클라우드 서비스는 2008년 대기업의 기업용 서비스로 우리나라에 도입되었으나, 그 효과에 대한 인식이 높아짐에 따라 중소기업은 물론 공공기관까지 도입을 추진하는 등 중장기적으로 확산될 조짐이다. 그동안 많은 연구에서 클라우드 서비스 활성화의 저해요인으로 보안문제를 지적하였으나 예상되는 보안위협과 함께 대응 기술만을 제시하는 수준이었다. 이에 본 연구에서는 클라우드 서비스를 사용 해본 경험이 있는 기업 종사자들을 대상으로 이들이 인식하고 있는 보안위협의 중요도에 대하여 분석하였다. 이를 위해 클라우드 서비스 보안 영역을 관리적, 물리적, 기술적 보안으로 구분하고 각 영역별 세부요인들을 도출하였다. 순서화 로짓 모형을 통해 각 영역 및 세부 요인별 중요도를 분석한 결과 물리적 보안과 관리적 보안의 중요성을 높게 평가하는 것으로 나타났다. 또한 각 영역별로 보안정책, 서비스 시설에 대한 출입감시/통제 및 어플리케이션 보안을 중요하게 인식하는 것으로 확인되었다. 본 연구결과는 클라우드 서비스를 도입한 기업 종사자들의 실제 사용경험을 바탕으로 그들이 인식하는 보안위협 우선순위를 제시하여 향후 클라우드 서비스를 도입하려는 기업 및 기관들의 보안전략 수립에 도움이 될 것으로 기대된다.
클라우드 서비스는 2008년 대기업의 기업용 서비스로 우리나라에 도입되었으나, 그 효과에 대한 인식이 높아짐에 따라 중소기업은 물론 공공기관까지 도입을 추진하는 등 중장기적으로 확산될 조짐이다. 그동안 많은 연구에서 클라우드 서비스 활성화의 저해요인으로 보안문제를 지적하였으나 예상되는 보안위협과 함께 대응 기술만을 제시하는 수준이었다. 이에 본 연구에서는 클라우드 서비스를 사용 해본 경험이 있는 기업 종사자들을 대상으로 이들이 인식하고 있는 보안위협의 중요도에 대하여 분석하였다. 이를 위해 클라우드 서비스 보안 영역을 관리적, 물리적, 기술적 보안으로 구분하고 각 영역별 세부요인들을 도출하였다. 순서화 로짓 모형을 통해 각 영역 및 세부 요인별 중요도를 분석한 결과 물리적 보안과 관리적 보안의 중요성을 높게 평가하는 것으로 나타났다. 또한 각 영역별로 보안정책, 서비스 시설에 대한 출입감시/통제 및 어플리케이션 보안을 중요하게 인식하는 것으로 확인되었다. 본 연구결과는 클라우드 서비스를 도입한 기업 종사자들의 실제 사용경험을 바탕으로 그들이 인식하는 보안위협 우선순위를 제시하여 향후 클라우드 서비스를 도입하려는 기업 및 기관들의 보안전략 수립에 도움이 될 것으로 기대된다.
The cloud service has become the significant factor to save the IT operation cost and to improve the productivities in companies. It was introduced to Korea for enterprise services of major companies in 2008. As the increase of recognition for its effect, more small businesses and public institution...
The cloud service has become the significant factor to save the IT operation cost and to improve the productivities in companies. It was introduced to Korea for enterprise services of major companies in 2008. As the increase of recognition for its effect, more small businesses and public institutions plan to introduce the cloud computing services. The cloud computing researches have only focused on the security threats and response technologies to them. Therefore, this research analyzed the importances of responses to security threats in specific domains. The domains were divided into managerial, physical, and technical security. The specific factors in three domains were used for the analysis in this research as well. The ordered logit model was used for the analysis and the analysis results showed that physical security and managerial security are considered to be significantly important in the cloud computing security. The results also presented that the security policy, the control and surveillance to service infrastructure, and application security are highly important in the respect of specific factors. This research will contribute to enterprises or institutions in Korea, which want to introduce the cloud computing services, by aiding the establishment of effective security strategies.
