IT분야에서 모두가 클라우드를 이야기하고, 업계에서 중요한 화두로 부각된지도 꽤 오랜 시간이 흘렀습니다. 그런데도, 클라우드가 무엇인지 물어보면, 명확하게 그 내용을 설명하고 있지 못하고 여러 전문가의 시각에 따라 다양하게 정의하고 있습니다. 이번 글에서는 ‘클라우드’에 대한 정의와 기반 기술, 클라우드 서비스 모델 및 서비스 유형, 클라우드 보안 위협, 클라우드 서비스 제공자 및 이용자의 정보보호 고려사항에 대해서 이야기하고자 합니다.
클라우드 컴퓨팅은 1965년 존 메카시(John McCarthy, 1927~2011)가 "컴퓨팅 환경은 공공시설을 쓰는 것과도 같을 것"이라는 개념을 제시하면서부터 유래하였으며, 현대적 의미의 ‘클라우드 컴퓨팅’이라는 용어는 2006년 구글의 직원인 ‘크리스토프 비시글리아(Christophe Bisciglia)’가 유휴 컴퓨팅 자원에 대한 활용 제안에서 처음 사용했습니다. 이어서, 2006년 인터넷쇼핑몰 서비스인 아마존닷컴이 AWS(Amazon Web Service)라는 자회사를 세우고 클라우드 컴퓨팅 서비스를 시작했습니다.
물론, 그 이전에도 컴퓨팅 리소스를 구매하거나 소유하지 않고, 필요할 때마다 사용하는 방식인 유틸리티(Utility) 컴퓨팅이나 높은 컴퓨팅 리소스를 필요로 하는 작업 수행을 위한 방식이 있었습니다.
분산된 다양한 시스템과 자원을 공유하여 가상의 슈퍼컴과 같이 활용하는 방식인 GRID 컴퓨팅과 기업용 응용서비스를 호스팅 서버에 설치•운영하면서 이용료를 받는 서비스인 ASP(Application Service Provider) 서비스가 이미 있었으나, 이제는 이 모든 개념이 클라우드 컴퓨팅이라는 용어로 혼합되어 진화, 발전하고 있습니다. 여러 전문가, 문헌, 기관에서는 클라우드를 아래와 같이 정의하고 있습니다.
위와 같이 다양한 클라우드 컴퓨팅 정의에 대한 공통적인 개념을 요약하자면, 가상화를 통한 IT 인프라의 자동화 시스템으로 사용자가 네트워크를 통해 빠르고, 다양하며, 유연한 확장성을 가진 IT 자원들을 쓰고 싶은 만큼 쓰고, 사용한 만큼 지불하는 것이라고 정의할 수 있습니다.
클라우드 컴퓨팅 인프라를 구성하고 클라우드 서비스를 제공하기 위한 필수적인 기술에는 하이퍼바이저(hypervisor)로 알려져 있는 서버 가상화 기술, 가상 라우터(Virtual Router)를 기반으로 한 네트워크 가상화 기술, 스토리지 클라우드를 위한 분산 스토리지 및 파일 동기화 기술, 클라우드 운영 관리를 담당하는 기술 및 사용자 권한 관리, 셀프 서비스 포탈 등이 포함됩니다. 기반 기술은 아래와 같습니다.
① 서버 가상화 – Hypervisor
서버 가상화는 독립적인 CPU, 메모리, 네트워크 및 운영 체제를 갖는 여러 대의 가상 머신(Virtual Machine)들이 물리적인 서버의 자원을 분할해서 사용하는 기술로 물리적 하드웨어 상에서 가상 머신에 대한 운영을 담당하는 플랫폼을 하이퍼바이저(Hypervisor)라고 통칭하며 VMM (Virtual Machine Monitor)라고도 부릅니다. 서버 가상화 기술은 1960년대부터 메인프레임의 논리적 파티션(Logical Partition)이라는 형태로 적용되기 시작하여 Unix 상에서도 널리 활용된 기술입니다.
② 네트워크 가상화 – 가상 라우터(Virtual Router)
클라우드 환경에서는 다양한 사용자가 원하는 때에 원하는 IT 자원을 받게 되는데, 이때 각 사용자별로 네트워크를 격리하고, 격리된 네트워크가 인터넷과 통신을 하도록 하는 가상 라우터가 가장 중요한 역할을 하게 됩니다.
