<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>



Similar documents
<BCBCBBF3C0BB20B9D9B2D9B4C220C5ACB6F3BFECB5E520C4C4C7BBC6C3C0C720B9CCB7A128BCF6C1A4295F687770>

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

Microsoft Word - 조병호

접근제어 시간은 없고, IT투자 비용이 정해져 있다면, 조금 더 스마트하게 제어하는 방법을 모색해야 한다. 그 중 하나 로 상황별 맞춤 보안 정책(Contextual security) 을 제 안한다. 상황별 맞춤 보안은 민감한 데이터와 그렇지 않은 것을 구분한 후 민감

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

인천광역시의회 의원 상해 등 보상금 지급에 관한 조례 일부개정조례안 의안 번호 179 제안연월일 : 제 안 자 :조례정비특별위원회위원장 제안이유 공무상재해인정기준 (총무처훈령 제153호)이 공무원연금법 시행규칙 (행정자치부령 제89호)으로 흡수 전면 개

종사연구자료-이야기방 hwp

목 차 국회 1 월 중 제 개정 법령 대통령령 7 건 ( 제정 -, 개정 7, 폐지 -) 1. 댐건설 및 주변지역지원 등에 관한 법률 시행령 일부개정 1 2. 지방공무원 수당 등에 관한 규정 일부개정 1 3. 경력단절여성등의 경제활동 촉진법 시행령 일부개정 2 4. 대

슬라이드 1

<3130BAB9BDC428BCF6C1A4292E687770>

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

Tech Trends 클라우드 버스팅의 현주소와 과제 아직 완벽한 클라우드 버스팅을 위해 가야 할 길이 멀지만, 하이브리드 클라우드는 충분한 이점을 가져다 준다. Robert L. Scheier Networkworld 매끄러운 클라우드 버스팅(Cloud Bursting

< C6EDC1FD5FC1A4BAB8B9FDC7D D325FC7D0C8B8BCF6C1A4B9DDBFB5C8AEC0CE2E687770>

06_ÀÌÀçÈÆ¿Ü0926

<3535B9F82DC5ACB6F3BFECB5E5C4C4C7BBC6C35FB9FDC1A6BFACB1B82E687770>

참여연대 이슈리포트 제 호

기사스크랩 (160504).hwp

며 오스본을 중심으로 한 작은 정부, 시장 개혁정책을 밀고 나갔다. 이에 대응 하여 노동당은 보수당과 극명히 반대되는 정강 정책을 내세웠다. 영국의 정치 상황은 새누리당과 더불어 민주당, 국민의당이 서로 경제 민주화 와 무차별적 복지공약을 앞세우며 표를 구걸하기 위한

산림병해충 방제규정 4. 신문 방송의 보도내용 등 제6 조( 조사지역) 제5 조에 따른 발생조사는 다음 각 호의 지역으로 구분하여 조사한다. 1. 특정지역 : 명승지 유적지 관광지 공원 유원지 및 고속국도 일반국도 철로변 등 경관보호구역 2. 주요지역 : 병해충별 선단

김기중 - 방송통신심의위원회 인터넷 내용심의의 위헌 여부.hwp

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호


Microsoft Word - 산업양식_클라우드_ _피드백_Final_xHdxk5Qr66JJrL7hVYyL

2 국어 영역(A 형). 다음 대화에서 석기 에게 해 줄 말로 적절한 것은? 세워 역도 꿈나무들을 체계적으로 키우는 일을 할 예정 입니다. 주석 : 석기야, 너 오늘따라 기분이 좋아 보인다. 무슨 좋은 일 있니? 석기 : 응, 드디어 내일 어머니께서 스마트폰 사라고 돈

클라우드컴퓨팅확산에따른국내경제시사점 클라우드컴퓨팅확산에따른국내경제시사점 * 1) IT,,,, Salesforce.com SaaS (, ), PaaS ( ), IaaS (, IT ), IT, SW ICT, ICT IT ICT,, ICT, *, (TEL)

untitled

untitled

래를 북한에서 영화의 주제곡으로 사용했다든지, 남한의 반체제세력이 애창한다 든지 등등 여타의 이유를 들어 그 가요의 기념곡 지정을 반대한다는 것은 더 이상 용인될 수 없는 반민주적인 행동이 될 것이다. 동시에 그 노래가 두 가지 필요조 건을 충족시키지 못함에도 불구하고

1) 음운 체계상의 특징 음운이란 언어를 구조적으로 분석할 때, 가장 작은 언어 단위이다. 즉 의미분화 를 가져오는 최소의 단위인데, 일반적으로 자음, 모음, 반모음 등의 분절음과 음장 (소리의 길이), 성조(소리의 높낮이) 등의 비분절음들이 있다. 금산방언에서는 중앙

> 1. 법 제34조제1항제3호에 따른 노인전문병원 2. 국민건강보험법 제40조제1항의 규정에 의한 요양기관(약국을 제외한다) 3. 삭제< > 4. 의료급여법 제2조제2호의 규정에 의한 의료급여기관 제9조 (건강진단) 영 제20조제1항의 규

노인복지법 시행규칙

< FC1A4BAB8B9FDC7D D325FC3D6C1BEBABB2E687770>

입장

<B0B3C0CEC1A4BAB85FBAB8C8A3B9FDB7C95FB9D75FC1F6C4A7B0EDBDC35FC7D8BCB3BCAD C3D6C1BE292E687770>

주택시장 동향 1) 주택 매매 동향 2) 주택 전세 동향 3) 규모별 아파트 가격지수 동향 4) 권역별 아파트 매매 전세시장 동향 토지시장 동향 1) 지가변동률 2) 토지거래 동향 강남권 재건축아파트 시장동향 15 준공업지역 부동산시장 동향

목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2

DBPIA-NURIMEDIA

4) 이 이 6) 위 (가) 나는 소백산맥을 바라보다 문득 신라의 삼국 통 일을 못마땅해하던 당신의 말이 생각났습니다. 하나가 되는 것은 더 커지는 것이라는 당신의 말을 생각하면, 대동강 이북의 땅을 당나라에 내주기로 하고 이룩한 통 일은 더 작아진 것이라는 점에서,

우리나라의 전통문화에는 무엇이 있는지 알아봅시다. 우리나라의 전통문화를 체험합시다. 우리나라의 전통문화를 소중히 여기는 마음을 가집시다. 5. 우리 옷 한복의 특징 자료 3 참고 남자와 여자가 입는 한복의 종류 가 달랐다는 것을 알려 준다. 85쪽 문제 8, 9 자료

상품 전단지

::: 해당사항이 없을 경우 무 표시하시기 바랍니다. 검토항목 검 토 여 부 ( 표시) 시 민 : 유 ( ) 무 시 민 참 여 고 려 사 항 이 해 당 사 자 : 유 ( ) 무 전 문 가 : 유 ( ) 무 옴 브 즈 만 : 유 ( ) 무 법 령 규 정 : 교통 환경 재

2

DBPIA-NURIMEDIA

화이련(華以戀) hwp

ÆòÈ�´©¸® 94È£ ³»Áö_ÃÖÁ¾

歯1##01.PDF

<5BC1F8C7E0C1DF2D31B1C75D2DBCF6C1A4BABB2E687770>

120229(00)(1~3).indd

01Report_210-4.hwp

<C3D1BCB15FC0CCC8C45FBFECB8AE5FB1B3C0B0C0C75FB9E6C7E D352D32315FC5E4292E687770>



교육 과 학기 술부 고 시 제 호 초 중등교육법 제23조 제2항에 의거하여 초 중등학교 교육과정을 다음과 같이 고시합니다. 2011년 8월 9일 교육과학기술부장관 1. 초 중등학교 교육과정 총론은 별책 1 과 같습니다. 2. 초등학교 교육과정은 별책