The cloud service has become the significant factor to save the IT operation cost and to improve the productivities in companies. It was introduced to Korea for enterprise services of major companies in 2008. As the increase of recognition for its effect, more small businesses and public institutions plan to introduce the cloud computing services. The cloud computing researches have only focused on the security threats and response technologies to them. Therefore, this research analyzed the importances of responses to security threats in specific domains. The domains were divided into managerial, physical, and technical security. The specific factors in three domains were used for the analysis in this research as well. The ordered logit model was used for the analysis and the analysis results showed that physical security and managerial security are considered to be significantly important in the cloud computing security. The results also presented that the security policy, the control and surveillance to service infrastructure, and application security are highly important in the respect of specific factors. This research will contribute to enterprises or institutions in Korea, which want to introduce the cloud computing services, by aiding the establishment of effective security strategies.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 클라우드 서비스 활성화의 가장 큰 장애요인으로 평가받는 보안위협을 실사용자들의 경험을 바탕으로 분석하였다. 클라우드 서비스에 내재된 다양한 보안위협을 기존 문헌에서 고찰하고 이를 체계화하여 변수들을 도출하였다.
하지만 기업용 클라우드 서비스를 도입하는 궁극적인 목적이 생산성과 효율성을 높여 조직 경쟁력을 강화하는 것인 만큼 보안에 대한 투자 또한 우선순위에 맞게 차별적으로 수행되어야 할 필요가 있다. 이에 본 연구에서는 현재 기업용 클라우드 서비스를 도입하여 업무에 활용 중인 기업의 종사자들이 중요하게 인식하는 보안 영역과 세부요소를 제시하고자 한다. 클라우드 서비스 보안 영역을 관리적, 물리적, 기술적 보안으로 구분하고 각 영역별 세부요소를 추가하여 분석하고자 한다.
이에 본 연구에서는 현재 기업용 클라우드 서비스를 도입하여 업무에 활용 중인 기업의 종사자들이 중요하게 인식하는 보안 영역과 세부요소를 제시하고자 한다. 클라우드 서비스 보안 영역을 관리적, 물리적, 기술적 보안으로 구분하고 각 영역별 세부요소를 추가하여 분석하고자 한다. 본 연구는 기업용 클라우드 서비스 실사용자가 평가하는 보안위협의 경중을 제시함으로써 향후 기업용 클라우드 서비스를 도입하는 기업이 보안전략 수립시 활용할 수 있을 것으로 기대된다.
제안 방법
앞에서 살펴본 클라우드 서비스 보안 관련 기존 연구를 토대로 본 연구의 변수를 도출하였다. 클라우드 서비스 보안영역을 관리적, 물리적, 기술적 보안으로 구분하고 (표 2)와 같이 정의하였다.
클라우드 서비스에 내재된 다양한 보안위협을 기존 문헌에서 고찰하고 이를 체계화하여 변수들을 도출하였다. 이후 기업용 클라우드 서비스 실사용자에게 설문조사를 실시하고 순서화 로짓 모형으로 분석함으로써 보안 위협별 인식수준을 계량화하여 제시하였다.
본 연구는 클라우드 서비스 활성화의 가장 큰 장애요인으로 평가받는 보안위협을 실사용자들의 경험을 바탕으로 분석하였다. 클라우드 서비스에 내재된 다양한 보안위협을 기존 문헌에서 고찰하고 이를 체계화하여 변수들을 도출하였다. 이후 기업용 클라우드 서비스 실사용자에게 설문조사를 실시하고 순서화 로짓 모형으로 분석함으로써 보안 위협별 인식수준을 계량화하여 제시하였다.
대상 데이터
본 연구 수행을 위해 기업용 클라우드 서비스를 도입한 KT, SKT, 웅진 홀딩스 직원 등에게 설문조사를 실시하였다. 총 211개의 설문지를 회수하여 결측치 6부를 제외한 205부를 분석에 활용하였다.
