클라우드 컴퓨팅 서비스는 이용자 요구에 실시간으로 유연하게 컴퓨팅 자원을 제공하고 사용량만큼 과금하는 고효율의 차세대 IT 서비스이다. 그러나 이용자는 데이터를 '위탁'하고, 인프라, 플랫폼, 어플리케이션 서비스를 '제공'받는 '위탁/제공'의 서비스 구조와 적용기술, 자원공유, 데이터센터 위치 등으로부터 비롯된 많은 위협에 직면해 있다. 클라우드 서비스 도입의 가장 큰 걸림돌로 작용하는 보안과 신뢰성을 담보하기 위해서는 객관적인 평가 기준이 필요하다. 지금까지 정보보호관리체계는 조직의 보안관리 및 IT 운영의 보안 지표로 활용되어 왔다. 그러나 클라우드 컴퓨팅 서비스는 기존의 조직 내 IT 환경과는 다른 관점의 보안관리와 평가기준이 필요하다. 본 논문에서는 클라우드 특성에 맞는 정보보호관리체계를 설계하기 위하여 클라우드 서비스의 핵심요소를 위협관리영역으로부터 도출하고 기본적인 보안관리가 누락되지 않도록 기존 정보보호관리체계의 모든 통제영역을 포함하고 있다. 또 온라인 셀프환경에 따른 서비스 이용을 지원하고 서비스 계약, 제공자 사업현황을 포함하는 서비스 보안관리를 추가하여 설계한다.
클라우드 컴퓨팅 서비스는 이용자 요구에 실시간으로 유연하게 컴퓨팅 자원을 제공하고 사용량만큼 과금하는 고효율의 차세대 IT 서비스이다. 그러나 이용자는 데이터를 '위탁'하고, 인프라, 플랫폼, 어플리케이션 서비스를 '제공'받는 '위탁/제공'의 서비스 구조와 적용기술, 자원공유, 데이터센터 위치 등으로부터 비롯된 많은 위협에 직면해 있다. 클라우드 서비스 도입의 가장 큰 걸림돌로 작용하는 보안과 신뢰성을 담보하기 위해서는 객관적인 평가 기준이 필요하다. 지금까지 정보보호관리체계는 조직의 보안관리 및 IT 운영의 보안 지표로 활용되어 왔다. 그러나 클라우드 컴퓨팅 서비스는 기존의 조직 내 IT 환경과는 다른 관점의 보안관리와 평가기준이 필요하다. 본 논문에서는 클라우드 특성에 맞는 정보보호관리체계를 설계하기 위하여 클라우드 서비스의 핵심요소를 위협관리영역으로부터 도출하고 기본적인 보안관리가 누락되지 않도록 기존 정보보호관리체계의 모든 통제영역을 포함하고 있다. 또 온라인 셀프환경에 따른 서비스 이용을 지원하고 서비스 계약, 제공자 사업현황을 포함하는 서비스 보안관리를 추가하여 설계한다.
Cloud computing service is a next generation IT service which has pay-per-use billing model and supports elastically provisioning IT infra according to user demand. However it has many potential threats originating from outsourcing/supporting service structure that customers 'outsource' their own da...
Cloud computing service is a next generation IT service which has pay-per-use billing model and supports elastically provisioning IT infra according to user demand. However it has many potential threats originating from outsourcing/supporting service structure that customers 'outsource' their own data and provider 'supports' infra, platform, application services, the complexity of applied technology, resource sharing and compliance with a law, etc. In activation of Cloud service, we need objective assessment standard to ensure safety and reliability which is one of the biggest obstacles to adopt cloud service. So far information security management system has been used as a security standard for a security management and IT operation within an organization. As for Cloud computing service it needs new security management and assessment different from those of the existing in-house IT environment. In this paper, to make a Information Security Management System considering cloud characteristics key components from threat management system are drawn and all control domain of existing information security management system as a control components are included. Especially we designed service security management to support service usage in an on-line self service environment and service contract and business status.