시험지 출제 양식

177

제주어 교육자료(중등)-작업.hwp

¸é¸ñ¼Ò½ÄÁö 63È£_³»Áö ÃÖÁ¾

<C3D6C1BE5FBBF5B1B9BEEEBBFDC8B0B0DCBFEFC8A C3D6C1BEBABB292E687770>

초등국어에서 관용표현 지도 방안 연구

6±Ç¸ñÂ÷

과 위 가 오는 경우에는 앞말 받침을 대표음으로 바꾼 [다가페]와 [흐귀 에]가 올바른 발음이 [안자서], [할튼], [업쓰므로], [절믐] 풀이 자음으로 끝나는 말인 앉- 과 핥-, 없-, 젊- 에 각각 모음으로 시작하는 형식형태소인 -아서, -은, -으므로, -음

untitled

민주장정-노동운동(분권).indd

<C0CEBCE2BABB2D33C2F7BCF6C1A420B1B9BFAAC3D1BCAD203130B1C72E687770>


< BDC3BAB8C1A4B1D4C6C75BC8A3BFDC D2E687770>

E1-정답및풀이(1~24)ok

<C1B6BCB1B4EBBCBCBDC3B1E2342DC3D6C1BE2E687770>

최우석.hwp

교사용지도서_쓰기.hwp

cls46-06(심우영).hwp

0429bodo.hwp

時 習 說 ) 5), 원호설( 元 昊 說 ) 6) 등이 있다. 7) 이 가운데 임제설에 동의하는바, 상세한 논의는 황패강의 논의로 미루나 그의 논의에 논거로서 빠져 있는 부분을 보강하여 임제설에 대한 변증( 辨 證 )을 덧붙이고자 한다. 우선, 다음의 인용문을 보도록

伐)이라고 하였는데, 라자(羅字)는 나자(那字)로 쓰기도 하고 야자(耶字)로 쓰기도 한다. 또 서벌(徐伐)이라고도 한다. 세속에서 경자(京字)를 새겨 서벌(徐伐)이라고 한다. 이 때문에 또 사라(斯羅)라고 하기도 하고, 또 사로(斯盧)라고 하기도 한다. 재위 기간은 6

Microsoft Word - 오세근


논단 : 제조업 고부가가치화를 통한 산업 경쟁력 강화방안 입지동향 정책동향 <그림 1> ICT융합 시장 전망 , 년 2015년 2020년 <세계 ICT융합 시장(조 달러)> 2010년 2015년 2020년 <국내 ICT

F1-1(수정).ppt

±èÇö¿í Ãâ·Â

최종_백서 표지

Ⅰ. 머리말 각종 기록에 따르면 백제의 초기 도읍은 위례성( 慰 禮 城 )이다. 위례성에 관한 기록은 삼국사기, 삼국유사, 고려사, 세종실록, 동국여지승람 등 많은 책에 실려 있는데, 대부분 조선시대에 편 찬된 것이다. 가장 오래된 사서인 삼국사기 도 백제가 멸망한지

이슈위클리(0315)

중등2단계(최종)-PDF용.hwp

<C5F0B0E82D313132C8A328C0DBBEF7BFEB292E687770>

사업수혜자 계 불특정다수 불특정다수 불특정다수 여 성 불특정다수 불특정다수 불특정다수 남 성 불특정다수 불특정다수 불특정다수 예산구분 계 여 성 7(50%) 7(50%) 8(50%) 남 성 7(50%) 7(50%) 8(50%) 2011년까 지는 결산 액

zb 2) 짜내어 목민관을 살찌운다. 그러니 백성이 과연 목민관을 위해 있는 것일까? 아니다. 그건 아니다. 목민관이 백성 을 위해 있는 것이다. 이정 - ( ᄀ ) - ( ᄂ ) - 국군 - 방백 - 황왕 (나) 옛날에야 백성이 있었을 뿐이지, 무슨 목민관이 있 었던

1 전통 소프트웨어 가. 국내 데이터베이스 서비스 시장, 매출 규모에 따른 양극화 현상 심화 국내 데이터베이스 시장은 지속적으로 성장세를 보이고 있으나 비중이 가장 높은 데이터베이스 서 비스 시장에서 매출 규모에 따른 빈익빈 부익부 현상이 심화되는 추세 - 국내 DB사


미래 서비스를 위한 스마트 클라우드 모델 수동적으로 웹에 접속을 해야만 요구에 맞는 서비스를 받을 수 있었다. 수동적인 아닌 사용자의 상황에 필요한 정보를 지능적으로 파악 하여 그에 맞는 적합한 서비스 를 제공할 수 새로운 연구 개발이 요구 되고 있다. 이를 위하여,

<C6EDC1FD20B0F8C1F7C0AFB0FCB4DCC3BC20BBE7B1D420B0B3BCB120BFF6C5A9BCF32E687770>

SW¹é¼Ł-³¯°³Æ÷ÇÔÇ¥Áö2013

Data Industry White Paper

망되지만, 논란은 더욱 증폭될 것으로 전망된다. 일단 광주지역 민주화 운동 세력 은 5.18기념식을 국가기념일로 지정 받은 데 이어 이 노래까지 공식기념곡으로 만 들어 5.18을 장식하는 마지막 아우라로 활용한다는 계획이다. 걱정스러운 건 이런 움직임이 이른바 호남정서

<BCF6BDC D31385FB0EDBCD3B5B5B7CEC8DEB0D4C5B8BFEEB5B5C0D4B1B8BBF3BFACB1B85FB1C7BFB5C0CE2E687770>

14 경영관리연구 제6권 제1호 ( ) Ⅰ. 서론 2013년 1월 11일 미국의 유명한 경영전문 월간지 패스트 컴퍼니 가 2013년 글로벌 혁신 기업 50 을 발표했다. 가장 눈에 띄는 것은 2년 연속 혁신기업 1위를 차지했던 애플의 추락 이었다. 음성 인식

00내지1번2번

치열하게 경쟁 중이다. 또한 미국, EU, 일본 등 주요 선진국에서는 신융합서비스 상용화를 촉진하는 규제 정비, 실생활 적용 중시, 사용자 보호/보안, 상황인지 등과 같은 규제 정비 및 사이버 보안에 중점을 두고 정책을 추진하고 있으며, 우리나라도 생태계 참여자간 협업

new-앞부분

Transcription:

한국산학기술학회논문지 Vol. 12, No. 3 pp. 1408-1416, 2011 클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구 박춘식 1* 1 서울여자대학교 정보보호학과 Study on Security Considerations in the Cloud Computing Choon-Sik Park 1* 1 Department of Information Security, Seoul Women's University 요 약 클라우드 컴퓨팅은 컴퓨팅 리소스의 경비 절감과 효율은 물론 서비스의 확장 및 향상을 제공한 그러나 클라우드 서비스 사용자(기업 등)들은 클라우드 컴퓨팅 특성에 의한 여러 가지 위험들에 대해서 많은 염려를 갖고 있 본 논문에서는 클라우드 컴퓨팅 환경으로 인한, 시큐리티를 포함한 여러 가지 주요 이슈들을 검토하여 보고자 한 또한 시큐리티에 관한 문제들을 보다 구체적으로 분석하고 클라우드 컴퓨팅에 관한 위협들을 식별하여 시큐리티 위험을 줄일 수 있는 대략적인 대응책들을 제안하였 Abstract Cloud computing provides not only cost savings and efficiencies for computing resources, but the ability to expend and enhance services. However, cloud service users(enterprisers) are very concerned about the risks created by the characteristics of cloud computing. In this paper, we discuss major concerns about cloud computing environments including concerns regarding security. We also analyze the security concerns specifically, identify threats to cloud computing, and propose general countermeasures to reduce the security risks. Key Words : Cloud Computing, Risks, Threats, Security Risks, Countermeasures 1. 서론 최근 컴퓨팅 환경은 메인 프레임 시대, 클라이언트 서 버 시대, 웹 컴퓨팅 시대를 이어 클라우드 컴퓨팅 시대로 급속하게 변천하고 있 어플리케이션과 데이터가 메인 프레임에 집중되고 더미 단말에 의한 사용자 입력으로 그리고 Time Sharing System으로 대표되는 메인프레임 컴퓨팅 시대, 개인 PC의 발달로 집중에서 분산으로 패러 다임이 변화된 클라이언트 서버 시대, 컴퓨터 가격의 저 렴화와 네트워크 속도의 향상으로 그리고 웹 브라우저 활용으로 웹 컴퓨팅 시대를 맞이하였 어플리케이션과 데이터를 서버 측에서 집중 관리하고 가상화 기술을 이 용해서 서버 관리 부담을 덜어주고 사용자는 확장성이 뛰어난 IT 리소스를 인터넷을 통해서 사용한 만큼의 비 용 부담으로 서비스로 제공받을 수 있는 클라우드 컴퓨 팅으로 급격하게 변화되고 있 또한, 클라우드 컴퓨팅 은 분산컴퓨팅, 그리드 컴퓨팅, 유틸리티 컴퓨팅, 서버 기 반 컴퓨팅, SaaS(Software as a Service) 등의 개념과는 큰 차이 없는 컴퓨팅 환경으로 새로운 기술보다는 새로운 컴퓨터 비즈니스 출현이라고 보는 면이 많 클라우드 컴퓨팅을 이루는 대표적인 기술은 가상화 기 술과 대용량 분산처리기술로 클라우드 컴퓨팅의 핵심을 이루고 있 가상화 기술은 한 대의 서버로 마치 여러 대의 서버를 이용하고 있는 것처럼 작동시킬 수 가 있으 므로 많은 사용자의 요구에 한 대의 서버로 대응할 수 있 도록 할 수 있 따라서 서버의 이용 효율을 높일 수 있 고 저렴한 요금으로 서비스를 제공할 수 있게 된 물론 동일한 능력의 처리를 적은 대수의 서버로 가능하므로 지금까지의 전력이나 냉각 비용의 절감 및 서버 설치 공 간 등의 축소로 인한 경제적인 면에서의 이점도 있다[1]. 본 논문은 2011학년도 서울여자대학교 교내학술특별연구비의 지원을 받았음.. * 교신저자 : 박춘식(csp@swu.ac.kr) 접수일 11년 02월 18일 수정일 11년 03월 05일 게재확정일 11년 03월 10일 1408

클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구 클라우드 컴퓨팅 환경이 되면 클라우드 컴퓨팅의 사용 자인 개인 사용자나 기업 사용자가 피해를 보게 되는 것 은 무엇이며 사용자 보호를 위한 것은 무엇을 검토해야 할까. 한편, 클라우드 컴퓨팅 산업 활성화를 위해서는 무 엇이 장애가 되며 또한 활성화를 위해서는 무엇을 해야 할 까. 벌써 클라우드 컴퓨팅 활성화 만큼이나 정보 보안 분야의 관심도 높다[2-5]. 이에 본 논문에서는 클라우드 컴퓨팅과 관련된 주요 이슈들은 무엇이 있는 지 그리고 특히 클라우드 컴퓨팅과 관련된 보안 이슈는 무엇이 있 는 지 제안하고자 한 그리고 클라우드 컴퓨팅과 관련 된 보안 이슈와 함께 검토해야 할 보안 요구 및 검토 사 항들에 대해서 제안하고자 한 2. 클라우드 컴퓨팅 NIST(National Institute of Standard Technology)에 의 한 클라우드 컴퓨팅 정의[6]는 클라우드 컴퓨팅은 최소 한의 관리 노력과 서비스 제공자와의 연동으로 빠르게 제공되고 보급될 수 있는 컴퓨팅 리소스(네트워크, 서버, 스토리지, 애플리케이션 그리고 서비스)의 저장고에 가 용, 편리, 온 디멘드 네트워크 접근이 가능한 모델 이 다른 편의적인 정의로는, 클라우드 컴퓨팅 서비스는 인터넷 등의 브로드밴드 회선을 경유해서 데이터 센터에 축적되어 있는 컴퓨터 리소스를 서비스하는 것으로 원격 지로부터 이용자에게 제공되는 것으로 확장성 (Scalability), 가용성(Availability), 민첩성(Agility), 가시 성(Visibility), 경제성(Economy) 등의 특징이 있 확장 성은 이용자측이 필요한 만큼의 컴퓨터 리소스를 이용하 도록 하며 업무량에 따라 컴퓨터 리소스를 유연 (Flexibility)하게 증감시키는 기능을 말하며, 가용성은 클 라우드 서비스 제공자 측의 입장에서 특정 서버 또는 서 버 군이 문제가 발생하더라도 다른 서버들이 처리할 수 있도록 하여 서비스를 중단 없이 지속하게 할 수 있는 기 능을 의미한 민첩성은 서비스 이용자가 컴퓨터 리소스 를 이용하고자 할 경우 구매, 설치 등과 같은 별 다른 시 간 소요 없이 즉시 이용할 수 있는 기능이며 가시성은 클 라우드 서비스 리소스에 대한 측정 관리가 가능하며 컴 퓨터 리소스의 초기 투자비용이 소요되지 않고 Pay-to-Use에 따른 경제성이 있 한편, 클라우드 컴퓨팅은 웹 2.0과 같은 인터넷 기술을 활용하여 SaaS, PaaS (Platform as a Service), IaaS(Infrastructure as a Service)의 3가지 가상화된 대표 적인 서비스를 제공하고 있다 그림 1. SaaS 서비스는 어 플리케이션 소프트웨어의 기능을 인터넷에서 제공하는 것이며, PaaS 서비스는 어플리케이션이 동작하는 플랫폼 이나 개발 환경이나 도구들을 인터넷의 웹 환경에서 제 공하는 서비스 그리고 IaaS 서비스는 서버의 컴퓨팅 능력 이나 스토리지 등의 하드웨어를 인터넷을 통하여 제공하 는 서비스를 각각 의미한 클라우드 컴퓨팅의 구성 모델 정의[6]에 의하면 4개의 구성 모델로 이루어지며, 4개의 구성 모델은 Private cloud, Community cloud, Public cloud, Hybrid cloud로 정 의되고 있 Private cloud는 클라우드 인프라가 조직만 을 위해 운용되는 것이 조직이나 제 3자에 의해 관리 될 수 있으며 구내에 위치할 수 있 Community cloud 는 클라우드 인프라는 여러 조직들에 의해 분산되며 클 라우드 인프라는 분산된 관계 사항들을 정리한 특정 커 뮤니티를 지원한 Public cloud는 클라우드 인프라가 일반적인 공공 또는 대기업에게 가용될 수 있으며 클라 우드 서비스 제공 조직에 의해 소유된 Hybrid cloud는 클라우드 인프라가 데이터와 어플리케이션 이동을 가능 하게 하는 표준 기술에 의해 하나로 묶거나 대표 사용자 로 하기 위해 2개 이상의 클라우드를 합친 것을 의미하고 있 [그림 1] NIST의 클라우드 서비스 모델 3. 클라우드 컴퓨팅 주요 고려사항 2장에서 설명한 바와 같이 클라우드 컴퓨팅 서비스는 여러 가지 많은 장점이 있 그러나 클라우드 컴퓨팅을 둘러 싼 여러 가지 장애 또는 해결해야 할 과제들도 많이 산적해 있 본 장에서는 클라우드 컴퓨팅과 관련한 여 러 가지 주요 이슈들을 살펴보고자 한 2008년 6월 가트너가 분석 제시한 보고서[7]에 의하면 클라우드 컴퓨팅과 관련하여 사용자에 대한 정보 수집 관리, 규정 준수, 데이터의 물리적 위치, 사용자 데이터 구분, 복구, 조사 지원, 장시간동안의 생존성 확보 등의 1409