예를 들어, 클라우드 상에서 A라는 사용자가 자신이 사용할 가상 머신을 생성하게 되면 이에 대해서는 사설 IP가 VLAN으로 자동으로 할당되며, 이렇게 할당된 사설 IP 대역의 A 사용자 VM은 자신에게 할당된 가상 라우터인 Gateway VM A를 통해서 인터넷과 통신을 수행하게 됩니다. 마찬가지로 B 사용자는 자신의 VM 간에만 격리(isolatiton)된 VLAN으로 통신을 주고 받으며 Gateway VM B를 통해서 인터넷과 연결됩니다.
이때 물리적인 네트워크 인터페이스는 공유하더라도 각 사용자 간의 VM은 서로 다른 사용자의 VM과 통신이 격리되어 서로 통신이 차단되며, 가상 라우터는 격리된 사용자 별 VLAN 대역 내에서 내부 VM의 IP에 대한 할당을 수행하는 DHCP 서버, 외부 통신을 위한 NAT, VLAN에 속한 VM의 DNS 서비스 및 필요시에 로드밸런싱 기능까지를 수행하게 되고, 격리된 VLAN은 가상 스위치(Virtual Switch)를 통해 연결됩니다. 이와 같은 네트워크 격리 및 가상 라우터 지원을 포괄하는 기능을 네트워크 가상화라고 합니다.
③ 분산 스토리지 및 파일 동기화
클라우드 디스크(또는 스토리지 클라우드) 서비스에서는 사용자별로 일정량의 저장 공간을 인터넷상에서 제공하고 있습니다. 이러한 서비스에서는 사용자의 수가 증가함에 따라 스토리지 용량도 지속적으로 증가하게 되는데, 단일한 스토리지로는 지속해서 증가하는 대용량 저장 공간을 제공하는 것이 불가능하게 됩니다. 따라서 단일 스토리지를 네트워크로 연결하여 대용량의 저장 공간을 제공하는 분산 스토리지가 필요하게 됩니다.
분산 스토리지에서는 단일한 스토리지 서버를 선형적으로 연결하여 용량이 늘어나는 형태(Scale-out)로 구성되며, 분산 스토리지를 통해 클라우드에서는 파일 서버를 네트워크를 통해서 연결하고 이를 논리적으로 하나의 스토리지처럼 사용하게 됩니다.
스토리지 클라우드에서는 대용량의 분산 스토리지에 데이터를 저장하고 다양한 디바이스(모바일, 컴퓨터, 태블릿 등)에서 이를 다운로드하고 사용하기 위하여 파일 동기화 기술도 필수적으로 요구됩니다.
서버 가상화 기술, 네트워크 가상화 기술 및 분산 스토리지 기술이 클라우드 구성 아키텍처 상에서 가상화 Layer의 기본이 되는 기술이라고 한다면 Stack은 프로비저닝 및 클라우드 서비스 관리 Layer를 포괄하는 기술로, 주요 기능은 가상 서버의 생성 및 관리, 가상 네트워크 관리, 사용자 및 그룹 관리, 클라우드 운영 관리 및 미터링을 포함한 클라우드 통합 모니터링을 포괄하는 기술이라고 할 수 있습니다.
일반적으로 Stack에는 사용자와 관리자를 위한 셀프 서비스 포털이 포함되는데, 셀프 서비스 포털에서는 사용자가 직접 가상 자원 생성과 네트워크 할당을 직접 수행하고 관리자는 클라우드 전체에 대한 운영 관리 및 모니터링을 수행합니다.
셀프서비스 포탈 및 계정 관리와 더불어 클라우드에서 가장 중요한 기술 중의 하나가 권한 관리로, 클라우드에서는 관리자에서부터 클라우드를 사용하는 일반 사용자에 이르기까지 각 구성원 및 그룹의 권한을 세분화하고 권한에 따라서 클라우드에서 수행할 수 있는 역할을 명확하게 구분할 수 있어야만 합니다.
