클라우드 컴퓨팅 개념

금융보안원 교육센터에서 클라우드 기술에 대한 강의를 듣게되었다.
의무적으로 듣는거지만 정리해두면 도움이 될거라 생각하여 정리한다.
클라우드 기술
우리사회는 스마트폰으로 어디에서나 금융서비스를 이용할수 있게되었다.
이러한 서비스가 가능해진 이유는 금융클라우드의 도입덕분이다.
클라우드에 대한 기업들의 관심이 높아지고 있지만
기술발달에 따른 보안의 중요성도 증가하고있다.
교육은 다음의 4가지를 학습목표로 삼고 진행되었다.
클라우드 서비스의 기본요소와 특징
클라우드 서비스 유형 구분
클라우드 서비스의 장점과 정보보호 관점의 문제점
클라우드 서비스 사용 시 유의사항

1.클라우드 컴퓨팅과 클라우드 서비스

클라우드 컴퓨팅 : 필요시 편리하게 컴퓨팅 자원에 접근해 데이터를 처리, 연산할수있도록
네트워크, 서버, 스토리지, 애플리케이션을 연결해놓은 컴퓨팅 제공방식

즉, 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는기술을 의미

가상화기술 : 하나의 서버를 여러대처럼 또는 여러대의 서버를 하나로.
분산처리 : 방대한 작업을 여러 서버에 분산처리 함
클라우드 컴퓨팅은 가상화기술과 분산처리를 통해 컴퓨팅 자원 사용성 최적화, 시스템 과부하를 최소화하는 특징을 지닌다.

또한, 하나의 소프트웨어를 여러 사용자가 함께 사용하는 공유서비스(멀티태넌시)가 가능하다.
멀티태넌시 : 다중소유가능을 뜻하며 클라우드의 중요 속성 중 하나다.

클라우드 컴퓨팅의 시작은
구글에서 컴퓨터자원이 100% 사용안되고 남겨진 영역을
다른용도로 사용하자는 아이디어를 제안하면서 시작되었다.

인터넷의 도입으로 개인용 컴퓨팅환경에서 서버 클라이언트환경 조성이 가능해졌고
광대역 고성능 네트워크의 도입으로 서버 클라이언트환경에서 클라우드 컴퓨팅환경 조성이 가능해짐

클라우드 서비스의 분류

클라우드 서비스 : 클라우드 컴퓨팅을 이용해 제공되는 서비스
IaaS(Infra as a Service) : 가상화된 IT인프라 제공
PaaS(Platform as a Service) : 인프라 위에 개발도구 등 플랫폼까지 제공
SaaS(Software as a Service) : 플랫폼 위에 소프트웨어까지 제공

SaaS는 가장 친숙한 서비스 : 웹하드 서비스.
ex) 구글드라이브, 드롭박스, N드라이브, iCloud 서비스 등등

IaaS : 기존 데이터센터가 제공하는 서비스
주요 IaaS 서비스 제공 회사 : AWS, MS, IBM, KT, LG U+ 등

PaaS : 소프트웨어 서비스를 개발할때 필요한 플랫폼 제공 서비스
(사용자가 PaaS에서 필요한 서비스를 선택해 애플리케이션 개발이 가능함)
(PaaS 운영업체는 개발자가 소프트웨어를 개발할때 필요한 개발 도구, 환경 제공)
주요 PaaS 서비스 : Google App Engine 등

클라우드 컴퓨팅을 적용한 서비스 사례
카카오내비, 구글드라이브, 폴라리스오피스, AWS

배포방식

누가 어떻게 구축하여 서비스하느냐에 따라 공용, 사설, 하이브리드로 나뉨.
공용 클라우드 : 외부의 클라우드컴퓨팅사업자가 HW와 SW 및 기타 IT 자원을 소유하고 서비스 제공
사설 클라우드 : 개별기업이 자체데이터센터내에서 클라우드 컴퓨팅환경구축
하이브리드 클라우드 : 기업의 핵심 시스템은 내부에 두고 외부의 클라우드 활용 (공용+사설)

2. 클라우드 서비스의 장점

내부에 데이터센터를 구축하고 다양한 시스템과 애플리케이션을 직접 운영하는 기업들은
서버의 부하를 처리할만큼 용량을 확보못해 발생하는장애,
새로운 물리서버 확보비용,
신규 시스템 구축 및 적용의 어려움 등에 대한 고민이 크다.
-> 유휴자원을 어떻게 사용할건가 에서 고안된만큼 클라우드 서비스는
IT자원에 대한 기업의 어려움을 해결하는데 도움

즉, 클라우드 서비스의 가장 큰 장점은 다음의 4가지라 할 수 있다.
비용절감 : HW, SW 구매에서부터 유지및관리의 필요성없음
생산성향상 : 인터넷만 연결되면 언제,어디서나 다양한 기기통해 업무가능
효율성 증가 : IT자원의 수요 변화에 탄력적 대응이 가능하며 필요한 만큼만의 자원 활용이 가능
보안측면 : 개별 보안솔루션 구매하는것 보다 보안서비스 제공하는 클라우드 서비스이용이 더 경제적.