한국산학기술학회논문지 제12권 제3호, 2011 7가지 시큐리티 문제들을 맨 처음 거론하였 또한, 2008년 미국 CIO Research 리포트에서도 클라우드 컴퓨 팅을 둘러 싼 문제점으로 시큐리티, 기존 시스템과의 융 합(Integration), 데이터에 대한 제어권 상실, 가용성 (Availability), 성능(Performance), IT 거버넌스, 규정 및 컴플라이언스 등의 순서로 지적되고 있 2008년 8월 세계적인 조사 기관인 IDC 보고서에 의해서도 클라우드 컴퓨팅에서의 주요 이슈들로 시큐리티, 성능, 가용성, 기 존 시스템과의 융합 등이 거론되고 있다[8]. 2009년 2월에 발표된 University of California at Berkeley 기술보고서[9]에 소개된 클라우드 컴퓨팅의 발 전이나 클라우드 컴퓨팅 도입 시 예상되는 대표적인 10 가지 장애물들과 이러한 10가지 장애물들을 극복할 10가 지 Opportunity(기회 그리고 해결방안)들이 수록되어 있 국내에서도 안정성, 시큐리티, 표준화 부재로 인한 클 라우드로의 전환 어려움, 기존 레거시 인프라로부터의 전 환에 따른 기회비용 및 정확한 투자대비효과 계산의 어 려움과 법제도 부재, 사용자 보호 대책 부재, 기업정보 및 개인정보보호 미흡 등을 클라우드 컴퓨터 활성화의 장애 요소로 언급하고 있다[10]. 이러한 각종 자료들과 보고서들[4,5,7-10]이 지적하는 클라우드 컴퓨팅과 관련된 주요 이슈들을 크게 분류하며 다음과 같이 정리할 수 있 - 시스템 안정화 - 클라우드 데이터 센터(서버) 위치 - 시큐리티/프라이버시 - 상호운용성(표준) - 컴플라이언스 등 3.1 클라우드 시스템 안정화(Availability) 클라우드 서비스를 도입하는 데 주저하는 이유로 가장 많이 언급되는 이유 중의 하나로 클라우드 서비스의 안 정화가 거론되고 있 이는 클라우드 서비스를 이용하는 이용자의 업무나 데이터 등이 클라우드에 전적으로 의존 하는 형태로, 제3의 업체를 전적으로 신뢰해야 하기 때문 이 즉 클라우드 서비스를 이용하는 고객의 입장에서 보면 언제 클라우드 서비스가 중단되거나 사용될 수 없 을 지 불안함을 갖게 될 것이며 이는 서비스 도입의 중대 한 고민을 갖게 되는 이유가 된 특히, 클라우드 서비스 제공업체의 폐업이나 클라우드 서비스 제공업체의 M/A 등에 의해 클라우드 서비스가 중단될 경우에는 클라우드 서비스를 이용하는 고객 입장 에서는 저장된 데이터나 자료 등에 대한 계속 사용 여부 가 중요한 문제가 될 것이 또한 클라우드 서비스를 이 용하여 또 다른 고객들에게 서비스를 제공하는 경우, 신 뢰도 및 책임 문제까지 복잡하게 될 수가 있 위키피디아[11]에 의하면 2010년 현재까지 일시적 서 비스 중단 및 폐업한 클라우드 서비스 기업과 관련 내용 들이 소개되고 있 표 1에서는 클라우드 서비스 대표 기업들의 서비스 중단 사례에 대한 내용을 나타내고 있 [표 1] 클라우드 서비스 중단 사례 서비스명 회사 서비스 분류 Gmail (GoogleApps) Force.com (SalesforceCRM) ES2/S3 BPOS(전자메일, 웹 회의, Sharepoint등) 구글 세일 즈포 스 아마 존 SaaS (메일 서비스) PaaS (SaaS) PaaS /IaaS 발생 시기 : 정지 시간 08.6:12시간 08.8:15시간 09.9: 6시간 05.12: 5시간 08.2: 7시간 10.1: 1시간 08.2: 3시간 08.4: 수시간 MS SaaS 10.8: 2시간 10.9: 특정 10.9: 고객 클라우드 서비스 안정화를 위해서는 서비스 이용자의 데이터를 저장 보관하여 비상 시 활용할 수 있는 임치 (Escrow) 제도가 필요하며 클라우드 데이터 센터의 백업 이나 업무 연속을 통하여 안정된 서비스를 제공할 수 있 도록 하여야 한 또 다른 방법으로 안정된 서비스와 과 금과의 관계 설정을 통하여 보다 높은 품질의 서비스에 는 상응하는 요금을 지급하는 서비스 요금 체계를 갖추 고 이를 서비스 제공자와 이용자 간에 계약에 의해서 그 리고 정량화하여 서비스 품질에 대한 만족을 제공할 수 있는 표준 SLA(Service Level Agreement) 제도를 활용하 는 것도 대안이 될 수 있을 것으로 판단된 특히, 임치 제도는 클라우드 서비스 제공자의 파산, 폐 업, 물리적 파손 등에 대비한 사용자의 저장 데이터를 안 전하게 보호하여 클라우드 서비스 제공자의 안전성 및 신뢰성을 제고할 수 있으며 사용자의 보호 및 클라우드 서비스 안정화에 기여할 수 있을 것으로 판단된 3.2 클라우드 데이터 센터(서버) 위치 클라우드 서비스는 비교적 클라우드 데이터 센터를 대 용량으로 건설하여 IaaS 등의 서비스를 제공하고 있 특히 구글 등과 같은 클라우드 서비스 선도 기업들은 거 대한 클라우드 센터를 전 세계에 걸쳐서 건설하고 있 이는 서버 대수에 의한 규모 경제로 클라우드 서비스의 1410

