NHN 클라우드 / 이선주 수석

 

 

클라우드 환경의 변화

 

코로나 이후 IT 환경의 변화

클라우드 컴퓨팅 서비스는 해외에서는 많이 활성화된 서비스로서 우리나라도 코로나 상황을 겪으면서 IT산업에도 많은 변화가 있었다. 특히, 우리 일상생활과 밀접하게 연관되어 있는 많은 산업분야에서 ICT 기반의 비대면 서비스가 급증함에 따라 클라우드 서비스에 대한 필요성과 함께 인식이 빠르게 바뀌고 있다. 클라우드 환경에서 서비스를 제공하는 소프트웨어 서비스(SaaS, Software as a Service)의 경우 다양한 산업분야에 걸쳐 많은 소프트웨어 기업들이 성장할 수 있는 기회가 제공되고 있다.

국내 클라우드 사업자 또한 마켓 플레이스를 통해 다양한 SaaS 서비스를 제공하기 위해 노력하고 있으며, 소프트웨어 기업의 경우 민간기업이 SaaS를 이용하는 경우 보안인증과 상관없이 서비스를 제공할 수 있는 반면 공공기관은 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’에 따라 클라우드 보안인증을 통과가 제품에 대해서만 제공할 수 있다. 그렇기 때문에 클라우드 서비스 공급자는 SaaS 서비스 제공을 위해서는 별도의 보안인증을 준비해야 하는데, 소프트웨어 기업이 SaaS서비스로 전화하거나 개발하는 과정에서 고려해야 하는 점에 대해 알아보고자 한다.

 

클라우드 환경의 특성

클라우드는 정보화 시대에 데이터를 보관하고 인프라와 IT 기술을 빌려서 사용하는 서비스 모델로 이용자는 사용량만큼 비용을 지불하는 서비스이다.

기존에는 기업의 보유하고 있는 데이터센터에 인프라자원을 설치·구성하여 사용하였지만, 클라우드는 인터넷상의 서버에 데이터를 저장하여 네트워크, 콘텐츠 등 IT 관련 서비스를 한번에 사용할 수 있는 컴퓨팅 환경을 말한다.

그동안 기업은 직접 데이터를 보관, 정리, 분석하거나 인프라를 구축하고 IT 기술을 개발하여 왔으나 빠른 서비스 구축 및 지속적인 관리 등의 이유로 클라우드 서비스를 선호하는 방향으로 바뀌고 있다.

 

클라우드 서비스 모델

클라우드는 크게 서비스 형태에 따라서 IaaS, PaaS, SaaS 세 가지로 분류할 수 있으며, 소프트웨어 기업 입장에서 필요한 소프트웨어를 개발하기 위해서는 서비스 모델에 따라 다양한 기술에 대해 동작원리나 구현기술에 대한 지식이 필요하다.

 

서비스모델	제공 서비스	구현 기술
IaaS	하드웨어(서버, 스토리지, 네트워크 등)	가상화 및 동적 자원할당 기술
PaaS	개발 및 테스트환경 OS 실행 및 관리환경	다중 사용자 지원, 표준 프레임 워크, 데이터베이스 관리 기술
SaaS	응용SW	다중 애플리케이션 관리 기술 웹서비스, API 서비스

<표 1. 클라우드 서비스 모델>

 

클라우드 환경에서의 다양한 보안 위협요소

클라우드 컴퓨팅은 사용자가 프로그램을 PC에 설치할 필요 없이 인터넷 환경만 구축되어 있다면 언제든 원하는 서비스를 이용할 수 있고 데이터가 온라인 상에 있기 때문에 여러 기기와 연동이 잘 된다는 장점이 있다.

반면에 데이터가 저장되어 있는 서버가 공격받으면 개인 정보의 유출이 우려된다는 단점을 안고 있다. 때문에 정보의 유출과 개인정보와 같은 보안 문제는 클라우드 컴퓨팅 서비스를 위협하는 가장 심각한 문제로 제기되고 있기 때문에 많은 기업에서 고민하고 있는 부분이기도 하다.

클라우드 컴퓨팅의 보안은 크게 기술적 보안과 운영적 보안으로 분류할 수 있으며, 기술적인 보안은 클라우드 사업자의 영역이라면 운영적 보안은 SaaS서비스를 제공하는 소프트웨어 제공자 영역이라고 할 수 있다.

이러한 클라우드 컴퓨팅의 보안과 관련하여 CSA(Cloud Service Alliance)에서 발표한 클라우드 컴퓨팅 보안 위협에 대해 충분히 이해하고 이에 대한 준비가 필요하다고 하겠다. CSA에서 발표한 11가지의 클라우드 보안위협 중 상위 6가지의 보안위협은 다음과 같다.