본 연구 수행을 위해 기업용 클라우드 서비스를 도입한 KT, SKT, 웅진 홀딩스 직원 등에게 설문조사를 실시하였다. 총 211개의 설문지를 회수하여 결측치 6부를 제외한 205부를 분석에 활용하였다.
데이터처리
또한, 독립변수들 사이의 독립성을 검증하기 위하여 상관분석을 실시하였다. (표 1)은 클라우드 서비스 보안 중요도 인식을 분석하기 위해 사용된 독립변수간의 상관관계를 분석한 결과이다.
성능/효과
9배가 되는 것으로 나타났다. 동일하게 스토리지 보안은 약 1.6배의 높은 오즈를 갖는 것으로 나타났다.
5% 증가하였다. 동일한 방법으로 스토리지 보안은 10.9%, 네트워크 및 플랫폼 보안이 약 6.5의 확률변화량을 나타냈다.
또한, ‘클라우드 서비스 관리적 보안이 중요하지 않다’ 보다 ‘중요하다’고 인식하는 오즈가 보안정책을 중요하다고 평가할 때 약 2.3배가 되는 것으로 나타났으며, 인적보안은 약 1.9배, 보안사고 관리가 1.8배의 높은 오즈를 갖는 것으로 나타났다.
6% 높았다. 또한, 물리적 보안의 중요성을 한 단계 높게 평가하면 클라우드 서비스 보안을 매우 중요하다고 인식하는 비율이 12.5% 증가하였다. 동일한 방법으로 관리적 보안 중요도의 확률변화량은 약 10.
마지막으로 기술적 보안 중요도 인식을 분석하기 위한 독립변수의 r²도 최소 0.002에서 최대 0.565로 나타나는 등 보안 영역별 세부 독립변수 사이의 독립성도 확보되었다.
어플리케이션 보안을 중요하다고 평가할 때 ‘클라우드 서비스 기술적 보안이 중요하지 않다’ 보다 ‘중요하다’고 인식하는 오즈가 약 1.9배가 되는 것으로 나타났다.
(표 11)은 클라우드 서비스 기술적 보안 중요도 인식에 대한 한계효과 변화를 분석한 것이다. 어플리케이션 보안의 중요성을 한 단계 높게 평가하면 물리적 보안을 매우 중요하다고 인식하는 비율이 약 15.5% 증가하였다. 동일한 방법으로 스토리지 보안은 10.
5배 높은 것으로 나타났다. 이와 마찬가지로, 지원 유틸리티는 약 1.48배, 시설내 환경 통제가 약 1.41배의 높은 오즈를 갖는 것으로 나타났다.
이와 함께 관리적 보안 중요도 인식을 분석하기 위한 독립변수의 r²는 최소 0.001에서 최대 0.565로 나타났으며, 물리적 보안의 중요도 인식 분석에 활용된 독립변수간 r²도 최소 0.005에서 최대 0.565로 확인되었다.
이와 함께, ‘클라우드 서비스 물리적 보안이 중요하지 않다’ 보다 ‘클라우드 서비스의 물리적 보안이 중요하다’고 인식하는 오즈가 출입 감시/통제가 중요하다고 생각할 때 약 1.5배 높은 것으로 나타났다.
(표 9)는 클라우드 서비스 물리적 보안 중요도 인식에 대한 한계효과 변화를 분석한 것이다. 출입 감시/통제와 지원 유틸리티의 중요성을 한 단계 높게 평가하면 물리적 보안을 매우 중요하다고 인식하는 비율이 약 6.5% 증가하였다.
클라우드 서비스 관리적 보안 영역 중 보안정책, 인적 보안, 보안사고 관리, 보안조직 편성 등의 순으로 중요하게 인식하는 것으로 나타났다. (표 6)을 보면 보안정책 #계수가 0.
클라우드 서비스 기술적 보안 영역 중 어플리케이션 보안(#계수 0.6614)을 가장 중요하게 인식하는 것으로 나타났다.
