[보도자료] [클라우드보안] ③클라우드 보안시장 점화…업체별 각축전 시작됐다

클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드 발전법)이 오는 9월 본격적으로 시행된다. 하지만 아직 준비가 미흡하다. ‘보안’에 대한 우려가 여전히 남은 상황에서 이에 대한 구체적인 해결책은 나오지 않고 있기 때문이다. 이에 미디어잇은 클라우드 산업 발전을 위해 해결해야 할 과제인 '클라우드 보안'에 대해 점검해 본다. <편집자주>

[미디어잇 유진상] 클라우드 컴퓨팅은 최근 IT업계 최대 화두다. 특히 오는 9월 시행될 예정인 클라우드 발전법을 앞두고 있는 상황에서 여기에 거는 기대가 클 수밖에 없다. 하지만 여전히 ‘보안’에 대한 불안함이 숙제로 남아 있다. 이에 관련 업계는 다양한 클라우드 보안 서비스와 솔루션을 선보이면서 불안감 해소에 적극 나서고 있다.

포레스터리서치에 따르면, 전 세계 클라우드 보안산업 시장은 올해 150억 달러까지 성장할 것으로 보인다. 이미 미국 내에는 수백 개의 클라우드 보안 업체가 존재하고 있으며, 클라우드 보안 시장을 블루오션으로 생각하고 있는 안티 바이러스 업체들은 클라우드 보안업체로 탈바꿈하고 있는 추세다.

반면 국내의 클라우드 보안시장은 아직은 태동단계라는 것이 업계 전문가들의 평이다. 오는 9월 클라우드 발전법이 본격 시행될 예정인 가운데, 아직 구체적인 가이드라인은 제시되지 않고 있다.

다만 고무적인 것은 정부 차원의 종합적인 클라우드 보안 대책이 마련될 예정이다. 한국인터넷진흥원(KISA)에 따르면, 올해 보안 대책을 수립하고 이르면 내년 초 한국형 페드램드(K-FedRAMP)인 ‘클라우드 서비스 보안인증제도’도 마련된다.

클라우드 보안 쟁점사항은

그렇다면 클라우드 보안에 있어 무엇을 주의해야 할까. 우선 클라우드 서비스는 인터넷상의 가상 공간에 개인정보나 중요한 문서를 보관하고 이를 필요할 때 꺼내 쓰는 형식이다. 따라서 악의적인 목적으로 클라우드 서비스를 제공하는 자가 있다면 기존의 해킹보다 더욱 높은 보안 위험을 가질 수밖에 없다.

또 새로운 응용프로그램 개발을 통해 부가가치를 높여야 할 경우가 발생한다. 이에 기존코드를 변형하거나 합성하게 된다. 하지만 이로 인해 프로그램 복잡도는 증가할 수밖에 없다. 즉, 불안전한 인터페이스에 따른 보안 취약이 발생할 수밖에 없다.

내부 관계자에 의한 정보유출이 발생할 수도 있다. 이는 ‘사람’에 대한 보안문제로 사전에 미리 예방하지 않으면 속수무책으로 당할 수밖에 없다. 또 클라우드 환경의 구조적 운영 특성에 있어 데이터 유실이나 유출로 인한 위험이 있을 수 있으며, 자신의 계정이나 비밀번호를 해킹당하거나 피싱 또는 사기로 인해 유출되는 경우가 발생할 수 있다는 점이다.

이 외에도 클라우드 환경에서는 지금까지 알려지지 않은 수많은 보안위험 요소가 있을 수 있다. 전문가들은 “최신버전으로의 소프트웨어 업데이트를 진행하고 수시로 시스템 점검 등이 이루어지지 않으면 위험 발생 시 빠른 대응을 할 수 없다”고 입을 모은다.

다양한 솔루션 선보여…업계 각축전 시작됐다

이러한 위험에 대비하기 위해 보안업체들은 앞다퉈 다양한 솔루션을 시장에 선보이고 있다.

