목적별 보안 아키텍처 구축
클라우드 서비스 기반 사용자 업무별 시스템 분류
언어는 형식의 구애보다 의미의 논리성이 얼마나 더 중요한가를 명심할 일이다.
- 하광호(뉴욕 주립대 영어교육학과 교수)
보안 솔루션 구축과 운영 및 엔지니어링까지 단기간에 여러 직무를 맡아본 결과, 정보보안에서 왜 기술적 보안보다 관리적 보안으로 갈수록 자격증의 가치도 높아지고 인력의 몸값도 높아지는지 이해가 갔다. 기술적 보안이라는 것은 모의해킹 등 기업의 IT 자산 취약점을 분석해주는 업무가 주를 이루는데, 이런 류의 업무는 한 번 경험을 하면 별거 아니다는 것을 곧 알 수 있기 때문이다. 더군다나, 관리적 보안의 지침에 따라서 이런 업무의 가이드가 작성되기 때문에 결국 주는 관리적 보안이라는 것을 알 수 있다.
그래서 이 분야에서 외국에서도 국내에서도 가장 쳐주는 자격증이 CISSP(국제공인 정보시스템 보안전문가)이다. 그리고 외국에서는 CEH(윤리적 보안 전문가), 다음이 칼리 리눅스나 백트랙(칼리 구버전)의 침투 테스팅 툴을 이용해서 얼마나 기술적으로 취약점을 잘 분석하는지의 OSXX 류의 자격증 순으로 등급이 매겨진다. 하지만 국내에서는 합격률 10% 내외를 꿋꿋이 지키고 있는 '정보보안 기사'라는 자격증이 갑 of the 갑이다. 해가 거듭할수록 최종 합격률이 5% 미만으로 떨어져 이색적인 국가자격증 중 하나로 손꼽힌다.
기술적 보안의 테두리는 앞서 말했듯이 관리적 보안의 지침에 의해 무엇을 해야 할지 실행방안이 구성된다. 영어로 치면 형식이 관리적 보안이고, 의미가 기술적 보안이다. 하지만 미국에서 원어민 대학생들에게 영어를 가르치는 한국인 교수가 영어에 대해서 얘기한 것과는 달리, 보안은 의미(기술적 보안)의 구애보다 형식(관리적 보안)의 논리성이 얼마나 더 중요한가를 명심할 일이다.
개인정보와 정보통신망법 그리고 신규 개정된 데이터 3 법 등의 정보보안 관련 법규에 고시되어있는 조항대로 기업이 의무 이행을 준수하고 있는지 따지는 게 첫 번째다. 그래서 법규(최근 EU가 유럽의 GDPR과 한국의 정보보안법규를 동등한 레벨로 인정해줘서 GDPR 가이드라인도 참조할만하다.)의 적용 여부를 확인한 후 엔지니어는 기술문서의 필요한 부분을 찾아서 이해하고 기술적인 부분을 필드에 적용하고 그것을 수치화된 결과로 보여줄 수 있어야 한다.
그러면 클라우드 서비스에서 목적별 보안 아키텍처 구축을 위해서 메타(형식)에 해당하는 지식은 무엇인가? 개발 시스템 아키텍처 구성과 마찬가지로 사용자 업무에 필요한 기능을 제공하는 기능 요건은 사용자 요구사항(첫째도 이것, 둘째도 이거지만, 사용자도 자기가 무엇이 필요한지 말로 표현을 못할 수가 있다. 그래서 일단 프로토 타입부터 만들어서 테스트하고 다시 수정하는 방식의 애자일 Agile 개발 방식이 발생했다.)을 빠짐없이 구현하기 위해 요구사항 명세서(BOM)와 같이 문서로 만들어 정확하게 표현해야 한다. 반면, 보안과 시스템이 수행 가능한 환경과 품질, 제약사항 등 수준에 관한 요구사항에 관한 비기능적 요구사항이 있다.
