[김수연기자] 빅데이터 환경에서 저장되는 정보에 대한 비밀성을 어떻게 보장하고 클라우드 컴퓨팅의 컴플라이언스 이슈를 해결하며 LTE 환경에서 주목해야 할 정보보호 이슈에 대한 전문가들의 해답이 제시됐다.
18일 서울 삼성동 코엑스 콘퍼런스센터에서 개최된 정보통신망 정보보호 워크숍 '넷섹케이알(NETSEC-KR,Network Security-Korea, 이하 넷섹)'에서는 빅데이터, 클라우드, LTE 등 IT 환경 변화를 이끄는 기술과 관련한 정보보호 이슈가 집중적으로 다뤄졌다.
이날 발표자로 나선 전문가들은 IT 트렌드를 주도하는 핵심 요소들에 대해 "활용에만 관심을 가지지 말고 이들로 인해 발생할 수 있는 문제들을 점검해 보고 이에 대한 대응책을 마련해야 한다"고 입을 모았다.
◆ 빅데이터 환경에서 저장되는 정보, 비밀성 보장돼야
하루 2억5천만 건의 트윗을 처리하고 있는 트위터, 5억 건의 업데이트를 처리하는 페이스북, 10억 건의 쿼리를 처리하는 구글검색엔진 등 빅데이터 처리가 일상화된 요즘 IT 환경에서 발생 가능한 대표적인 정보보호 이슈는 '비밀성'이다.
서울여자대학교 정보보호학과 김형종 교수는 빅데이터 환경에서 발생하는 정보보호 이슈로 저장정보와 이동정보, 개인정보에 대한 '비밀성(Confidentiality)'과 소프트웨어 기술에 대한 '신뢰성'을 꼽았다.
김 교수는 "빅데이터 환경에서 저장된 정보의 비밀성을 지키기 위해 중요 정보를 반드시 암호화 해야 한다"고 말했다. 특히 "빅데이터 처리를 통해 생성된 새로운 정보를 저장할 때에는 별도의 키(Key)를 이용하도록 하는 등, 키 정보를 안전하게 관리하는 것이 중요한데, 현재는 빅데이터에 대한 활용방안에 대한 논의만 있지, 이에 대한 제대로된 프레임워크가 없는 상황"이라고 지적했다.
또한 김 교수는 "내 정보가 빅데이터 처리에 사용된다는 사실을 정보주체가 인지할 수 있도록 해야 하며, 개인의 정보에 대한 익명화가 제대로 이뤄져야 한다"고 밝혔다.
이와 함께 김 교수는 하둡의 빅데이터 처리 기술이 오픈소스에 기반하고 있는 만큼, 오픈 소스 코드의 취약점을 악용한 공격 등으로 인한 문제가 발생할 수 있다는 점도 간과해서는 안 된다고 강조했다.
◆ '인증 획득'으로 클라우드 컴플라이언스 이슈 대응
독립된 제3자로부터 국제적으로 통용되는 인증을 클라우드서비스 제공 사업자(CCSP)들이 획득, 컴플라이언스 이슈를 극복해야 한다는 주장도 나왔다.
윤석진 언스트앤영(Ernst&Young) 상무는 "현재 CCSP들은 클라우드서비스를 제공하기 위한 위한 기술적인 준비는 비교적 잘 하고 있다"며 "중요한 것은 컴플라이언스 리스크에 어떻게 대응하고 있는가 하는 것"이라고 말했다.
윤 상무는 가용성, 확장성, 성능·속도, 데이터 관리, 보안, 서비스 지속성, 서비스 지원 등 한국클라우드서비스협회(KCSA)가 제시한 '클라우드 컴퓨팅 컴플라이언스의 주요 요구사항'을 언급하며 클라우드서비스 인증을 획득하여 CCSP들이 이러한 요구에 효과적으로 대응할 수 있다고 강조했다.
