클라우드 서비스 모델 , 서비스 보안위협

① 서비스 제공 자원에 따른 모델 구분

• 클라우드 서비스는 제공하는 자원의 레벨에 따라 세가지 모델로 분류한다 

 

• 클라우드 서비스는 자원 활용의 효율성 증대 및 자원 할당 간편화를 위하여 하이퍼바이저*를 사용하고, 모든 자원을 소프트웨어 기반으로 가상화하여 제공함 - 클라우드 서비스의 자원은 논리적으로는 독립적이지만 물리적으로는 동일한 자원을 공유함 
• 클라우드 서비스는 서비스를 구성하는 요소와 방법에 따라 가상화, 정보 위탁, 자원 공유, 단말기의 다 양성이라는 특징이 있으며, 이런 특성에 기인한 보안위협이 발생할 수 있음 

 

 가상화 취약점 상속 

클라우드 서비스는 시스템 자원을 통합, 재분배하여 제공하는 인프라 계층의 특징으로 인해 가상화 시 스템의 취약점을 상속함. 따라서 악성코드감염 서비스장애 등 신규 취약성에 노출될 가능성 높음 - 하이퍼바이저를 사용해 동시에 복수의 가상머신을 구동하므로, 하이퍼바이저가 악성코드에 감염될 경우 동일 하이퍼바이저 상의 가상머신들이 악성코드 감염 및 감염확산의 경로가 됨 - 가상머신의 응용프로그램에 해킹 툴이 포함될 경우, 다른 가상머신과 하이퍼바이저에 대한 공격 가능 - 가상머신은 상황에 따라 물리자원이 동적으로 할당되므로 데이터의 물리적인 위치를 보증하지 않음 - 클라우드 서비스의 가상화를 위해 Xen, Vmware,   RHEV, VMM 등 가상화 기능을 지원하는 하이퍼   바이저가 적용되며, 이들의 보안 취약성을 클라   우드 서비스가 상속함. 
5

 

② 정보위탁에 따른 정보유출 

• 클라우드 서비스는 이용자의 정보를 모두 원격의 클라우드 서버에 제공하고, 그 관리 또한 서비스 제공 자가 담당하기 때문에 내부자 또는 악의적인 이용자에 의해 유출될 가능성이 있음 - 서버 내 다른 이용자가 타인의 정보를 몰래 복사, 이동, 수정해도 본래 이용자는 알 수 없음 - 이용자 정보관리를 서비스 제공자가 담당하기 때문에 내부자에 의해 정보 유출 가능성이 있음 - 정보의 소유(이용자)와 관리(서비스 제공자)가 분리되어, 정보 유출 및 손실 시 책임 소재가 불분명함 - 시스템에 대한 패치는 서비스 제공자에 의해서만 가능하며, 이용자가 직접 패치를 수행할 수 없음 

 

③ 자원공유 및 집중화에 따른 서비스 장애

• 클라우드 서비스의 이용자들은 물리 자원들을 공유하므로, 물리자원에 장애가 생길 경우 해당 자원을 공유하는 모든 사용자의 서비스가 중단될 수 있음 - DDoS 등의 서비스 가용성 침해 공격 및 관리상의 오류 등으로 서비스 장애 발생시, 서비스 제공자의 복구조치가 있기 전에는 서비스 사용 불가능 

 

④ 사용단말의 다양화에 따른 정보유출 

• PC, 스마트폰, 스마트TV 등 다양한 형태의 단말 접속을 허용하기 때문에 개별 단말이 갖는 보안위협이 클라우드 서비스에 상속됨 - 스마트폰과 같은 모바일 기기 분실 시 이용자 정보유출이 가능 - 공공 WiFi 등 보안성이 떨어지는 접속 환경에서는 도청, 중간자 공격 등 다양한 정보유출 위협 존재 

 

⑤ 법규 및 규제의 문제 

• 정보의 소유와 관리 주체 분리, 서버의 분산배치 등 다양한 환경적 특성으로 기존 법규와 규제 적용 시 문제가 발생할 수 있음 - 국외 서버 이용 시, 서버위치에 따라 국내 법규 및 규제적용 어려울 수 있음 - 가상 머신이 자원을 동적으로 재배치하기 때문에 보안 법규 적용 검토를 위한 감사 중적의 문제 발생 - 보안성 평가 및 보안감사 항목에 클라우드 관련 항목이 없어, 마땅한 보안점검 및 규제 방안이 없음