보안위협 요소	위협 원인 및 통제요소
데이터 침해 (Data Breach)	클라우드로 데이터가 집중됨에 따라 개인정보를 포함한 데이터 관리에 있어 가장 큰 클라우드 보안 위협 작동
환경설정 오류 및 불충분한 변경제어 (Misconfiguration and Inadequate Change Control)	클라우드의 동적인 특성으로 인한 과도한 접근권한 부여 및 디폴트 값 미변경 등이 침해와 서비스 정지 등의 원인
불충분한 신원, 자격증명, 접근, 키 관리 (Insufficient Identity, Credential, Access and Key Management)	응용프로그램 및 기기에 대한 인증이 포함된 특권자격에 대한 증명을 이용하여 공격자가 특권 인증정보를 회득공격을 통해 클라우드의 민감정보를 포함한 모든 데이터 접근가능 및 통제권 탈취
계정 탈취 (Access Hijacking)	클라우드의 특권 사용자 계정을 탈취하기 위해, 지속적으로 취약점을 분석하고 피싱 등의 공격하여 계정을 탈취
내부자 위협 (Insider Threats)	악의적인 내부자는 임직원, 퇴사자, 외주인력 등 현재의 시스템에 접근이 가능하며, 자신의 권한을 이용해 조직에 해를 끼는 사용자를 의미

<표 2. CSA 클라우드 컴퓨팅 보안 위협>

 

클라우드 환경에서 SaaS 상품을 제공하고자 하는 기업은 온프레미스 환경에 최적화된 소프트웨어를 클라우드 환경에 맞게 전환하기에 앞서 이러한 보안 위협에 대해 충분히 살펴보고 대비가 필요하다. 그럼, SaaS 애플리케이션의 보안 요구사항에 대해 소프트웨어 제공자와 이용자 관점에서 살펴보고자 한다.

 

SaaS 애플리케이션용 보안 요구사항

SaaS 애플리케이션을 개발하는 것과 엔터프라이즈 애플리케이션을 개발하는 것 사이에 핵심적인 차이점 중 하나는 SaaS 애플리케이션이 멀티테넌트이어야 한다는 점이다.

- 보안 요구사항 범주

• 신원 및 액세스 관리: 적절한 사용자가 승인된 디바이스에서만 SaaS 애플리케이션에 액세스 가능하도록 통제
• 애플리케이션 및 데이터: 데이터에 대한 인터페이스로서 애플리케이션을 등록하고 애플리케이션이 보안 요구 사항을 충족하는지 평가 필요. 특히, 민감정보에 대한 암호화 및 데이터 유실 방지 기술을 통해 데이터를 보호하고 중요 정보의 저장 또는 전송을 탐지 필요
• 로깅 및 모니터링: 사용자 또는 비정상적인 행위에 대한 보안 위반을 탐지하여 이에 대한 대응할 수 있도록 모니터링 필요

- SaaS 보안 아키텍처

• 애플리케이션 및 데이터 보안: 다양한 기술과 도구를 통해 기업 및 이용자 데이터 보호
• 이용자 및 이용관리: 신원 관리, SSO 및 다단계 인증은 적절한 인력이 적절한 SaaS 애플리케이션에 액세스하는지 확인
• 규정 준수 및 관리: 클라우드의 안전한 이용을 위한 이용자 교육, 규정 준수 요구 사항 및 SaaS 배포가 보안 정책과 개인 정보 보호 요구 사항을 충족하는지 점검
• 디바이스 보안: 디바이스 등록 및 보안 컨트롤을 포함하여 디바이스 관리를 위한 보안 프레임워크 수립 필요
• 통합보안 플랫폼: 로깅, 모니터링, 사고 대응 및 고급분석 지원

 

<그림1. SaaS 보안 아키텍처>

 

이러한 SaaS 보안 아키텍처는 소프트웨어 개발하는 기업 입장에서는 다양한 방법으로 활용할 수 있다. 소프트웨어 개발 시에 체크해야 하는 항목에 대해 전체적인 관점에서 살펴볼 수 있으며, 개인 정보 보호 및 법률 준수를 위해서 꼭 필요한 항목이라고 할 수 있다. 클라우드 환경에서 SaaS의 안전한 사용을 위해 솔루션의 무단 사용, 데이터 유실 또는 무단 액세스의 위험을 차단하는 보안적인 측면과 함께 개인 정보 보호 및 기업의 거버넌스, 위험 관리 및 규정에 대한 요구 사항에 대해 지속적으로 점검할 수 있는 체계를 제공하는 측면에서 이점이 있다고 할 수 있다.

