보안/개념

클라우드 컴퓨팅의 보안 문제 총정리

수달정보보호 2024. 1. 21. 14:01

1. 클라우드 컴퓨팅의 개념

클라우드 컴퓨팅은 데이터를 서버나 로컬 드라이브에 저장하는 대신, 인터넷에서 원격 서비스를 제공하여 데이터를 관리, 액세스 및 저장하는 기술 유형이다. 이 기술은 그래서 서버리스 기술이라고도 불리곤 한다. 여기서 데이터라고 하는 것은 이미지, 오디오, 비디오, 문서, 파일 등 무엇이든 될 수 있을 것이다.

 

2. 클라우드 컴퓨팅의 필요성

클라우드 컴퓨팅을 사용하기 전, 대다수의 IT 기업들은 서버에 데이터를 저장하고 이를 위한 별도의 서버룸이 필요한 전통적인 방식을 사용했다. 그 서버룸에는 데이터베이스 서버, 메일 서버, 방화벽, 라우터, 모뎀, 고속 인터넷 장치 등이 있어야 했다. 이를 위해 IT 기업은 많은 돈을 지출해야 했다. 그러다 비용 문제를 모두 줄이기 위해 클라우드 컴퓨팅이 등장하고 대부분의 기업이 이 기술로 전환하게 된 것이다.

 

3. 클라우드 컴퓨팅의 보안 문제

① 데이터 손실  
데이터 손실은 클라우드 컴퓨팅에서 직면한 문제 중 하나이다. 이를 데이터 유출(DLP)이라고도 한다. 클라우드에서 우리의 민감한 데이터는 다른 사람의 손에 있고, 그렇기에 결국 우리는 데이터베이스를 완전히 통제할 수 없다는 것을 알고 있다. 따라서 클라우드 서비스의 보안이 공격자에 의해 무너지면, 공격자가가 민감한 데이터나 개인 파일에 액세스할 가능성이 있다. 클라우드에 속한 모든 개인이기 때문에 각자 개인이 할 수 있는 것에는 한계가 있다.
 
② 공격자의 간섭 및 안전하지 않은 API
우리 모두가 알고 있듯, 클라우드와 해당 서비스에 대해 이야기하고 있다는 것은 결국 인터넷에 대해 이야기하고 있다는 의미가 된다. 또한, 클라우드와 통신하는 가장 쉬운 방법은 API를 사용하는 것임을 알고 있다. 따라서 외부 사용자가 사용하는 인터페이스와 API를 보호하는 것이 중요하다. 그러나 클라우드 컴퓨팅에서도 일부 제3자가 이러한 서비스에 액세스할 가능성이 있기 때문에 클라우드 컴퓨팅의 취약한 부분인 공개 도메인에서 사용할 수 있는 서비스가 거의 없게 된다. 따라서 이러한 서비스의 도움으로 공격자가 쉽게 데이터를 해킹하거나 손상시킬 수 있을 것이다.
 
③ 사용자 계정 하이재킹
계정 하이재킹은 클라우드 컴퓨팅에서 가장 심각한 보안 문제라고 할 수 있다. 어떤 이유로든 사용자 또는 조직의 계정이 공격자에 의해 하이재킹된 경우 공격자는 무단 활동을 수행할 수 있는 모든 권한을 갖을 것이다. 거기서 부터 피해가 시작되는 것이다.
 
④ 서비스 제공업체 변경
공급업체 변경도 클라우드 컴퓨팅에서 중요한 보안 문제일 것이다. 많은 조직은 한 공급업체에서 다른 공급업체로 전환하는 동안 다양한 문제에 직면하게 된다. 예를 들어, 어떤 조직이 AWS Cloud에서 Google Cloud Services로 전환하려고 할 때 모든 데이터 이동과 같은 다양한 문제에 직면하게 되며, 두 클라우드 서비스 모두 기술과 기능이 다르기 때문에 그에 대한 문제도 마주할 것이다. 물론 요금이 상이하다는 문제도 발생하고 말이다. 과장하자면 서울에서 부산으로 이사하는 것과 서울에서 홋카이도로 이사하는 것은 분명 다른 개념인 그런 느낌이랄까. 하나부터 열까지 따져야 할 것이 너무 많다.
 
⑤ 기술부족
업무 중 다른 서비스 제공업체로 변경하거나, 추가 기능이 필요하다거나, 기능을 사용하는 방법 등은 그것에 숙련된 담당자가 없을 경우 큰 문제가 된다. 따라서 클라우드 컴퓨팅을 다루려면 숙련된 담당자가 필요하다.
 
⑥ 서비스 거부(DoS) 공격
이 유형의 공격은 시스템이 너무 많은 트래픽을 수신할 때 발생한다. 대부분 DoS 공격은 은행, 정부 등 대규모 조직에서 발생하기야 한다. 그러나 그렇다 하더라도, DoS 공격은 데이터를 손실시킨다는 큰 위험을 갖고 있다. 공격을 당한 이후 데이터를 복구하려면 막대한 비용과 처리 시간이 필요하게 될 것이다. 작은 조직이라고 해서 안심하지 말고, DoS에 대해 주의를 기울여야 한다.

 

728x90