실제로 언스트앤영이 52개 국가 1천683명을 대상으로 설문을 진행해, 지난해 말 발표한 조사 결과에 따르면, 올해 클라우드 컴퓨팅을 도입할 계획이 있다는 응답이 61%, 외부 인증이 클라우드서비스 신뢰성을 증가시칸다는 응답은 89%에 달했다. 왜 CCSP들이 인증 획득에 부지런을 떨어야 하는지를 말해주는 조사 결과다.
또한 클라우드서비스에 대한 대외신인도 제고뿐 아니라 클라우드 운영의 보안성·안정성 확보를 위한 내부기준을 마련한다는 차원에서도 인증 획득이 필요하다는 게 윤 상무의 설명이다.
현재 아마존웹서비스, 랙스페이스, 세일스포스닷컴, 구글, 마이크로소프트 등 대부분의 글로벌 CCSP들은 ISAE3402 등의 국제인증을 통해 객관적 신뢰성을 확보하기 위해 노력하고 있는 상황.
국내의 경우, 올해 초 KT가 '유클라우드'에 대해 국제감사인증기준위원회가 제정한 국제인증을 획득한 바 있다. 또한 KT, SK텔레콤 등은 방통위 산하 한국클라우드서비스협회가 부여하는 인증을 획득하기 위해 준비중이다.
◆ LTE 시대, 보안 고려한 네트워크 설계 '필수'
3G 대비 빠른 네트워크 속도로 주목받고 있는 롱텀에볼루션(LTE)에 대한 보안 이슈로는 네트워크 설계가 주목됐다.
SK텔레콤 홍관희 매니저는 사업자들이 LTE 환경에서 발생할 수 있는 새로운 보안이슈를 고려한 네트워크를 설계해, 각종 공격에 대비해야 한다고 강조했다.
그는 특히 LTE 인프라를 구축하는 핵심 장비들 모두 IP 기반으로 구동된다는 점과 2G, 3G, 와이파이, 와이브로 등 기존망과 호환된다는 점,3G 환경에 존재하는 기지국관리 장비(RNC)가 없다는 점 등 LTE만이 가진 특성 때문에 발생할 수 있는 보안 이슈에 주목해야 한다고 주장했다.
홍 매니저는 "LTE를 구성하는 핵심 장비는 단말에 대한 위치, 추적관리, 사용자 인증 등을 담당하는 MME, WCDMA, GSM 등의 망을 연동하는 서빙게이트웨이, 사용자 단말에 IP 주소를 할당하는 PDN 게이트웨이"라며 "장비들이 각각 IP를 보유하고 있다 니 보안이 잘 안 돼 있으면 악의적 목적을 가진 이들이 외부 인터넷을 통해 이 장비들에 접속을 하게 된다"고 설명했다.
특히 이러한 장비들은 대용량 고객 데이터들을 담고 있기 때문에 하나의 장비에만 문제가 생겨도 그 여파가 상당하다는 지적이다.
그는 또한 다른 망과 연동하는 과정에서 발생할 수 있는 공격들, 기지국관리 장비(RNC)가 없다는 점을 악용한 공격들이 발생할 수 있다는 것을 감안해, 네트워크를 설계해야 한다는 점도 강조했다.
홍 매니저는 "3G에서는 RNC가 이동통신회사 내에 있는데, LTE에서는 RNC의 기능을 기지국이 대부분을 수용하기 때문에, 기지국이 공격당하면 심각한 서비스 장애가 일으날 수 있다"고 밝혔다.
이밖에 이동통신사업자들은 디도스 공격을 통한 서비스 공격과 단말에 대한 웜·바이러스 등 악성코드 감염 공격,LTE 단말 프로토콜, 애플리케이션 취약점 등을 이용한 공격,과금 시스템 공격 등을 차단할 수 있는 방안을 마련해야 한다고 홍 매니저는 강조했다.
"무엇보다 사용자들은 LTE가 주는 편의성만 보고 서비스를 가입할 게 아니라 이동통신사들이 고객을 보호하기 위해 얼마나 다양한 보안 조치를 취하고 있는지 따져볼 필요가 있다"고 그는 당부했다.
김수연기자 newsyouth@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기