특히 클라우드 환경에서는 비기능 요구사항 중 보안성, 성능, 안정성 등이 중요하다. 기술적 보안만 할 거라면, 이러한 테두리에 해당하는 지식의 지식을 알 필요가 없겠지만, 어차피 관리자로서 업무를 수행해야 한다면 먼저 기술적인 지침을 이행해본 뒤, 이러한 메타 지식을 훑어보면 아 내가 이러한 이론적 배경 때문에 기술 수행을 해야 했구나 하고 알 수가 있다. 그래서 이번 장에는 일단 큰 그림만을 한 번에 보기 위해 기업(고객사)의 여러 가지 기능적 요구사항에 맞는 아키텍처를 미리 전부 나열해보고 무엇을 고려사항으로 삼았는지만 살펴본다.
★ [2-1] 요구사항 도출의 필요성과 도출 기법 5가지를 설명하시오. : 네이버 블로그 (naver.com) 이성몽 정보관리 기술사
1. 가용성을 고려한 서비스 보안
1) 다중 지역 기반의 아키텍처와 보안 고려사항
2) 멀티 클라우드 기반의 아키텍처와 보안 고려사항
3) 컨테이너 기반 아키텍처와 보안 고려사항
2. 고성능을 위한 아키텍처 보안
1) 오토 스케일 업(자원 증설)/아웃(병렬 처리) 성능 보장 아키텍처와 보안 고려사항
2) FaaS를 통한 성능이 보장된 아키텍처와 보안 고려사항
3) 성능이 보장된 전용 할당 자원으로 구축된 아키텍처와 보안 고려사항
4) 글로벌 서비스 성능 제고를 고려한 아키텍처와 보안 고려사항
3. 애플리케이션과 데이터의 안전성이 고려된 아키텍처 보안
1) 하이브리드 클라우드 기반의 데이터 아키텍처와 보안 고려사항
2) 애플리케이션/데이터 암호화 기반의 아키텍처와 보안 고려사항
4. 비용 효율이 고려된 보안 아키텍처
1) 저렴한 클라우드 서비스로 구축한 클라우드 아키텍처와 보안
2) 서비스 환경에 따른 자원의 유연성을 수반하는 아키텍처와 보안
3) 자원 소비 패턴으로 할인된 자원을 사용하는 아키텍처와 보안
4) 유지 비용에 따른 서비스 수준을 선택하는 아키텍처와 보안
5. 데브옵스 효율성이 강조된 보안 아키텍처
1) *자동화 배포 프로세스가 적용된 보안 아키텍처
2) **인프라 자동 구축 기반의 보안 아키텍처
* 가장 핫한 미래 직업군 중에 데이터 사이언티스트와 데브옵스 엔지니어가 포함되어 있는데, 위의 두 보안 아키텍처를 구성하는 데 필요한 조직이 데브옵스, 여기다 보안(SECurity)을 보태어 'DevSecOps'라는 보안팀이 대두된다. 왜냐하면 개발과 운영으로써의 마무리가 아닌 외부로부터 침입(가용성 침범)과 내부로부터의 정보 유출 등 민감정보의 법 체계와 연계 등의 이슈가 부각되면서 '보안 영역'이 업무의 중심으로 자리 잡아가고 있기 때문이다(황치하, 2021).
** 인프라 관리를 IaC(Infrastructure As Code)로 관리한다는 소스코드를 작성할 줄 아는 개발자의 업무 역량을 중심으로 두면서, 이제는 개발자가 이러한 운영-배포-빌드의 라이프사이클의 자동화(Ansible) 소스코드를 작성(AWS Lamda함수와 같은)하여 프로세스의 오버헤드를 줄이는 아키텍처 옵션이다.
참조
황치하, & 양지언. (2021). 클라우드X보안 실무 가이드 (1st ed.). (주)프리렉.
표지 참조 기사
[클라우드 데이터 플랫폼③] 구글 클라우드, MS, 클라우데라, 클루커스 전략 및 솔루션 < 기획특집 < 기획특집 < 기사 본문 - 아이티데일리 (itdaily.kr)