 

클라우드 환경에서 안전한 소프트웨어 사용을 위한 보안 인증

정부에서는 클라우드 환경에서 다양한 보안 위협에 대해 표준화된 보안가이드에 맞춰 SaaS 서비스에 대한 보안 인증 모델을 도입하여 시행하고 있다.

클라우드 보안인증제도는 클라우드 서비스 제공자가 제공하는 서비스에 대해 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관에 요청하는 경우 인증기관이 이를 평가 인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도이다.

보안 인증의 종류 중에 SaaS는 표준등급과 간편등급 두 종류가 있으며, 최초평가, 사후평가, 갱신평가로 나누어 인증 유효기간(3년 ~ 4년)에 따라 매년 평가를 실시하기 때문에 SaaS 기업이 보안인증을 위해 지속적인 관리가 필요하며, 이를 위한 전담조직이 필요 할 수 있다.

이는 공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급하고 객관적이고 공정한 클라우드 서비스 보안인증제를 실시하여 이용자의 보안 우려를 해소하고 클라우드 서비스의 경쟁력 확보하는데 있다.

 

클라우드 산업 활성화를 위한 SaaS 전환 지원

정부에서는 우리나라 클라우드 산업 활성화와 함께 국내 소프트웨어 기업이 온프레미스 환경에서 사용하고 있는 서비스를 클라우드의 SaaS 환경으로 전환·개발할 수 있도록 지원하고 있다. 서비스형 SaaS 개발에 애로사항이 있는 기업 입장에서는 정부 지원사업을 활용하면 빠르게 전문 SaaS 서비스 기업으로 전환할 수 있는 좋은 기회라고 할 수 있다.

정부지원 사업은 클라우드 제공·지원 기업과 협력해서 우선 클라우드 보안인증을 획득한 인프라와 플랫폼을 제공하고, 서비스형 소프트웨어 개발기업들의 보안인증 획득, 디지털서비스 이용지원시스템 등록 등 공공 부문의 서비스 제공 요건이 충족될 수 있도록 지원한다.

특히 개발·전환·고도화된 서비스형 소프트웨어가 정보기술 자원의 유연한 할당과 인공지능·데이터 등 신기술 적용이 용이한 민간 클라우드 장점에 최적화될 수 있도록 컨설팅, 기술지원 등도 제공한다.

 

인증종류	IaaS	SaaS
	표준등급	표준등급	간편등급
유효대상	서버, 저장장치, 네트워크 등을 제공하는 서비스	전자결재, 인사 및 회계 관리 보안 서비스 등 중요 데이터를 다루는 SaaS서비스	표준 등급 이상 이외의 SaaS 서비스
통제항목	117개 통제항목	78개 통제항목	30개 통제항목
인증기간	5년	5년	3년
절차 및 소요기간	사전 컨설팅 3일 -> 서면, 현장 평가(5일), 취약점 점검(10일)(동시진행) 10일 -> 모의 침투 테스트 10일 -> 이행점검 5일	사전 컨설팅 3일 -> 서면, 현장 평가(5일), 취약점 점검(7일)(동시진행) 7일 -> 모의 침투 테스트 10일 -> 이행점검 5일	사전 컨설팅 2일 -> 서면, 현장 평가(5일), 취약점 점검(5일)(동시진행) 10일 -> 모의 침투 테스트 5일 -> 이행점검 5일
총 평가 소요 기간(Working Day)	총 28일	총 25일	총 17일

<표 3. 클라우드 보안 인증 종류>

 

최근 정부는 국내 클라우드 사업자와 함께 소프트웨어에 전문역량을 보유한 기업에 대해 SaaS 전환을 위한 클라우드 보안인증(CSAP, Cloud Security Assurance Program) 지원 프로모션을 진행하고 있다. 공공기관에 민간 클라우드 솔루션을 서비스하기 위해서는 안정성 및 신뢰성 검증을 위해 클라우드 보안 인증(CSAP) 획득이 필요하며, 특히 SaaS서비스는 클라우드 보안 인증을 획득한 인프라(IaaS) 환경에서 구축되어야 한다. 그렇기 때문에 클라우드 사업자의 경우 공공시장을 위해 IaaS CSAP 인증을 보유하고 있기 때문에 보안인증에 대한 경험과 노하우를 많이 보유하고 있다. 한정된 조직이나 경험이 부족한 소프트웨어 기업의 경우 CSAP SaaS 전환 사업을 적극 활용하면 손쉽게 보안인증 지원을 받을 수 있을 것이다.

