클라우드 공급자 모두가 동일한 수준의 보안을 제공할까요?

클라우드 컴퓨팅에는 고유한 보안 문제와 당면 과제가 여러 가지 있습니다. 클라우드 서비스 공급자가 클라우드 자체의 보안을 담당하고, 고객이 보안 위협으로부터 데이터를 보호하고 접근 권한을 관리하는 방식으로 클라우드 보안 위험에 대한 책임을 분담해야 한다는 것이 클라우드 서비스 공급자의 입장입니다. 사실 대부분의 클라우드 컴퓨팅 보안 위험은 데이터 보안과 관련이 있으며 고객이 클라우드에 저장하는 데이터가 문제가 되는 경우가 많습니다.

공용 클라우드는 기본적으로 클라우드 컴퓨팅 능력 또는 스토리지를 대여하는 것이며 사용자는 많은 “대여자” 중 하나에 불과합니다. 공용 클라우드의 경우 모든 하드웨어, 소프트웨어, 인프라는 공급자의 소유이며 스토리지, 하드웨어, 네트워크 장치는 다른 사용자와 공유합니다. 공용 클라우드의 장점은 비용, 확장성, 신뢰성과 함께 번거롭고 비용이 많이 드는 유지 보수가 필요 없다는 데 있습니다.

전용 클라우드는 하나의 사업체 또는 정부 기관 전용으로 사용합니다. 서비스와 인프라의 유지 보수는 전용 네트워크상에서 전용 하드웨어와 소프트웨어를 통해 이루어집니다. 전용 클라우드는 더 우수한 유연성, 수준 높은 보안, 높은 확장성을 제공합니다.

하이브리드 클라우드는 둘 이상의 공용 또는 전용 클라우드가 상호 연결된 형태입니다. 하이브리드 클라우드의 경우 큰 용량과 낮은 보안 수준의 요구 사항에는 공용 클라우드를 사용하고, 민감하거나 비즈니스에 결정적인 역할을 하는 작업에는 전용 클라우드를 사용합니다. 하이브리드 클라우드는 극대화된 제어, 유연성, 필요한 경우에만 추가 컴퓨팅 능력에 대해 지불하는 비용 효율성을 제공합니다.

회사들은 자신이 관리하지 않는 클라우드 인프라에 정보를 전송하는데, 데이터가 전송되는 동안 공격에 취약하게 됩니다. 사용자가 많은 공용 클라우드에서는 장치를 통해 이러한 데이터에 액세스할 수 있습니다. 리서치 회사 ESG에서 평가한 바에 따르면, 조직의 40%가 해당 비즈니스 파트너가 민감한 클라우드 기반 데이터에 액세스할 수 있도록 허용하고 있음에도 불구하고, 80% 이상이 클라우드 데이터보다 사내 데이터 보안을 우선시하는 것으로 나타났습니다.

클라우드 서비스 공급자가 제공하는 우수한 서비스는 다음과 같습니다.

• 공격에 대한 모니터링과 추적 기능을 강화하고 서명과 실시간 방화벽 업데이트를 제공하며 안전하지 않은 트래픽을 차단합니다.
• 지원과 암호화를 통해 연중무휴 24시간 실시간 추적과 웹 사이트 보안을 제공합니다.
• 웹 사이트 속도 성능을 향상합니다.

하지만, 모든 클라우드 서비스의 사용에는 데이터 보안에 관한 어려움과 위험이 따릅니다. 활용할 수 있는 다양한 클라우드 보안 기술은 다음과 같습니다.

