반에서 액세스를 제한하고, 기존 보안을 테스트하며, 보안 교육을 제공해야 합니다. 범죄 행동의 기회를 최소화하는 강력한 클라우드 보안 솔루션을 구현하고 클라우드 서비스 제공업체의 노력을 보완하는 기업 사례 및 정책에도 동일하게 초점을 맞추어야 합니다. 또한 지속적인 노력으로 보안 조치를 신속하게 개선해야 합니다.

모든 데이터 스토리지 환경과 마찬가지로 클라우드에도 고유한 위험이 존재하지만 이를 완화할 수 있는 방법 또한 있습니다. 경제적이고 비용 절감 혜택이 있는 퍼블릭 클라우드부터 데이터가 위험과 분리되는 하이브리드 클라우드까지, 기업은 보호 대상의 가치에 따라 결정을 내리고 높은 수준의 보안을 제공할 수 있는 기술을 구현해야 합니다.