Tech story/Security

KT Cloud는 어떻게 보호되는가? #3

Cloud보안 2020. 12. 28. 10:01

 

 

지난 글에서 클라우드의 물리보안과 인프라(하드웨어)의 보안을 설명드렸습니다. 지금부터는 본격적으로 정보보호의 영역을 말씀드리고자 합니다. 정보보호에서 가장 먼저 고려되는 요소는 네트워크입니다. 마치 전쟁에서 지도를 펼쳐놓고 전투의 흐름을 보듯, 시스템 간 네트워크 흐름을 보고 보안의 위협을 효과적으로 차단할 수 있기 때문입니다.

 

네트워크 경계 보안과, 경계없는 클라우드

전통적인 기업 IT 환경에서는 네트워크의 경계를 기준으로 보안 대책을 세웁니다. 인터넷(사외망)과 인트라넷(사내망)을 나누고, 사외망과 사내망을 모래시계처럼 구성하는 것이죠. 사외망과 사내망간의 모든 통신이 거쳐가는 구간을 네트워크의 경계라고 하고, 네트워크 경계에는 방화벽, IPS 등의 네트워크 보안 시스템을 구성합니다.

 

이러한 체계는 수많은 보안시스템을 개별 서버에 설치하기 어렵고, 사람이 모니터링하는 영역을 최소화하기 위해 만들어져 졌습니다. 특히, 사내망은 대개 하나의 건물에 위치하기에 물리적인 집선을 통해 쉽게 경계를 만들 수 있는 것입니다.

그런데, 클라우드 환경에서는 네트워크의 경계가 사라지는 문제가 발생합니다. 클라우드 시스템은 여러고객이 사용하고, 클라우드 서비스 제공자(이하 CSP)의 관리자도 존재합니다. 사용자의 입장에서는, 내 서버가 믿을 수 없는 곳에 존재하는 것입니다. 이러한 문제를 해결하기 위해 클라우드 사업자는 다양한 네트워크 분리 정책을 가져가게 됩니다.

 

 

네트워크 분리

먼저, CSP의 네트워크와 사용자의 네트워크를 분리합니다. CSP가 사용자의 시스템에 접근하지 못하도록 하고, CSP가 운영하는 관리시스템을 외부에 노출시키지 않아 클라우드의 안정성을 높이는 것이죠. 이를 통해, 사용자가 관리할 네트워크 영역과 CSP가 책임질 영역을 분리하게 됩니다.

 

두번째로는, 사용자간 네트워크를 분리합니다. 클라우드 사용자 간에 통신을 시도할 경우, 마치 인터넷에서 접근하는 것 처럼 하여, 클라우드 내부에 사용자의 사내망을 제공해 줍니다. 이를 위해, 물리적으로 연결되어 있는 시스템들을 논리적으로 고객별로 재정리해주는 다양한 기술이 사용됩니다.

 

세번째로는, 특정 사용자 내부의 네트워크를 다시 분리할 수 있게 합니다. 이로써, 사용자는 내부의 시스템들을 보다 안정적으로 운영할 수 있게 됩니다.

이러한 네트워크 분리를 통해, 각 클라우드 사용자는 기존과 비슷한 네트워크 환경을 사용할 수 있게 됩니다. (물론, 네트워크 인프라는 관리할 필요가 없겠죠.)

 

 

CSP의 네트워크 보안

CSP의 시스템은 어떻게 보호될까요? 고객사의 개인정보는 CSP 시스템 내에서 한번 더 분리되어 별도로 관리됩니다. 개인정보는 인터넷과 통신이 단절된 가상환경을 통해서만 접속할 수 있습니다.

그 밖의 시스템들은, 외부의 침입을 방지하기 위해 IPS, 방화벽 등을 거쳐 통신하게 됩니다. 이러한 체계는 ISMS 인증을 통해 증명됩니다. (물론 KT Cloud도 취득하였고요.).

KT Cloud는 갈수록 진화하는 공격들을 막기 위해, 인증에서 요구하는 솔루션 외에도 Sandbox, APT분석 등 다양한 보안 시스템을 갖고 있습니다.

 

CSP는 사용자가 스스로 네트워크를 방어할 수 있도록 환경을 제공해 줍니다. 모든 KT Cloud 서비스의 경우, 고객사의 네트워크 가용성을 보장하기 위해 DDoS 방어 시스템이 탑재됩니다. DDoS 방어 시스템은 특정 고객사를 타켓팅한 DDoS 공격으로 부터, 나머지 고객사의 가용성을 보장하고 있습니다. 단, DDoS 방어 시스템을 이용해 모든 고객에 대해 알려진 DDoS 공격에 대해 자동화된 방어를 수행하게 됩니다.

 

24시간 관제를 통한 고객사의 DDoS 방어를 제공하는 Clean-zone 서비스, IPS와 방화벽을 이용할 수 있는 Enterprise Security 및 Enterprise Cloud 서비스, 사용자를 대신해서 네트워크 보안 시스템을 관제할 수 있는 매니지드 보안관제 서비스 등 고객사의 네트워크 보호를 위해 다양한 부가 서비스를 제공하고 있습니다.

 

결국, CSP가 제공하고 있는 클라우드 시스템 전체에 대한 보호와 함께, 각 사용자가 부가 서비스를 이용한다면 클라우드에서도 시스템을 안전하게 만들 수 있는 것입니다.

 

 

관련글