클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구 저렴화를 통하여 시장에서의 경쟁력을 확보하고자 하는 전략에 해당된 자국 외에 클라우드 센터(서버)가 존재 하는 경우에는 국내 정보의 국외 유출 문제, 국외 센터의 외국 정부(수사기관 등)의 정보 제공 여부, 재판 관할권 (어느 나라/어느 주), 개인정보보호법/데이터보호법 /감사 등 적용 여부 등이 심각한 문제로 대두될 가능성이 높 실제로 스위스에서는 구글 앱스를 이용하여 스위스 은행 고객의 데이터를 클라우드 서비스로 이용하고자 하였으 나 구글의 클라우드 센터가 스위스 외부에 존재하여 서 비스 제공이 어려웠지만 구글이 스위스 내에 클라우드 센터 즉 해당 서버를 설치하는 것으로 정리된바 있 또 한 아마존이 EU에 클라우드 서비스를 전개하는 과정에 서 EU내의개인정보는EU 밖으로 전송 곤란한 EU 규정에 의해 EU내에 데이터 센터를 별도로 설치하여 서비스를 제공하게 되었 대책으로는 사용자가 국내/국외 서버 위치를 선택할 수 있는 선택권을 제공하는 방안, 사용자가 요구 시 클라 우드 서비스 제공자는 서버 위치 정보를 제공하거나 외 국 정부(수사기관) 요청에 대한 클라우드 서비스 제공자 가 고객의 정보를 제공한 경우에는, 사후라도 그 결과를 사용자에게 통보하도록 하는 방안 들이 고려될 수 있 3.3 클라우드 서비스와 보안 클라우드 서비스 도입에 가장 문제가 되는 것으로 시 큐리티 문제를 가장 많이 언급하고 있 이는 클라우드 서비스가 가지는 특성이 서비스를 제공받기 위해서는 전 적으로 제3의 업체를 신뢰해야 하기 때문이 기존의 자 사 기업 내에서 관리하던 보안 개념과 외부 업체에 데이 터나 업무 자료를 보관 의존하여 관리하는 보안 개념은 전적으로 다를 수 밖에 없 또한 클라우드 데이터 센터에는 많은 기업이나 개인 등의 고객 정보가 저장 보관되고 있어 해커(테러)의 공격 목표가 될 가능성이 증대되며, 클라우드 센터 내부자에 의한 중요 데이터의 유출 위협도 상존할 것으로 예상된 클라우드 실행 환경이나 특성상 분리가 취약한, 즉 복 수 이용자가 동일 자원을 사용할 수 밖에 없는 환경에서 그리고 방대한 처리 전송 및 저장 데이터 등의 관점에서 클라우드 서비스는 많은 시큐리티 문제점을 내포하고 있 클라우드 컴퓨팅 보안에 관해서는 15개의 도메인별 시큐리티를 설명하고 있는 CSA(Cloud Security Alliance) 보고서[4]와 기술적, 법적, 정책적 권고들을 다루고 있는 유럽연합의 사이버보안기관인 ENISA(the European Network and Information Security Agency) 보고서[5]가 있 본 논문에서 제안하고자 하는 클라우드 서비스의 보안 위협과 대책에 대해서는 4장과 5장에 설명하였 3.4 Inter-Cloud 상호운용성 클라우드 컴퓨팅 서비스에서의 또 다른 중요 이슈로 클라우드와 클라우드간 그리고 클라우드와 이용자와의 상호 운용 환경에 대한 문제가 있 cloud cloud 상 호 운용과 user(enterprise)- cloud 운용 문제로 상호간의 파일 포맷, API, 데이터 포맷 등의 표준이 되어 있지 않 아, 즉 Data Lock-in 문제가 발생하여 특정 클라우드 서 비스 제공자에서 다른 클라우드 서비스 제공자로의 이전 이나 이관이 자유롭지 못하며 클라우드 서비스 제공자 간의 이전도 자유롭지 못한 문제가 발생하게 된 이는 클라우드 서비스 제공자 전환을 어렵게 하며, 종 료 또는 제공자 파산 시 데이터 및 서비스 전환 또한 어 려워 결국에는 특정 클라우드 서비스 제공자에게 종속될 수가 있 이러한 문제는 기업 고객 입장에서 보면 업무 연속성(BCP) 에 심각한 문제를 야기할 수 있게 된 예상 대책으로 데이터 파일 포맷, API 포맷 등의 Interoperability를 보장하거나 SLA에 의한 서비스 보장, 그리고 클라우드 서비스 표준(상호운용성, 보안 표준 등) 을 제정하는 방안이 있 3.5 컴플라이언스 등 클라우드 컴퓨팅 서비스와 관련된 기타 이슈로 거버넌 스와 컴플라이언스 문제를 고려할 수 있 거버넌스 문 제는 사용자가 제어권을 서비스 제공자에게 일임하거나 클라우드 서비스 제공자가 데이터 위치 정보를 제공하지 않거나, 외부 침투 테스트 불허 등으로 인한 거버넌스 결 여를 말한 컴플라이언스 문제는 사용자에 의한 감사 (audit)를 서비스 제공자가 수용하지 않거나 규정 준수 증 거를 제시하지 못하는 것이 이슈가 될 수 있 이외에도 소프트웨어 라이선스 문제, 지적재산권/저 작권 문제, e-discovery 등(데이터 복구, 보관, 폐기, 재활 용 오남용 등), 기존 어플리케이션과의 병행 사용 여부, 과금 방식 등이 주요 이슈가 될 것으로 판단된 4. 클라우드 컴퓨팅의 보안 위협 본장에서는 3장에서 살펴 본 클라우드 컴퓨팅의 주요 이슈 가운데에서 보안에 관련된 부분으로, 클라우드 컴퓨 팅 환경이 갖게 되는 보안 위협 요소를 제안하고자 한 클라우드 컴퓨팅의 보안 위협으로는 공격이 예상되는 요소와 기존의 일반적인 보안 위협외의 클라우드 컴퓨팅 1411