후속연구
물리적 보안 영역에서는 출입감시/통제와 지원 유틸리티가 중요하게 인식되었다. 관리적 보안의 인원보안 중요성과 연계하여 클라우드 서비스 관련 시설에 대한 출입권한 설정을 강화하고 상시적인 감시/통제체계를 구축하여 불법적 침입 차단 및 사후 추적이 가능토록 해야할 것이다. 또한, 통신중단이나 정전에 대비하여 자체 발전시스템 구비 또는 주요 자원 백업 등 무중단 서비스 지원의 중요성도 간과해서는 안 될 것이다.
어플리케이션 보안은 사용자의 관심과 의지로 상당부분 충족될 수 있는 만큼 교육을 강화하되 과도한 보안 수준적용은 사용 기피요인으로 작용할 수 있는 바 편의성과 보안성을 고려한 보안기술 적용이 필요할 것이다. 또한 중앙 집중화된 데이터의 분산이나 암호화, 차별적 접근 허용 등 스토리지 관리에도 주력해야 할 것이다.
CEO(또는 CIO 등)의 확고한 의지와 방침이 반영된 보안정책이 수립되어 일사불란하게 시행되고, 전ㆍ현직 직원 및 상시출입자로부터 내부 불만자 등 취약인원에 대한 보안에 높은 관심이 요구되는 것으로 나타났다. 또한, 보안사고 발생시 효과적인 대응을 위해 구체화된 사고관리 매뉴얼을 수립하고 관련 절차를 숙달할 필요가 있을 것으로 보인다.
이에 따라 클라우드 서비스에 내재된 보안위협을 실제 사용자들의 인식을 토대로 평가한 본 연구결과는 향후 클라우드 서비스 도입 기업의 보안전략 수립 시 유용하게 활용될 것으로 기대된다. 또한, 향후 기업용 클라우드 서비스 비사용자들과의 인식차이나 기업규모에 따른 인식차이를 비교하는 연구가 수행될 경우 보다 유의미한 시사점이 도출될 것으로 기대된다.
클라우드 서비스 보안 영역을 관리적, 물리적, 기술적 보안으로 구분하고 각 영역별 세부요소를 추가하여 분석하고자 한다. 본 연구는 기업용 클라우드 서비스 실사용자가 평가하는 보안위협의 경중을 제시함으로써 향후 기업용 클라우드 서비스를 도입하는 기업이 보안전략 수립시 활용할 수 있을 것으로 기대된다.
기존 연구가 기술적 위협과 그에 대한 대책을 중시한 반면, 실사용자들은 물리적 보안과 관리적 보안의 중요성을 상대적으로 높게 인식하였다. 이는 향후 클라우드 서비스 도입 시 기술적 대책 뿐만 아니라 조직 환경 및 문화에 부합된 물리적, 관리적 보안대책 마련에도 힘써야 함을 보여준다.
기업용 클라우드 서비스 도입의 주요 목적이 비용절감인 만큼 보안에 필요한 투자도 위협 우선순위에 따라 선별적으로 수행될 필요가 있다. 이에 따라 클라우드 서비스에 내재된 보안위협을 실제 사용자들의 인식을 토대로 평가한 본 연구결과는 향후 클라우드 서비스 도입 기업의 보안전략 수립 시 유용하게 활용될 것으로 기대된다. 또한, 향후 기업용 클라우드 서비스 비사용자들과의 인식차이나 기업규모에 따른 인식차이를 비교하는 연구가 수행될 경우 보다 유의미한 시사점이 도출될 것으로 기대된다.
질의응답
핵심어
질문
논문에서 추출한 답변
클라우드 컴퓨팅은 어떤 방식인가?
클라우드 컴퓨팅은 IT 자원을 직접 보유하지 않고 사용자가 필요한 시점에 필요한 만큼 사용하고 그에 상응하는 비용을 지불하는 방식이다. 이러한 특징 때문에 최근 클라우드 컴퓨팅이 기존의 메모리, 컴퓨팅 파워, 저장 공간 등의 제약을 극복할 수 있는 방안으로 주목받고 있다.
