"클라우드 보안, 한번 뚫리면 대형사고"


KISA, 클라우드 보안에 10억 투자…연내 보안 취약점 분석결과 공유

[김수연기자] "APT 공격 타깃이 클라우드 서버로 옮겨갈 것, 한 번 사고나면 대형사고"

한국인터넷진흥원(KISA) 인터넷침해대응센터 정현철 연구개발팀장은 클라우드 환경에서의 보안위협이 대형참사로 이어질 수 있음을 경고했다.

정 팀장은 29일 라마다서울호텔에서 열린 '더 클라우드 2011' 그랜드 콘퍼런스에서 이같이 말하고 KISA가 10억 예산을 투입해 클라우드 환경에 맞는 보안 대책을 마련하는 데에 집중하고 있다고 밝혔다.

이날 정 팀장은 "많은 정보들이 클라우드 서버에 모여 있기 때문에 클라우드 서버가 공격 타깃이 될 수 있다"며 "강도가 가정집을 터는 것보다 은행을 털면 더 많은 돈을 빼낼 수 있는 것과 같은 원리"라고 말했다.

클라우드 환경에서는 이용자의 모든 자원이 서비스 제공자가 관리하는 클라우드 서버에 집중되기 때문에 해커들의 주요 타깃이 되기 쉬우며 이 때문에 클라우드 환경에 맞는 보안 기능을 개발, 적용할 수 있어야 한다는 지적이다.

정 팀장은 "농협, 네이트온 해킹 등 최근 일어났던 대형 사고를 돌이켜보면 대상을 타깃팅 해 지속적으로 공격, 내부 정보를 탈취하는 APT 공격 형태를 띠고 있다"며 "APT 공격 타깃은 정보가 모여있는 곳인데 앞으로 클라우드가 활성화 되면 클라우드 서비스를 하는 곳으로 타깃이 옮겨갈 것"이라고 전망했다.

정 팀장에 따르면 이러한 상황에서 필요한 것은 하이퍼바이저(물리적 서버 위에 존재하는 가상의 레이어), 가상화 등 클라우드 특성으로 인한 위협들에 대한 철저한 대비다.

그는 "하이퍼바이저와 호스트 OS(하이퍼바이저 상의 다른 가상머신과 상호 동작하는 특수한 가상머신)에 대한 보안이 강화돼야 한다"며 "이 가상화 기술이 해킹을 당하게 되면 그 위의 게스트 OS들이 쉽게 해킹 당하기 때문"이라고 밝혔다.

이를 위해 한국인터넷진흥원에서는 10억원의 예산을 확보해 클라우드 보안과 관련된 연구개발 및 사업을 진행하고 있다.

확보된 예산은 클라우드 보안 기술에 관련된 연구개발 사업에 집중 투자되고 있다. 모바일 통합인증 및 권한관리 기술 개발, 클라우드 서비스 테스트베드 구축 통한 보안 취약성 시험 분석, 클라우드 서비스 침해사고 모니터링 및 신속 대응체계 구축을 위한 연구개발이 진행되고 있다.

정 팀장은 "클라우드 플랫폼에 대한 테스트베드를 구축해 클라우드의 보안 취약점 등을 분석, 이를 사업자들과 공유할 것"이라며 "첫 결과물은 연말께 나올 수 있을 것"이라고 전했다.

한편 KISA는 클라우드 서비스 제공자 및 이용자에 대한 '클라우드 보안 안내서' 제작·배포 및 영세 클라우드 서비스 제공자에 대한 보안 컨설팅 제공 사업도 함께 진행하겠다는 계획이다.

이번 콘퍼런스는 방송통신위가 주최하는 ‘더 클라우드 위크2011’의 일환으로 마련됐으며 한국마이크로소프트, 인텔코리아 등이 참여해 클라우드 환경에서의 보안 전략에 대해 소개했다.

김수연기자 newsyouth@inews24.com







포토뉴스