한국산학기술학회논문지 제12권 제3호, 2011 특성으로 인한 보안 위협으로 크게 나누어 생각해 볼 수 있 클라우드 컴퓨팅에서 공격이 예상되는 보안 위협의 주요 요소로는 클라우드 사용자, 클라우드 서비스 제공자 그리고 클라우드 사용자와 클라우드 서비스 제공자 사이 와 클라우드 서비스 제공자간의 네트워크가 공격 대상이 될 수 있 다음으로 클라우드 컴퓨팅 특성 또는 환경으로 새롭게 예상되는 보안 위협을 생각해 볼 수 있 클라우드 컴퓨 팅의 특성 중의 하나인 Multi-Tenant 환경으로 인하여 클 라우드 데이터 센터에는 복수의 클라우드 서비스 이용자 와 다양한 형태의 중요도를 갖는 이용자의 데이터가 공 존하고 있 이러한 형태의 클라우드 환경은 다양한 형 태의 취약성과 복합적인 형태의 위협 패턴이 예상된 가상화 기술의 취약점에 의한 공격 등 클라우드 컴퓨 팅 환경에 예상되는 보안 위협들은 다음과 같 4.1 클라우드 컴퓨팅에 대한 외부 공격 클라우드 컴퓨팅 환경의 특성상 이용자의 데이터 등이 클라우드 데이터 센터 한 곳에 집중되어 관리되고 있기 때문에, 이러한 클라우드 컴퓨팅 환경이 해커 등의 공격 대상이 될 가능성이 높 클라우드 서비스 센터 한 곳으 로의 데이터 집중은 보호해야할 범위를 줄여주는 면이 있지만 공격이 성공할 경우의 피해 정도는 심각해질 수 있 클라우드 데이터 센터에 대한 분산서비스거부공격, 불법 접근, 정당한 클라우드 사용자를 위장한 공격 등이 예상된 4.2 가상화 기술 취약성에 의한 공격 클라우드 컴퓨팅에서의 핵심 기술은 가상화, 대용량분 산처리, 운용 및 정보보호기술이 이중에서 가상화 기 술은 현재 많은 취약점들이 발표되고 있으며 이들 취약 점을 이용한 공격도 소개되고 있 향후 클라우드 컴퓨 팅이 활성화되면 가상화 기술의 취약점을 이용한 공격은 크게 늘어날 것으로 예상된 가상화 기술 취약성에 의한 이러한 공격은, 클라우드 이용자가 공격자가 되어 동일 클라우드 컴퓨팅 환경 내 의 다른 클라우드 이용자가 공격을 받게 되는 사태가 예 상된 클라우드 컴퓨팅 환경에서는 인접한 환경에 다른 이용자가 있는 것이 일반적이므로 이용자는 인접한 환경 에 있는 공격자로부터 클라우드 컴퓨팅 환경을 통해서 공격받게 되고 그 결과 중요한 정보를 잃어버릴 가능성 이 있 이외에도 클라우드 컴퓨팅 센터 내부의 각종 리 소스에 대한 다양한 취약점과 공격 루트를 이용한 공격 이 예상된 4.3 클라우드 환경을 이용한 공격 요금이 저렴하고 쉽게 이용할 수 있는 클라우드 컴퓨 팅 특성을 이용하여 현재까지 공격에 소요되는 대규모 예산으로 인하여 시도해보지 못했던 공격들이 시도될 가 능성이 있 즉, 클라우드 컴퓨팅 환경을 공격의 도구로 써 악용할 가능성이 있 클라우드의 막대한 리소스(컴 퓨팅 및 스토리지 등)를 이용해서, 제3자에 대해서 DDoS 등의 사이버 공격 등을 시도할 수 있 또한 정당한 클 라우드 이용자의 환경에 해커 등이 악성코드 등의 주입 을 통해서 클라우드 외의 시스템 등에 공격하는 시나리 오도 예상될 수 있 클라우드 컴퓨팅 이용만으로도 이 러한 공격이 쉽게 그리고 저렴하게 이루어질 수 있게 된 또한 클라우드 컴퓨팅의 리소스를 이용하여 패스워드 크래킹이나 암호 키 해독 등을 쉽게 수행할 가능성이 있 이는 저렴하고 효율적으로 막대한 클라우드 컴퓨팅 리소스(컴퓨팅 파워, 스토리지 등)를 쉽게 이용할 수 있 는 점과 클라우드 서비스 제공자가 서비스 이용자의 부 정한 행위를 식별할 수 없는 문제점에 기인한 것으로 향 후에도 다양한 공격들이 예상된 4.4 클라우드 내부 공격 등에 의한 위협 클라우드 컴퓨팅 센터에는 다양한 레벨의 이용자 데이 터와 각종 서비스가 운용되고 있 이러한 클라우드 컴 퓨팅 환경으로 인하여 기존 IDC나 서버 관리센터보다도 더욱 더 내부자에 의한 정보 유출 등이 발생할 가능성이 높 특히, 중요 데이터 및 개인정보 유출이 예상되며 데 이터 센터 등에서의 정전이나 소프트웨어나 하드웨어의 불일치에 의한 서비스가 정지하여 클라우드 이용자가 서 비스를 이용할 수 없게 되는 경우도 예상된 4.5 네트워크에 대한 위협 클라우드 서비스 이용자와 클라우드 서비스 제공자간 의 네트워크 그리고 클라우드 서비스 제공자와 클라우드 서비스 제공자간의 네트워크에 대한 보안 위협으로는 전 송되는 각종 데이터의 도청, 변경 그리고 파괴 등이 예상 된 물론 이러한 위협은 일반적인 위협이지만 클라우드 컴퓨팅 환경과 관련하여 외부 네트워크를 통해서 클라우 드 서비스 등을 이용하거나 데이터를 전송하는 측면에서 훨씬 더 공격을 받을 위협에 많이 노출되어 있 또한 네트워크를 통한 불법 접근이 빈번하게 발생할 것으로 예상되며 권한 밖의 접근이나 이용자를 위장한 공격도 예상된 1412

클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구 4.6 컴플라이언스 등 위협 클라우드 컴퓨팅 환경의 대표적인 특성 중의 하나인 Multi-Tenant 환경으로 인하여 클라우드 컴퓨팅 센터 서 버에는 다양한 이용자의 서비스와 데이터가 저장 운용되 고 있 특정 이용자의 보안 감사가 진행될 경우 동일 클라우드 컴퓨팅 환경에 있는 다른 이용자의 데이터 등 에 관한 정보가 새어나갈 수 있는 위협이 있 이는 동 일 클라우드 컴퓨팅 환경 내에 있는 특정 이용자만의 데 이터만을 제공할 수 없기 때문에 발생하는 것으로 향후 클라우드 컴퓨팅의 커다란 위협이 될 수 있 특히 어떠한 보안 규정이나 보안 관리 체계를 통하여 보안을 준수하고 있는 지를 외부에서는 파악하기가 어려 운 점 등은 물리적 관리적 측면에서의 보안 위협이 예상 되는 부분이 5. 클라우드 컴퓨팅 보안 대책 5.1 클라우드 컴퓨팅 분야별 보안 대책 본 절에서는 클라우드 컴퓨팅 환경에서의 서비스 이용 자, 클라우드 컴퓨팅 서비스 제공자의 분야별 보안 대책 중 기본적으로 고려되어야 할 보안 대책을 제안하고자 한 5.1.1. 클라우드 서비스 이용자 보안 대책 먼저 클라우드 서비스 이용자는 이용자 자신의 비즈니 스 프로세스 가운데 무엇을 어느 정도까지 클라우드 서 비스로 이용할 지를 이용자가 판단해야 한 이때, 이용 자 자신의 비즈니스 업무의 표준화와 자동화를 이루는 것이 선결되어야 하며 클라우드 서비스 이용 업무와 기 존 업무와의 병행 사용에 대한 검토가 선행되어야 한 다음으로 이용자 자신의 업무 프로세서나 데이터의 중 요성을 평가하여 클라우드 서비스 제공자가 공개하는 정 보보호 대책, 안정성, 서비스 레벨, 감사 및 정보 공개 여 부, 피해 복구 계획 등의 항목을 참조하여 클라우드 서비 스 제공자를 선정하는 것이 바람직하 물론 표준 SLA 를 참조하여 이용자 자신에 맞는 형태의 SLA를 만들어 서비스 계약하는 것이 필요하 클라우드 서비스 이용자의 보호 대책으로 클라우드 서 비스 제공자는 이용자에 대한 인증 서비스를 제공해야 하며, 누가 어떠한 서비스, 어떠한 레벨의 권한을 갖고 있 는 지, provisioning을 어떻게 하는 지에 대한 관리가 필 요하 서비스 이용자는 자신의 접근 권한에 대한 보안 을 유지하는 것이 중요하 또한 클라우드 서비스 제공자에게 보내어지거나 수신 되는 모든 데이터가 도청이나 누설 등으로부터 안전하게 보호될 수 있도록 암호 등에 의한 네트워크 보안 대책이 이루어져야 한 5.1.2. 클라우드 서비스 제공자 보안 대책 클라우드 서비스를 이용하고자 하는 이용자 입장에서 자신의 데이터 등을 제3자인 서비스 제공자에게 위탁한 다는 사실 그 자체가 불안할 수 밖에 없 클라우드 서 비스 제공자의 경쟁력 강화 차원은 물론이고 기본적으로 클라우드 서비스 활성화를 위해서도 반드시 보안 대책이 마련되어야 한 물론 클라우드 서비스 제공자는 제공자 의 정보보안정책, SLA, 신뢰성 있는 기관으로부터의 정 보보호관리 공인 등 서비스 이용자가 서비스 제공자의 보안 대책을 판단하는 데 도움이 되는 정보를 제공하여 야 한 제공되어야 할 정보보안 대책으로, 클라우드 데이터 센터는 해커 등의 공격으로부터 노출되어 있으므로, 클라 우드 서비스 제공자는 사고나 공격에 대한 예방, 감시 및 사후복구를 위한 CERT와 같은 조직을 만들어 운영하여 야 하며 실시간으로 서비스 이용자에게 관련 정보를 제 공하도록 하여야 한 부정한 사용자의 접근을 방지하거나 사용자 내부의 권 한 외의 접근을 방지하기 위한 강력한 접근 방지 및 인증 방식을 제공하여야 하며 정당한 사용자의 클라우드 데이 터 센터 접근 후 내부의 다른 이용자의 데이터 등에 접근 할 수 없도록 강력한 격리 기능도 제공되어야 한 클라우드 서비스 제공자가 관리하고 있는 클라우드 데 이터 센터 내의 모든 데이터는 개인정보 및 기업의 비밀 정보 등으로 다양한 중요도의 데이터 및 서비스가 관리 운용되고 있으므로 강력한 암호 기술에 의한 보안 대책 이 마련되어야 한 또한 DDoS와 같은 해킹 공격이나 재난 등에 의한 시 스템 및 서비스 중단 사태를 방지하기 위한 업무 연속 계 획 및 백업을 통한 복구 계획이 확보되어 있어야 한 물리적으로도 내부 유출 범행이나 외부로 부터의 침입 방지를 위한 CCTV, 출입보안 등의 보안 대책이 마련되 어야 한 5.2 클라우드 서비스의 기술적 보안 본 절에서는 클라우드 컴퓨팅의 기술적 보안 대책 관 점에서 특히 기본적으로 필요로 하는 클라우드 컴퓨팅의 핵심 보안 기술들을 제시하고자 한 현재 가장 필요로 하는 분야는 가상화 컴퓨팅 환경에 대한 취약점으로 인 1413