기업용 클라우드 서비스 실사용자들은 관리적 보안 영역에서 어떤 것의 중요성을 높게 평가했는가?
관리적 보안 영역에서는 보안정책, 인적보안 및 보안사고 관리의 중요성이 높게 평가되었다. CEO(또는 CIO 등)의 확고한 의지와 방침이 반영된 보안정책이 수립되어 일사불란하게 시행되고, 전ㆍ현직 직원 및 상시출입자로부터 내부 불만자 등 취약인원에 대한 보안에 높은 관심이 요구되는 것으로 나타났다.
클라우드 컴퓨팅 환경에서는 다양한 보안 위협이 복합적으로 파생되기 때문에 어떤 것이 중요한가?
클라우드 컴퓨팅은 IT 자원의 소유없이 일부 또는 전체를 아웃소싱하는 속성 때문에 보안문제로부터 자유롭지 못하다[1]. 클라우드 컴퓨팅 환경에서는 다양한 보안위협이 복합적으로 파생되어 정보 유출, 서비스 장애 등을 야기할 수 있는 만큼 보안위협을 제거하고 신뢰할 수 있는 서비스 환경을 구축하는 것이 중요하다. 하지만 과도한 보안수준의 적용은 비용 낭비는 물론 서비스 사용자에게 불편을 초래할 수 있는 만큼 사용자의 편의성과 서비스의 안정성을 조화롭게 반영할 수 있는 보안전략을 수립할 필요가 있다.
참고문헌 (15)
Korea Communications Commission and Korea Internet Security Agency, "Information Security guide for Cloud Services", 2011.
S.K.Eun, "Cloud Computing Security Technology Trends", Review of Korea Institute of Information Security and Cryptology, Vol.20, No.2, pp.27-31, 2010.
Korea Communications Commission and Korea Internet Security Agency, "Information Security guide for Cloud Services", 2011.
"Asia Pacific End-User Cloud Computing Survey", International Data Corporation, 2009
Cloud Security Alliance, "Top Threats to Cloud Computing V1.0", 2010.
Gartner, "Assessing the Security Risks of Cloud Computing", 2008.
T.H.Kim, I.H.Kim, C.W.Min and Y.I,Eom, "Security Technology Trend in Cloud Computing", Korea Information Science Society review, Vol.30, No.1, pp.30-38, 2012.
J.S.Ryu, "Cloud Computing as Green IT and Security Issues", The Graduate School of Computer Information Communications, Korea University, 2010.
S.K.Eun, N.S.Cho, Y.H.Kim and D.S.Choi, "Cloud Computing Security Technology", Electronics and Telecommunications Trends, ETRI, Vol.24, No.4, pp.79-88, 2009.
K.A.Shin and S.J.Lee, "Information Security Management System on Cloud Computing Service", Journal of the Korea Institute of Information Security and Cryptology, Vol.22, No.1, 2012.
S.J.Kim, "Information Security Plan on Cloud Computing: Information Security Management System", Management Consulting Review, Vol.2, No.2, pp.194-208, 2010.
K.J.Lee, "The Study on the Issue of Cloud Computing Security and the Plans for the Personal Information Protection", Department of Information Security, The Graduate School of Information and Communications, Sungkyunkwan University, 2010.
D.H.Kim, "A Study on the improvement and application of Information Security Management System for Cloud Computing Security", Department of Information Security, The Graduate School of Information and Communications, Sungkyunkwan University, 2011.
J.S.Oh, Y.B.Yoon, J.R.Suh and B.G.Lee, "The Difference of Awareness between Public Institutions and Private Enterprises for Cloud Computing Security", International Journal of Security and Its Applications, Vol.6, No.3, pp.1-10, 2012.
S.W.Lee, S.H.Min, J.Y.Park and S.D.Yoon, "Application of Logit and Probit Model", Pakyoungsa, 2005.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.