Cloud computing service is a next generation IT service which has pay-per-use billing model and supports elastically provisioning IT infra according to user demand. However it has many potential threats originating from outsourcing/supporting service structure that customers 'outsource' their own data and provider 'supports' infra, platform, application services, the complexity of applied technology, resource sharing and compliance with a law, etc. In activation of Cloud service, we need objective assessment standard to ensure safety and reliability which is one of the biggest obstacles to adopt cloud service. So far information security management system has been used as a security standard for a security management and IT operation within an organization. As for Cloud computing service it needs new security management and assessment different from those of the existing in-house IT environment. In this paper, to make a Information Security Management System considering cloud characteristics key components from threat management system are drawn and all control domain of existing information security management system as a control components are included. Especially we designed service security management to support service usage in an on-line self service environment and service contract and business status.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
기존과 동일한 물리·환경적 위협으로 존재하기 때문에 클라우드 위협관리영역에서 별도로 식별하지 않고 기존의 보안관리와 동일하게 적용하려고 한다.
기존의 조직 내 IT 서비스 환경과는 다른 관점으로 IT 서비스의 위탁/제공 방식에 따른 수익형 비즈니스라는 점을 고려하여 안정적인 서비스 운영의 클라우드 보안관리 측면과 서비스 제반환경 측면으로 통제영역을 구성하였다. 또 클라우드 서비스의 핵심요소를 정보보호관리체계에 반영하고자 하였다. 클라우드 서비스의 핵심요소를 주요 위협으로부터 도출한 위협관리영역을 클라우드 관리체계의 주축으로 하고, 위협으로부터 누락될 수 있는 기본 보안관리를 위해 기존 정보보호관리체계의 모든 통제영역을 포함시켜 보안관리의 완전성을 유지하도록 클라우드 정보보호관리체계를 설계하였다.
본 논문에서는 클라우드 서비스를 제공함에 있어 반드시 보장해야 하는 핵심 요소를 식별하고 이를 정보보호관리체계에 반영하고자 한다. 클라우드 서비스의 핵심요소를 클라우드 위협관리영역으로부터 도출하고, 클라우드 핵심요소에 치우쳐 기본적인 보안관리가 누락되지 않도록 기존 정보보호관리체계의 모든 통제영역을 포함하되 클라우드 보안관리 영역에 맞게 재배치한다.
본 논문은 새로운 IT 서비스 패러다임으로서 클라우드 컴퓨팅 서비스의 정보보호관리체계를 설계하였다. 기존의 조직 내 IT 서비스 환경과는 다른 관점으로 IT 서비스의 위탁/제공 방식에 따른 수익형 비즈니스라는 점을 고려하여 안정적인 서비스 운영의 클라우드 보안관리 측면과 서비스 제반환경 측면으로 통제영역을 구성하였다.
본 논문은 클라우드 컴퓨팅 서비스의 정보보호관리체계를 제안하여 객관적인 서비스 측정을 가능하게 하고 안전한 클라우드 서비스를 정착시키는데 기여할 것이다.
본 절에서는 IT 환경 전체를 서비스로 제공받는 과정에서 이용자의 권익을 보호하기 위한 서비스 보안관리를 설계한다. 서비스 보안관리에서는 위협관리영역의 SLA/계약 분쟁 위협을 관리하며, 위협관리영역에 위협으로 식별하지는 않았으나 이용자에 대한 서비스 지원과 사업자의 사업 현황 파악이 포함된다.
본 절에서는 클라우드 서비스의 핵심요소를 식별하기 위하여 클라우드 위협을 조사하여 이를 위협관리영역으로 분류하였다. 클라우드 서비스에서 발생하는 위협은 클라우드 서비스의 특성을 반영하며 클라우드 보안관리의 핵심을 나타낸다.
ISO 27001과 K-ISMS, G-ISMS는 통제영역의 분류 차이만 있을 뿐 통제항목이나 통제내용에 있어서는 두드러진 차이가 없는 것으로 분석된다. 여러 정보보호관리체계 중 ISO 27001이 오랜 기간 변화를 거치면서 보다 체계적이고 세부적인 통제를 담고 있기 때문에 ISO 27001 통제영역과 비교하여 클라우드 위협 통제를 분석하고자 한다.