한국산학기술학회논문지 제12권 제3호, 2011 한 위협이 발생할 것으로 예상되어 이에 대한 secure virtual technology가 시급한 것으로 판단된 클라우드 컴퓨팅 서비스 제공자 입장에서는 부당한 사용과 과금에 대한 보호 대책이 가장 시급할 것으로 예상되므로 IAM(Identity and Access Management)에 대한 효율성과 안전성이 보장되는 기술이 필요할 것이 한편 사용자 입장에서는 기업이나 개인의 데이터를 제3자에게 의뢰해 야 하는 입장이므로 데이터의 안전한 보관을 위한 기술 인 안전도가 높은 암호 기술이 핵심이 될 것이며 또한 개인 정보의 저장 장소에 대한 불명확화로 인한 그리고 클라우드 서비스 제공자에 의한 남용이나 유출로 인한 보호 대책 수단인 암호 기술 또는 프라이버시 보호 기술 이 필요할 것으로 판단된 대용량 데이터 암호에 따른 고속 처리와 효율적인 키 관리 기술, 빈번한 사용자 접근에 대한 인증 기술, 클라우 드 컴퓨팅 환경에서는 보다 더 강력할 것으로 예상되는 DDoS 공격에 대한 대응 기술도 주요한 기술이 될 것이 인증기술로는 SSO(Single Sign On), SAML(Security Assertion Markup Language), Kerberos 등이 예상되며 강 력한 로그 감시 및 관리 기능, Secure VM, Secure Hypervisor, Secure Hadoop, Secure NAC(Network Access Control) 기술 등이 필요할 것으로 예상된 -안전한 가상화 기술(Secure VM) 가상화 기술이 클라우드 컴퓨팅에서는 아주 중요한 역 할을 한 가상화 환경에서는 가상으로 OS를 동작시키 는 기술(게스트 OS)과 그것을 관리하는 호스트 OS가 존 재한 이러한 가상화 환경에 있어서, 게스트 OS로부터 호스트 OS상의 권한을 취득하는 등의 공격이 가능하게 되면, 다른 게스트 OS의 정보를 훔치거나 변경하는 등의 가상화 기술의 취약점으로 인한 사태가 발생할 수 있 가상화 기술에 대한 취약성이 이미 많이 보고되고 있으 며 이를 이용한 공격도 보고되고 있 따라서 클라우드 서비스에서 새롭게 고려해야 하는 보 안 기술로써 가상화 기술에 의한 취약성을 배제하거나 회피하는 등의 효율적이고 안전한 기술이 요구된 -저장 데이터 보호 기술 클라우드 서비스에서 가장 중요한 기술 중의 하나로 클라우드 데이터 센터(서버)에 저장되어 있는 데이터가 변경, 유출, 소실, 누설, 소거 등에 의한 위협으로부터 보 호하는 암호 기술이 외부로부터 요구되는 서비스에 효율적으로 대처하기 위해서는 단순한 암호 기술이 아니라 강력한 암호 기능 과 연산 속도가 고속으로 가능한 그리고 접근 제어와 익 명성이 제공될 수 있는 암호 기술이 필요하 또한 고속이며 안전한 데이터베이스 암호 기술은 물론 이고 암호에 따른 키 관리 기술도 클라우드 서비스에 적 합한 새로운 기술이 고려되어야 한 현재 검토되고 있 는 기술로는 속성기반암호(Attribute Based Encryption) 등이 제안되고 있 -안전한 Auditing 기술 클라우드 컴퓨팅 환경의 대표적인 것 중의 하나가 Multi Tenant 환경으로 복수의 사용자가 동일 서버의 스 토리지 등의 환경을 공유하여 사용하고 있 이러한 클 라우드 환경에서 클라이언트로부터의 처리가 안전하게 그리고 정확하게 실행되고 있는 지를 확인하기 위해서는 컴플라이언스 차원에서 감사(Auditing)가 클라우드 컴퓨 팅 서비스 제공자에게 요구되어 질 수 있 이때, 외부 기관으로부터의 보안 감사가 진행될 때 해당 사용자의 데이터 등에 대한 감사만 이루어지고 다른 사용자의 데 이터에 대한 접근은 통제 하에 이루어질 수 있도록 해야 한 이를 효율적으로 제공할 수 있는 기술들이 현재 부족 한 실정이므로 암호 기술이나 접근 제어 기술 또는 threshold encryption 기술 등을 이용한 안전한 Auditing 기술이 이루어져야 한 -로그 관리 기술 클라우드 서비스나 클라우드 데이터 센터(서버)에 대 한 해커 등에 의한 부정 접근이나 내부자에 의한 정보 유 출 등의 사고 경위 파악이나 역추적 등을 위한 로그 기록 보존 및 관리가 필요하 또한 서비스 이용자와 제공자 사이의 분쟁 발생이나 컴플라이언스에 따른 대책으로 로 그 정보 등의 전자적 기록 보존이 일반적으로 요구되고 있 특히, 클라우드 컴퓨팅 환경에서의 로그 기록 관리는 클라우드 서비스 제공자가 서비스 이용자의 데이터, 특히 개인정보나 기업비밀정보 등을 볼 수 있으며 그 범위 또 한 방대하며 해킹 등에 의한 불법 접근에 대한 정보 또한 광대하여 클라우드 컴퓨팅 환경에 적합한 클라우드 포렌 식 기술이나 클라우드 컴퓨팅 로그 관리 기술이 별도로 필요하며 마련되어야 한 -강력한 인증 기술 클라우드 서비스 제공자 입장에서는 부당한 사용 방지 와 올바른 과금 관리를 위하여 사용자에 대한 정당성 여 부를 즉 권한을 가지고 있는 지를 확인하는 것이 중요하 또한, 사용자들이 서비스 마다 ID나 패스워드를 만들 1414