 

---

 

소프트웨어 기업의 SaaS 전환 시 고려사항

소프트웨어 기업이 공공기관의 업무에 대해 SaaS 서비스를 제공하기 위해서는 클라우드 보안 인증(CSAP)이 필요하므로 SaaS 전환 시 고려해야 하는 사항에 대해서 알아보고자 한다.

 

평가·인증 대상

SaaS서비스는 기본적으로 클라우드 서비스 보안인증을 받은 IaaS서비스 환경에서 구축되어야 하며, 다수의 기관을 대상으로 소프트웨어를 제공하여야 한다. 특히, 공공기관의 업무를 위하여 클라우드 서비스를 제공하려는 기업은 필수로 보안인증이 필요하다고 할 수 있다.

또한 클라우드컴퓨팅 기술을 이용하여 정보시스템의 인프라, 응용프로그램, 개발 환경 중 어느 하나 이상을 제공하는 서비스 뿐만 아니라 서비스와 관련한 자산, 조직, 지원서비스 등이 모두 포함되어야 한다. 다만, 단일 기관만을 위해 구축되는 Private 클라우드 환경의 서비스이거나 단순 설치형 SW형태의 SaaS 등은 보안인증을 받을 필요는 없다.

 

클라우드서비스 유형 선정

SaaS 인증의 경우 표준등급과 간편등급으로 구분하여 인증을 받을 수 있으며, 소프트웨어 기업은 서비스를 제공하고자 하는 업무특성에 따라 인증유형을 선택하면 된다. 표준등급 인증이 필요한 경우는 전자결재, 인사, 회계, 보안, PaaS 등 중요 데이터를 다루는 SaaS 서비스가 대상이며, 이외에는 간편등급으로 인증이 필요하다.

 

SaaS 위험에 대한 접근 방식

SaaS 사용을 위한 보안 구현은 데이터 지향적이어야 한다. 즉, SaaS 제품이 접근하는 내부 데이터, 기업 내의 접근 레벨, 데이터가 부주의로 노출되거나 악의적으로 해킹된 경우 잠재적인 보안 및 규제 영향을 살펴봐야 한다. 특히, 사람들이 모든 곳에서 데이터에 접근하고 자신의 기기를 사용하는 경우가 많은, 오늘날의 지리적으로 다양화된 기업의 경우는 더욱 그렇다.

 

SaaS 거버넌스 계획

그동안 기업들은 거의 인프라 보안에만 집중하고 있었는데, SaaS 사용이 증가함에 따라 관련된 위험을 낮추기 위한 보안 조치를 구현하는 SaaS 거버넌스 계획을 고려해야 한다. 이 계획에는 준법감시 프레임워크, 문서화/상당한 주의, 지속적인 모니터링과 위험 감소를 위한 기술적 조치 등을 포함하여 거버넌스 수립이 필요하다.

특히, SaaS 환경에서 클라우드 서비스 제공업체가 모든 책임을 지는 것으로 오해하는 경우가 많아 서비스 제공주체들간 역할과 책임에 대해 명확한 정의가 필요하다.

책임 공유 모델(Shared Responsibility Model, SRM)은 클라우드 사용자의 책임과 클라우드 서비스 공급자(CSP)의 책임을 정의한 것으로서 책임 분할은 이용하는 서비스 모델에 따라 달라질 수 있는데, 소프트웨어 서비스(Software as a service, SaaS) 모델 하에서 사용자는 애플리케이션의 구성 설정 내에서만 변경을 할 수 있고, 그 밖의 모든 제어는 CSP가 담당한다.

서비스를 제공자와 이용자간 명확한 구분은 보안의 회색영역을 최소화하게 되어 위험을 낮추고 문제가 발생하는 경우 빠른 대응과 함께 커다란 위험에 노출되는 것을 막을 수 있을 것이다. 끝

 

---

 

참 고 문 헌

1. Cloud Security Alliance’s Top Threats to Cloud Computing : Egregious Elven
2. Intel SaaS Security Best Practices : Minimizing Risk in the Cloud
3. NHN Cloud CSAP SaaS Guidance – CSAP 보안 인증 심사 지원 프로그램
4. NHN 디지털서비스 이슈리포트(NHN 두레이의 협업 SaaS 도전기)
5. ITWorld-‘SaaS거버넌스 계획이 필요한 이유와 도입 시 고려해야 할 사항’, 2021

 

---

 

저작권 정책

K-ICT 클라우드혁신센터의 저작물인 『클라우드 보안 위협을 대비한 SaaS 전환 시 고려사항』은 K-ICT 클라우드혁신센터에서 NHN클라우드 이선주 수석에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.