다양한 클라우드 컴퓨팅 정의에 대한 공통적인 개념을 요약하자면, 가상화를 통한 IT 인프라의 자동화 시스템으로 사용자가 네트워크를 통해 빠르고, 다양하며, 유연한 확장성을 가진 IT 자원들을 쓰고 싶은 만큼 쓰고, 사용한 만큼 지불하는 것이라고 정의할 수 있습니다.
l IaaS, PaaS 그리고 SaaS
(출처: http://www.silverlighthack.com/post/2011/02/27/IaaS-PaaS-and-SaaS-Terms-Explained-and-Defined.aspx)
클라우드 서비스 제공 대상에 따라서 공용(Public) 클라우드, 사설(Private) 클라우드 및 하이브리드 클라우드로 분류할 수 있습니다.
l Cloud Compution Types
(출처: https://upload.wikimedia.org/wikipedia/commons/8/87/Cloud_computing_types.svg)
서비스 유형별 특징은 아래와 같습니다.
① 공용 클라우드(Public Cloud)
불특정 다수의 개인이나 기업을 대상으로 제공되는 클라우드를 뜻합니다. 일반적으로 회원 가입을 한 후 클라우드에서 제공하는 서비스(IaaS, PaaS, SaaS)를 사용한 후 사용량에 따라서 비용을 지불하는 클라우드로 Amazon, 통신사 및 포털이 제공하는 클라우드 서비스가 여기에 속합니다.
② 사설 클라우드(Private Cloud)
공용 클라우드와 사설 클라우드가 혼용된 서비스로 사설 클라우드를 구축하여 사용 중인 특정 기업이 클라우드 서비스 중의 일부분(예를 들면 백업 저장 장치나 대외 홍보용 웹서버 등)은 공용 클라우드 업체에서 서비스를 받으면서 자신들의 사설 클라우드와 연동하여 사용하는 방식을 하이브리드 클라우드라고 합니다.
또한, 사설 클라우드를 구축한 IT 서비스 업체가 동일한 클라우드 인프라 상에서 내부 서비스와 외부 서비스를 동시에 수행하는 것도 하이브리드 클라우드의 일종으로 볼 수 있습니다. 그리고 공용 클라우드 서비스 업체에서 특정 인프라 부분을 폐쇄형으로 분리하여 특정 사용자의 내부용으로만 제공하는 것도 하이브리드 클라우드 서비스의 한 형태입니다.
Top Threats to Cloud Computing V1.0
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
l 이미지를 클릭하시면 확대해서 확인하실 수 있습니다.
l 클라우드 서비스 정보보호 안내서(출처: 2011.10, KISA 안내•해설 제2011-8호)
클라우드 서비스를 도입•이용하고자 하는 기업 이용자는 클라우드 서비스 특성 및 위협 등에 대한 이해를 바탕으로 서비스 선택 및 이용에서 요구되는 정보보호 고려사항은 다음과 같습니다.
l 클라우드 서비스 정보보호 안내서(출처: 2011.10, KISA 안내•해설 제2011-8호)
또한, 클라우드 서비스를 이용하고자 하는 개인 이용자는 클라우드 서비스 이용 흐름에 따라 서비스 선택, 안전한 이용을 위하여 요구되는 정보보호 고려사항은 다음과 같습니다.
l 클라우드 서비스 정보보호 안내서(출처: 2011.10, KISA 안내•해설 제2011-8호)
지금까지 클라우드 컴퓨팅의 정의와 유형을 소개하고, 클라우드 컴퓨팅에서의 보안위협 및 위험 방지 대책과 클라우드 서비스 제공자 및 이용자의 정보보호 고려사항에 대해 설명 드렸습니다.
클라우드 컴퓨팅은 저비용으로 고성능의 정보처리 기능을 활용할 수 있으며, 시스템 구축•개발 기간을 단축하고 유연하게 확장할 수 있는 등 많은 장점이 있습니다. 하지만 이번 글을 통해 동시에 보안 위협도 존재함을 인식하고 클라우드 구축 및 이용 시 앞서 말씀드린 고려 사항도 함께 생각할 수 있는 시간이 되었으면 합니다.
글 l LG CNS 보안컨설팅팀
* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
'IT Solutions > Security' 카테고리의 다른 글
클라우드 컴퓨팅 보안을 위한 정보보호 고려사항 (0) | 09:30:00 |
---|---|
보안 담당자가 갖춰야 할 Skill set (0) | 2017.06.05 |
문서 중앙화와 보안고려사항 (0) | 2017.05.24 |
함께 준비하는 보안사고 대응 체계 ‘정보보호 거버넌스’ (0) | 2017.04.25 |
[시큐어 코딩] 해킹 당했다. 어디서부터 잘못된 거지? (0) | 2017.04.12 |
최신 보안위협에 대한 대응 방안은? (0) | 2017.03.27 |