클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구 지 않아도 상호운용성이나 사용자 편리성을 고려하여 하 나의 ID로 서비스가 제공되는 환경이 필요하며 이를 위 한 ID 관리가 클라우드 환경에서는 필요하 클라우드 서비스 제공자 입장에서의 강력한 인증 및 효율적인 ID 관리 기술로 IAM에 대한 효율성과 안전성 이 보장되는 기술이 필요하 구체적인 인증 기술로는 SAML, XACML(eXtensible Access Control Markup Language), Open Authentication, Kerberos, Federated Identity(SSO)등이 필요하며 보다 적합한 기술들이 개발 되어야 할 것이 또한 클라우드 서비스 제공자 관점에서는 서비스 이용 자의 PC 등의 기기 인증 기능도 이루어져야 하며 서비스 이용자 관점에서 서비스 제공자의 기기 인증을 위해서 안전한 웹 사이트 이용 등의 기기 인증이 이루어져야 한 추가적으로 통합 인증 게이트웨이를 구축하여 다양한 클라우드 서비스 전개 형태에 적합하며 효율적인 인증 시스템이 제공되어야 한 5.3 관리적 보안 대책 클라우드 서비스 보안 대책에서도 기술적 보안 대책으 로 해결하기 어려운 여러 가지 보안상의 문제점들을 관 리적 보안 대책으로 마련해야 하는 경우가 많 관리적 보안 대책으로 고려할 수 있는 것들로 클라우드의 정보 보호관리체계 및 개인정보보호관리체계 인증, 클라우드 상호 운용 표준, 클라우드 데이터의 임치, 이용자 서버 선 택, 서버 접근 정보 공개 등이 있 클라우드 컴퓨터의 ISMS(Information Security Management System)와 PIMS(Personal Information Management System) 제도는 관리적 보안 대책의 대표적 인 것으로 클라우드 서비스 제공자 등 클라우드 서비스 전반적인 보안 수준을 높일 수 있는 것으로 기존의 ISMS 및 PIMS 제도가 클라우드 서비스에도 반드시 적용 운용 되어야 한 클라우드 서비스 제공자의 데이터, 파일, API 포맷 등 이 특정 서비스 제공자에게 종속되어 다른 클라우드 서 비스 제공자로의 이동 시나 다른 클라우드와의 상호 운 용 시 data lock-in 문제점이 발생하게 된 이러한 문제 점의 관리적 보안 대책으로 API나 데이터 포맷의 공통화, 표준화를 통한 클라우드 상호 운용 표준의 환경 구축이 필요하 클라우드 서비스의 업무 연속성 확보나 사고 복구 계 획에 대한 관리적 대책으로 백업 시스템의 구축이 구축 되어야 하며 백업 시스템의 복구 계획 및 성능에 대한 확 보가 이루어져야 한 복구 및 업무 연속성 확보 차원에 서 클라우드 임치 방안과 같은 관리적 보안 대책 또한 제 공되어야 한 클라우드 서비스 이용자의 서버 선택에 대한 것은 서 비스 이용자의 사용 서버가 어디에 있는 어떠한 것인지 에 정보를 제공하거나 또는 이용자로 하여금 사용 서버 를 선택하게 하는 등의 관리적 보안 대책이 필요하 또 한 서버에 대한 수사기관 등의 합법적인 접근에 대해서 도 해당 이용자에 대해 그러한 접근 정보를 제공해주는 것도 관리적 보안 대책 차원에서 필요한 것으로 판단된 6. 결론 본 논문에서는 클라우드 컴퓨팅 환경으로 인한, 시큐 리티를 포함한 여러 가지 주요 이슈들을 검토하여 보고 자 한 또한 시큐리티에 관한 문제들을 보다 구체적으 로 분석하고 클라우드 컴퓨팅에 관한 위협들을 식별하여 시큐리티 위험을 줄일 수 있는 대략적인 대응책들을 제 안하였 클라우드 컴퓨팅에서의 보안은 클라우드 컴퓨팅 산업 활성화 측면에서 아주 중요한 요소가 될 것으로 예상된 따라서 클라우드 컴퓨팅 서비스의 전개 및 활성화에 따라 보안상의 많은 문제가 발생할 것으로 예상되므로 향후에는 클라우드 컴퓨팅 환경에 보안 기술이 적용된 신뢰할 수 있는 클라우드 컴퓨팅이 보편화될 것이 클 라우드 컴퓨팅 서비스에 따른 구체적인 취약점과 공격에 대한 대책 연구를 계속할 예정이 참고문헌 [1] 민옥기, 김학영,남궁한, 클라우드 컴퓨팅 기술 동 향, 전자통신동향분석, 제24권, 제4호, 8월, 2009년. [2] 방송통신위원회, 행정안전부, 지식경제부, 범정부 클 라우드 컴퓨팅 활성화 종합 계획, 12월, 2009년. [3] 박춘식, 김형종, 김명주, 클라우드컴퓨팅 보안 동향, 정보통신산업진흥원 주간기술동향, 제1432호, pp.26-35, 2월, 2010년. [4] Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing V.2.1, Dec. 2009. [5] ENISA, Cloud computing Risk Assessment: Benefits, risks and recommendations for information security, http://www.enisa.europa.eu/, 11. 2009. [6] P. Mell and T. Grance, "The NIST Definition of Cloud Computing(Draft)", SP 800-145, 1월, 2011년. 1415

한국산학기술학회논문지 제12권 제3호, 2011 [7] J.Heiser and M. Nicolett, Assessing the Security Risks of Cloud Computing, Gartner, 6월, 2008. [8] IDC, "클라우드 컴퓨팅 활성화에 따른 이슈", IDC Enterprise Pannel, 8월, 2008. [9] Michael Armbrust, etc, Above the Clouds: A Berkeley View of Cloud Computing, http://www.eecs.berkeley.edu/pubs/techrpts/2009/ EECS-2009-28.html, 2월, 2009년. [10] 한국정보사회진흥원, 2009년 주요 IT 전략기술에 따른 보안 이슈 및 해결 방안, IT Issues Weekly 제 197호, 1월, 2009년. [11] http://wiki.cloudcommunity.org/wiki/cloudcomputing: Incidents_Database. 박 춘 식(Choon-Sik Park) [정회원] 1995년 3월 : 일본동경공업대학 교 전기전자공학과 (공학박사) 1982년 12월 ~ 1999년 12월 : 한국전자통신연구원 책임연구원 2000년 1월 ~ 2008년 12월 : 국 가보안기술연구소 책임연구원 2009년 3월 ~ 현재 : 서울여자 대학교 클라우드컴퓨팅연구센터 정보보호학과 교수 <관심분야> 개인정보보호, 클라우드컴퓨팅보안 1416