• 클라우드에 저장할 수 있는 데이터 종류를 관리하고, 클라우드에서 발견한 민감한 데이터를 격리 또는 제거하며, 사용자가 실수로 정책 중 하나를 위반하는 경우 이에 대해 지시하는 정책을 지정합니다.
• 클라우드 서비스 내에서 사용 가능한 암호화를 통해 외부인으로부터 데이터를 보호하며, 클라우드 서비스 공급자에게는 암호화 키에 대한 액세스 권한을 제공합니다. 고유한 키를 통해 데이터를 암호화하면 액세스를 완전히 제어할 수 있습니다.
• 데이터 공유 방식을 제한합니다. 예를 들어, 공유 링크를 통해 외부에 공유하는 정보를 제어합니다.
• 클라우드 서비스는 인터넷이 연결된 곳이면 어디에서나 액세스할 수 있지만, 휴대 전화와 같이 통제가 불가능한 장치에서 액세스하는 경우 문제가 됩니다. 장치 보안 인증을 통해 제어가 불가능한 장치로의 다운로드를 방지할 수 있습니다.
• OS와 가상 네트워크에 멀웨어 방지 기술을 적용하여 인프라를 보호합니다.
• 타사 툴을 사용하여 추가적인 보안을 적용할 수 있습니다. 추가적인 암호화를 사용하면 클라우드 공급자가 해킹을 당하는 경우에도 데이터를 안전하게 보호할 수 있습니다.

보안 기술을 적용하는 것 외에도 제품을 추가하여 보안을 강화할 수 있습니다. 예를 들어, MikroElectronika MIKROE-2829 - Secure 4 click 기판에는 Microchip의 ATECC608A CryptoAuthentication 기술이 적용되어 있습니다. 이 기판은 EEPROM 어레이를 통해 최대 16키, 인증서, 사용량 기록, 보안 구성, 다른 유형의 보안 데이터를 저장합니다. click 기판에 적용된 ATECC608A는 네트워크/IoT 노드 엔드포인트 보안, 보안 부팅, 용량이 작은 메시지 암호화, 소프트웨어 다운로드를 위한 키 생성, 에코시스템 제어, 위조 방지 등 다양한 보안 응용 분야에서 사용할 수 있는 유연한 명령어 세트를 갖춘 I²C 인터페이스를 지원합니다.

그림 1: 경쟁사보다 10배 ~ 1000배 속도의 계산 기능을 제공하는 MIKROE-2829 Secure 4 click 기판 (이미지 출처: MikroElectronika)

ATECC608A 하드웨어를 사용하면 이러한 비대칭 암호 기능 작동 속도가 향상되어 소프트웨어를 표준 마이크로 프로세서에서 실행하는 경우에 비해 10배 ~ 1000배 더 빠른 속도로 계산을 수행할 수 있습니다. 이를 통해 표준 마이크로 프로세서에서 발생할 수 있는 키 노출 위험을 방지할 수 있습니다. 특히, 절전 모드에서 장치의 전류 소모율이 매우 낮습니다.

두 번째 기판인 Microchip PIC-IoT WG는 ATECC608A CryptoAuthentication 보안 소자 IC인 강력한 PIC24FJ128GA705 MCU와 완전한 인증을 받은 ATWINC1510 Wi-Fi 네트워크 컨트롤러를 결합하여 내장 애플리케이션을 Google Cloud IoT Core에 간편하고 효과적으로 연결할 수 있습니다.

그림 2: Microchip PIC-I0T 개발 기판은 내장 애플리케이션을 Google Cloud IoT Core에 손쉽게 연결할 방법을 제공합니다.

MCU에 사전 로드된 펌웨어는 신속한 연결을 지원하고 온보드 온도 및 광센서를 통해 데이터를 Google Cloud Platform으로 전송합니다. MPLAB Code Configurator(MCC)의 무료 소프트웨어 라이브러리를 통해 코드를 손쉽게 생성할 수 있습니다.

간단히 말해, 클라우드 서비스 공급자의 유형은 다양합니다. Google Cloud와 같이 AI 기능을 추가하여 보안을 강화하는 공급자도 있습니다. 모든 공급자가 인프라 보안을 제공합니다. 하지만, 취약성은 대개 데이터를 관리하는 주체를 지정하는 사용자에게 달려 있습니다. 클라우드 컴퓨팅에는 사용자가 해결해야 하는 보안 문제가 있습니다.