지란지교시큐리티는 내부관계자에 의한 정보유출과 이메일에 의한 APT 공격에 따른 해킹 차단에 집중하고 있다. 이메일 APT 선제 대응을 위한 스팸스나이퍼 APT에디션을 선보이고 있다. 또 지란지교소프트는 보안파일 서버인 ‘오피스 하드 클라우드’와 ‘다이렉트 박스’ 등을 통해 글로벌 클라우드 시장을 공략한다는 방침이다. 특히 오피스 하드 클라우드는 보안파일 서버로 KT 유클라우드와 제휴해 서비스를 제공하고 있다.

DRM 전문기업인 파수닷컴은 드롭박스(Dropbox), 구글드라이브(Google Drive), N드라이브 등 퍼블릭 클라우드 스토리지 서비스에 저장된 개인 콘텐츠를 보호할 수 있는 ‘폴더 크립터 포 드롭박스(Folder Cryptor for Dropbox)를 선보였다. 이 솔루션은 업로드 된 파일 자체를 암호화 해 저장하는 방식으로 파일이 유출되더라도 권한자 외에는 파일을 확인할 수 없다.

또 다른 DRM전문기업인 소프트캠프는 기업용 문서 DRM 솔루션 ‘T비즈 포인트 클라우드 DRM 서비스’를 출시했다. 이미 SK텔레콤 T비즈 포인트와 전략적 파트너십을 맺고 중소중견기업을 대상으로 영업을 강화하고 있다. 이 서비스는 내부의 중요 문서를 암호화하고 사용자나 부서별로 문서의 열람/편집/출력 등에 대해 사용 권한을 제한할 수 있으며, 중요 정보에 대한 체계적인 관리와 통제가 가능하다.

펜타시큐리티는 클라우드 웹 방화벽 와플V시리즈를 KT와 공동으로 개발 제공하고 있다. 와플V시리즈는 클라우드 기반의 웹 애플리케이션 보안 솔루션으로 현재 KT 유클라우드 비즈를 통해 시장에 공급 중이다.

파이오링크도 최근 빅데이터 기반의 클라우드 보안 서비스를 신사업으로 지목하고 이를 상품화할 계획이다. 레이어 2부터 7까지 모든 네트워크 계층에서 발생하는 보안 위협에 대응하고 다양한 보안 장비에서 수집한 로그와 악성코드를 분석해 정확하고 신속한 위협 탐지를 제공한다는 목표다. 이를 위해 시큐레이어의 빅데이터 기반 로그 분석과 세인트시큐리티의 클라우드 기반 멀웨어 탐지 기법을 적용했다. 특히 두 회사와의 긴밀한 보안 협력 관계 유지를 위해 투자도 진행했다.

글로벌 업체들도 적극 나서고 있다. 한국EMC는 올해 정보보안 사업을 확장하고 나섰다. 계정, 접근 관리부터 보안 애널리틱스, 웹위협탐지, GRC(거버넌스, 리스크, 컴플라이언스) 등을 기반으로 통합된 인텔리전스 중심 보안을 구축할 수 있도록 지원하겠다는 전략이다. 특히 인증·거버넌스·라이프사이클 기능을 통합 제공하면서 클라우드 환경까지 지원하는 ‘RSA 비아(Via)’ 를 비롯해 최근에는 RSA SA 10.5 버전을 선보였다. RSA SA는 인텔리전스 드리븐 시큐리티(Intelligence Driven Security)의 핵심 제품으로 네트워크 트래픽, 이벤트 로그, 엔드포인트 및 비즈니스 정보를 하나로 통합해 보안팀에게 IT 환경 전반에 대한 포괄적인 가시성을 제공하는 것이 특징이다.

시만텍은 클라우드 도입 유형에 따라 ▲클라우드 제품과 솔루션을 이용하는 형태(Consume Cloud Service) ▲퍼블릭 & 프라이빗 클라우드를 구축하는 형태(Build Cloud Services) ▲서드 파티 클라우드 서비스를 이용하는 형태(Extend into Cloud Services) 등으로 구분해 어떠한 클라우드 환경에서도 최상의 보안을 지원하겠다는 계획이다. 특히 해커들의 공격에 대비한 이메일 보안 솔루션 ‘시만텍 이메일 시큐리티 닷 클라우드(Symantec Email Security Cloud)’와 데이터 유출방지 솔루션 ‘시만텍 DLP14’ 등을 공급하고 있다.

유진상 기자 jinsang@it.co.kr

기사원본: http://www.it.co.kr/news/article.html?no=2804767