클라우드서비스를 이용하는 사람

온라인게임, 쇼핑몰은 클라우드 컴퓨팅이 큰비중을 차지
초기 인프라투자에대한 리스크가 매우크므로
수요와 이용규모에 따라 시스템구축이 가능한 클라우드 서비스가 효과적.
또한,
특정시간대에 접속자가 많아지는 일회성 서비스나 이벤트 서비스가 많은
예약 사이트도 클라우드 서비스가 효과적

클라우드 서비스는 이러한 이유로 4차산업혁명의 기초인프라로 주목받고있다.
중소기업이나 스타트업이
빅데이터 수집, 저장, 분석을 위한 방대한 자원과
인공지능 개발을 위한 슈퍼컴퓨터를 개별기업이 별도로 구입하는것은 비현실적.

금융회사도
리스크시뮬레이션등과같은 분야(방대한 데이터처리하는 일시적 순간만 많은 자원필요)
비정기적 트래픽이 실시간발생, 챗봇같은 비대면거래증가
대규모트래픽유입
등을 대비하기 위해서 클라우드컴퓨팅서비스를 활용하려 하고있다.

보험사역시
2021년부터 적용되는 IFRS17에 필요한 고성능연산능력에 비용부담줄이기 위해 클라우드 사용.

핀테크기업은
금융회사가 클라우드 인프라를 제공해 클라우드내에서 안전하고 손쉽게 개발에 집중가능

이처럼 클라우드 기술은
단순한 트렌드가아닌 기본적인 IT인프라가 될것이다.

지금은 SaaS가 가장 큰 비중을 차지하지만
IaaS, PaaS가 2021년 이후엔 세계 클라우드시장을 주도할것으로 예상

국내는 SaaS가 주도할것으로 예상됨.
국내는 세계에 비교해 기술수준, 활용비중이 낮다는 평가를받고있다.
이에 법률이 제정되어 시행됨에따라
금융을 포함한 모든산업분야에서 관심이 높아지고있음

3. 클라우드보안사고사례

단점보다는 장점이 훨씬 커보이지만
사이버 공격피해의 대상이 되고있어 다양한사고가 발생했었음.

MS는 클라우드 서비스 구성상의 오류로
인증되지않은 클라우드 서비스 사용자가
오프라인 주소록의 직원연락처정보에 액세스하였다. -> 클라우드 사고 시초

애플iCloud 콘텐츠 유출 : 유명인의 개인사진이 온라인으로 유출됨
초기에는 누군가 폰을 해킹해 앨범을 한줄알았으나
확인결과 개인스토리지에 사용한 iCloud서비스에서 피해발생
-> 비밀번호 복잡하게 설정하도록 하고 이상함인지시 알림가도록 개발.

dropbox 이용자 계정유출 : 사용자계정에 저장된 특정파일이 이유없이 삭제되는 버그발생
서버문제로 서비스 제공에 장애발생 -> 파일 동기화 에러발생
-> 회사는 버그라했으나 4년후 해커가 고객 계정도용해서 해킹인걸로 밝혀짐

AWS 서울리전 DNS장애 : 원인알수없는 장애로
국내 다양한 온라인기반 서비스들의 장애
-> 아마존DNS서버 설정오류로 인해 서비스 중단


위의 사례로 알 수 있는 클라우드보안위협은 다음 3가지다.
정보유출사고는 계정도용사고와 밀접한관계맺음
정보유출사고 발생 시 대규모사고로이어짐
연관된 다양한 기업의 서비스장애로 이어짐

CSA(Cloud Security Aliance)의 연구조사결과
12개 보안이슈 발표
1. 데이터유출 : APT공격과 같은 표적공격의 주요목표
2. 불충분한신원/자격증명및액세스관리 : 아이디,자격증명, 키관리 등이 충분하지 않아 무단 액세스 가능
3. 안전하지 않은 인터페이스 및 API : 클라우드 공급자는 고객이 클라우드서비스를관리하고 상호작용하는데 사용하는 swui또는 api제공
4. 시스템취약성 : 하나의 소프트웨어를 여러사용자가 함께 사용할수있어 사이버공격에 취약할수있음
5. 계정도용 : 기밀성, 무결성 및 가용성을 손상시킬수있음
6. 악의적인내부자 : 잠재적으로 민감한 정보에 접근가능
7. APT공격 : 데이터센터 네트워크를 통해 측면으로 이동해 기업네트워크에 침투하는수단으로 악용될수있음
8. 데이터손실
9. 불충분한서비스실사 : 실사수행않고 클라우드채택해 공급자선택하는조지긍ㄴ 많은위험에 노출될수있음
10. 클라우드 서비스의 남용또는 악의적인사용 : 사기계정가입
11. DDoS공격 : 서비스사용자가 데이터나애플리케이션에 접속할수없도록 공격가능
12. 공유기술취약점 : 인프라,플랫폼,app을 공유함으로써 서비스확장하게하는데 사용됨

4. 클라우드 서비스 사용시 유의사항

대규모데이터, 대규모이용자가
자원공유및 사용하는 클라우드 특성상
서비스제공업체, 이용기업, 이용자 모두 보안의식 필요.

이용기업 : 위험요소 사전분석, 데이터접근제한명시, 서비스해지시 단계별로 보안고려사항 수립및 이행
이용자 : 서비스 가입, 이용, 해지 단계별로 주의사항숙지,
서비스제공자의 데이터처리방침및약관확인, 개인정보암호화.
서비스제공자 : 정보공개, 안전확보, 이용제한 등 원칙준용
제3자로부터 주기적점검, 해지고객 데이터의 완전삭제 등 포함