1. 클라우드 컴퓨팅 보안 이슈
극복을 위한 제언
한국전자통신연구원
은성경
2011.09.01

2. 클라우드 컴퓨팅 - 정의
■ 프로그램이나 데이터를 가상 데이터센터에 분산 처리하고, 이 데이터
를 PC나 휴대폰 등 다양한 단말기로 접속해 장소에 구애받지 않고 원
하는 전산 작업을 수행할 수 있는 환경 - TTA용어사전
■ 인터넷 기술을 활용하여 다수의 고객들에게 높은 수준의 확장성을 가
진 IT 자원들을 '서비스'로 제공하는 컴퓨팅 - Gartner
■ Internet-based ("cloud") development and use of computer
technology ("computing"). - Wikipedia
■ A model for enabling convenient, on-demand network access to a s
hared pool of configurable computing resources (e.g., networks, ser
vers, storage, applications, and services) that can be rapidly provisio
ned and released with minimal management effort or service provid
er interaction. - NIST
■ CLOUD: Common, Location-independent, Online Utility provisioned
on-Demand - AT&T vice president of solutions sales
2

3. 클라우드 컴퓨팅 - 특성 및 모델
■ Cloud Computing - NIST
• Essential Characteristics
» On-demand self-service
» Broad network access
» Resource pooling
» Rapid elasticity
» Measured Service
• Service Models
» Cloud Softare as a Service (SaaS)
» Cloud Platform as a Service (PaaS) SaaS (Software as a Service)
- Provide App SW (Enterpise/Personal SW)
» Cloud Infrastructure as a Service (IaaS) (Ex) Salesforce.com CRM
• Deployment Models PaaS (Platform as a Service)
» Private cloud - Provide SW development env. (Language etc)
(Ex) Google App Engine
» Community cloud
IaaS (Infrastructure as a Service)
» Public cloud - HW Resources (CPU, disk, etc)
» Hybrid cloud (Ex) Amazon Simple Storage Service
케이블
지상파
IPv6 WLAN
BCN Cellular
위성
Wired Network Broadcast Network Wireless Network
3

4. 클라우드 컴퓨팅 - 이유
■ Problem in IT
• 70c per 1$ used for maintenance
• 85% idle time
Resource
Waste Resource
Utilization
Utilization Waste
Time Time
4

5. 클라우드 컴퓨팅 - 기술 위치
5

6. 보안 이슈
■ IDC recently conducted a survey of 244 IT executives/CIOs and
their line-of-business (LOB) colleagues about their companies' use
of, and views about, IT Cloud Services.
6

7. 보안 이슈 - 사례
7

8. 보안 이슈 - 사례
■ Vulnerability = 71, Hack = 21
8

9. 보안 이슈
http://www.cloudsecurityalliance.org 9

10. 보안 이슈
http://www.cloudsecurityalliance.org
10

11. 보안 이슈
출처: Forrester Research, 2009 11

12. 보안 이슈
■ Gartner
• Priviledged User Access
• Compliance
• Data Location
• Data Segregation
• Availability
• Recovery
• Investigative Support
• Viability
12

13. 보안 사례
13

14. 보안 사례 - 인증
출처: fmg2001@flickr
14

15. 보안 사례 - 물리 보안
출처: mbrand@flickr
15

16. 보안 사례 - 백업
출처: godog@flickr
16

17. 보안 사례 - 서버 보안
출처: changpp@flickr
17

18. 보안 사례 - 스토리지 보안
출처: ju5t1n@flickr
18

19. 보안 표준 - CSA
http://www.cloudsecurityalliance.org
19

20. 보안 표준 - CSA
http://www.cloudsecurityalliance.org
20

21. 보안 표준 - NIST
http://csrc.nist.gov/publications/drafts/800-
144/Draft-SP-800-144_cloud-computing.pdf
21

22. 보안 표준 - ENISA
http://www.enisa.europa.eu
22

23. 보안 표준 - ITU
■ FGCC (Focus Group on Cloud Computing, '10.5~)
• WG1 WA 1-3 Cloud Security
• Cloud Computing Security (Draft)
» Threats
» Security Requirements
– For Cloud Users, Cloud Service Providers
» Study Subjects
■ SG17 Security
• Work items for cloud computing security
» Security guideline for cloud computing in telecommunication area
(X.ccsec)
» Security requirements and framework of cloud based
telecommunication service environment (X.srfcts)
» Security functional requirements for Software as a Service (SaaS)
application environment (X.sfcse)
» Requirement of idM in cloud computing (X.idmcc)
23

