[데이터넷] “클라우드든 온프레미스든 ‘데이터 오너십(Data Ownership)’을 갖는 것이 가장 중요한 원칙이 되어야 한다. 제로 트러스트 보안 모델을 바탕으로, 중앙에서 강력한 보안 정책을 통해 모든 데이터를 통제하고 데이터에 접근하는 사람을 인증하고 모니터링해야 한다.”
제프 첸(Jeff Chen) 탈레스 아시아태평양 매니저는 이렇게 말하며 “클라우드 이전으로 인해 과거의 보안경계가 재정의되고 있으며, 새로운 데이터 보호 전략이 요구된다. 이 환경에서도 변함없이 중요한 원칙은 데이터 통제 권한을 기업이 갖고 있어야 한다는 것”이라고 강조했다.
제로 트러스트 기반 데이터 보호 정책 필요
제프 첸은 클라우드의 유연성과 민첩성을 보장하면서 데이터를 안전하게 보호하는 방법으로 데이터 암호화와 키 관리, 그리고 사용자 인증을 적절하게 활용할 것을 제안했다. 클라우드로 이관되는 데이터를 암호화 혹은 토큰화하고, 데이터와 가까운 위치에 키를 두며, 이 키를 통제하는 마스터키를 중앙 데이터센터에서 관리하는 방식이 이상적이라고 설명했다.
암·복호화는 CPU 집약적인 작업으로, 암호화 데이터와 키가 멀리 떨어져있으면 속도가 느려지고 트래픽 양이 급증하게 된다. 데이터와 가까운 곳에 키를 두면 속도 문제를 해결할 수 있지만, 암호화 데이터와 키가 함께 유출될 수 있다는 문제가 있다.
암호화된 데이터는 가까이에 있는 키로 복호화하되, 이 키는 중앙 마스터키에서 먼저 인증하도록 하는 것이 권장된다. 클라우드의 키와 중앙 마스터키는 해시값으로 인증 정보를 주고받기 때문에 트래픽을 증가시키지 않으며 속도 저하 문제를 해결할 수 있다.
사용자 인증으로 데이터 접근권한을 통제하면 더 안전하게 클라우드 데이터를 운영할 수 있다. ID/PW 외에 OTP 등 추가인증을 이용하면 안전하다. OTP는 별도의 단말기를 사용하거나 웹·모바일 등을 이용한 소프트웨어 방식으로도 이용할 수 있다.
제프 첸은 “클라우드에서는 누구도 믿어서는 안 되는 ‘제로 트러스트’ 기반 보안 모델이 필요하다. 클라우드 보안 기업이라고 해도 전적으로 신뢰해서는 안 된다. 데이터를 암호화 혹은 토큰화로 보호하고 데이터 접근을 통제하며, 복호화 권한을 여러 단계로 인증하면서 보호해야 한다. 그러면서도 클라우드의 유연성과 민첩성을 해치지 않는 기술을 사용해야 한다”고 조언했다.
데이터·VM·HCI·스토리지도 보호
제프 첸은 탈레스 CPL(Cloud Protection & Licensing) 부서에서 제공하는 암호화와 키관리, 사용자 인증 솔루션이 이와 같은 요구를 만족시킬 수 있다고 강조한다. 탈레스 CPL은 인수한 젬알토의 데이터 보호 솔루션과 HSM, 사용자 인증, 그리고 탈레스 이시큐리티의 보메트릭 데이터 보호 제품을 통합해 제공한다.
탈레스 CPL 조직에의 보안 솔루션은 이미 오래 전 부터 엔터프라이즈와 금융, 병원, 게임사, 유통사, 대규모 서비스 회사, 항공사 등에서 사용하고 있으며, 전사 클라우드 도입을 선언한 대형 엔터프라이즈에서도 탈레스 솔루션으로 데이터를 보호하고 있다.
제프 첸은 “대형 글로벌 기업들도 탈레스 제품으로 데이터를 보호한다. 클라우드에 암호화 데이터와 키를 보관하고, 마스터키로 사용하는 HSM을 본사 데이터센터에 두어 전 세계에 흩어진 데이터에 대한 오너십을 갖고 통제한다”며 “이 같은 암호화 전략은 다양한 종류의 데이터 뿐 아니라 가상머신, 스토리지, HCI 암호화 등 다양한 분야에 적용할 수 있다”고 말했다.
탈레스가 제안하는 데이터 보호 전략은 EU GDPR과 같은 강화된 개인정보 보호 규제도 만족시킬 수 있다. GDPR에서는 개인이 자신의 정보를 폐기할 것을 요청하면 완벽하게 폐기한 후 이를 입증할 수 있는 근거를 제시해야 한다.
클라우드 사업자들은 장애에 대비해 원본 데이터를 여러 클라우드에 백업해 분산저장하기 때문에 원본 데이터만 삭제한다고 해서 완벽하게 폐기됐다고 할 수 없다. 데이터를 암호화 해 저장하고 백업한 후, 암호화 키를 삭제하면 그 누구도 해당 데이터에 접근할 수 없기 때문에 안전하게 폐기했다고 인정받을 수 있다.
제프 첸은 “암호화 키를 기업이 통제하면 클라우드 사업자가 데이터를 어디에 저장한다 해도 안전하게 관리할 수 있다”며 “비즈니스를 보호하고 경쟁력을 높이면서 데이터를 안전하게 보호하기 위해서는 빠르고 유연한 암호화 플랫폼을 사용하고 키에 대한 관리 권한을 통제해야 할 것”이라고 거듭 강조했다.