24. 보안 표준 - ISO/IEC JTC1
■ SC38 Distributed Application Platforms and Services
• SG1. Study Group on Cloud Computing
» No security activities
■ SC27 IT Security Techniques
• Study Period on Cloud Computing Security and Privacy ('10.10 ~ '11.3)
• NP for WG1 project (ISO/IEC 27017-2)
24
출처: ISO/IEC JTC1 SC27

25. 보안 표준 - KISA
■ 2011 발간 예정
25

26. 보안 - 할일
26

27. 클라우드 보안 이슈
Apps/API/Platform
Storage/DBMS/Map
Server/VM/OS
Network
OS/Browser
/Platform
AV/Book/Web
Video/Audio/Photo Finance
Docs/CRM/ERP
Simulation
27

28. 클라우드 보안 이슈
출처: purpleslog@flickr
28

29. 클라우드 보안 이슈
29

30. 클라우드 보안 이슈
출처: yewenyi@flickr
30

31. 클라우드 보안 이슈
개인고객
기업고객
출처: Merrill Lynch, 2008
출처: 한국소프트웨어진흥원, 2008
31

32. 클라우드 보안 이슈 - 개인
출처: vision63@flickr
32

33. 클라우드 보안 이슈 - 개인
출처: WadeFromOklahoma@flickr 33

34. 클라우드 보안 이슈 - 개인
출처: nh7a@flickr
34

35. 클라우드 보안 이슈 - 기업
출처: DavidRoessli@flickr
35

36. 클라우드 보안 이슈 - 기업
출처: Fricke_K@flickr
36

37. 클라우드 보안 이슈 - 기업
출처: knittinging@flickr
37

38. 클라우드 보안 이슈 - 기업
출처: BekahStargazing@flickr
38

39. 클라우드 보안 이슈 - 기업
출처: SarahSerendipity@flickr
39

40. 클라우드 보안 이슈
출처: RooReynolds@flickr
40

41. 클라우드 보안 = 통제권
■ Need to Know What
• Data Classification
■ Need to Know Where
• Location of Data
• Existence
• Sure Erase
■ Need to Know How
• Encryption
• Mointering
• Integrity Checking
• Migration
41

42. 클라우드 보안 - 필요 기술
■ Standard for All
• Security Model (Public, Private)
• Inter-cloud Security
■ Privacy for Individual
• Secure Erase
• Usage Pattern Hiding
• Privacy Enhancing Cryptography
• Security Protocol for Data Existence, Integrity & Less-encryption
■ Compliance for Enterprise
• Security Monitoring & Audit
• Firewall & DDoS Mitigation
• De-duplication aware Encryption
42

43. 클라우드 보안 - 방향
■ 클라우드 컴퓨팅 환경 보호
Cloud 2
Inter-cloud 보안, 호환성
응용보안/사용자인증/
결재
Overflow Load
물리보안
SLA보장
Certification
OS/Hypervisor 보안
네트워크 보안
Cloud 1
스토리지 보안
단말 보안
43

44. 클라우드 보안 - 방향
■ 클라우드 컴퓨팅 환경 보호
• OS/Hypervisor 보안 예
http://www.vmware.com/technical-resources/security/vmsafe.html
44

45. 클라우드 보안 - 방향
■ 기존 보안 제품의 클라우드화
• Anti-virus, Firewall, IDP/IPS, DDoS, Data Loss
Prevention, E-discovery, …
NexR's Terapot : Email Archiving & E-discovery using Cloud Computing
http://www.nexr.co.kr/products/terapot/
45

46. 클라우드 보안 - 방향
■ Security as a Service
• 클라우드 컴퓨팅을 이용하여 보다 나은 보안 서비스 제
공
안연구소 Smart Defense : 바이러스 검색을 개별PC가 아닌 보안센터에서 수행
(No signature file download)
http://home.ahnlab.com
46

47. 클라우드 보안 - 방향
■ 보안을 차별화 전략으로
• 보안 기능을 강점으로 클라우드 컴퓨팅 시장 진출
47

48. 감사합니다.
은성경
책임연구원
한국전자통신연구원 암호기술연구팀
skun (at) etriㆍreㆍkr
48