제안 방법
서비스 측면에서는 온라인 셀프환경에 따른 서비스 이용을 실시간 지원하고 계약의 공정성, 과금 체계, 제공자의 사업현황을 포함하도록 설계하였다. ISO 27001의 보안관리와 클라우드의 위협관리, 비즈니스 측면의 서비스관리를 종합하여 클라우드 서비스의 보안관리와 평가를 위한 통제영역으로 서비스 운영보안, 서비스 데이터 보안, 서비스 접근통제, 보안 아키텍처, 관리적 보안, 고객서비스 보안의 6개 통제영역과 41개 통제요소를 구성하였다. 설계한 클라우드 정보보호관리체계를 타 정보보호관리체계와 설계방법과 구성에서의 차이를 비교, 분석하였다.
클라우드 서비스의 핵심은 가용성과 ‘성능 및 확장성’, 데이터 보안 이다. 가용성과 성능 및 확장성은 서비스 운영보안 영역으로 분류하였다. 가용성과 성능, 확장성은 클라우드 서비스의 기본 서비스 특성으로 모두 운영상의 보안관리로 볼 수 있다.
가용성과 성능, 확장성은 클라우드 서비스의 기본 서비스 특성으로 모두 운영상의 보안관리로 볼 수 있다. 데이터 보안은 이용자의 데이터를 보호한다는 측면에서 서비스 데이터 보안 영역으로 분류하였다. 데이터 암호화를 비롯한 보안등급, 백업/복구 등의 데이터 관리, 생명 주기별 보호조치와 이용자 권한 등 데이터 준거성 등을 포함하며 통제범위와 중요도를 고려하여 개별 통제 영역으로 구성하였다.
데이터 보안은 이용자의 데이터를 보호한다는 측면에서 서비스 데이터 보안 영역으로 분류하였다. 데이터 암호화를 비롯한 보안등급, 백업/복구 등의 데이터 관리, 생명 주기별 보호조치와 이용자 권한 등 데이터 준거성 등을 포함하며 통제범위와 중요도를 고려하여 개별 통제 영역으로 구성하였다. 분산기술과 가상화기술, 웹 인터페이스는 기술적 동작과 논리 구조를 다루는 보안 아키텍처 영역으로 구성하였고 접근통제는 서비스 접근통제 영역으로 구성하였다.
기존과 동일한 물리·환경적 위협으로 존재하기 때문에 클라우드 위협관리영역에서 별도로 식별하지 않고 기존의 보안관리와 동일하게 적용하려고 한다. 데이터센터의 위치를 관리적 관점으로 분류한 것은 위치에 따라 재판관할권이 달라지고 법 적용이 달라진다는 점에서 준거성을 포괄하는 관리적 관점으로 분류하였다.
클라우드 보안관리와 클라우드 서비스 보안관리로 구성된 클라우드 정보보호관리체계를 설계한다. 마지막으로 설계한 클라우드 정보보호관리체계가 타 정보보호관리체계와 어떤 차이점이 있는지를 설계 방법과 구성면에서 분석한다.
본 논문에서 설계한 클라우드 정보보호관리체계에서는 클라우드 서비스 정보보호요구사항을 식별하기 위하여 신뢰기관에서 발표한 위협을 분석하였고, 식별된 요구사항을 클라우드 보안통제에 반영하였다. 관리체계로서 기본적인 보안관리가 누락되지 않도록
본 장에서는 클라우드 정보보호관리체계의 보안관리와 서비스보안관리를 설계하고자 한다. 클라우드 서비스의 원활한 서비스 제공을 위한 관리·물리·기술적 관점의 보안관리를 정의하기 위해서, 클라우드 위협관리영역을 기준으로 기존 정보보호관리체계의 클라우드 통제를 분석하고 필요한 통제를 정의한다.
본 절에서는 3.3절에서 설계한 클라우드 정보보호관리체계와 타 정보보호관리체계의 설계방법과 구성에 대해 분석한다. 분석대상은 정보보호관리체계 국제표준인 ISO 27001과 클라우드 서비스 관련하여 클라우드의 보안을 연구하는 클라우드보안연합(CSA)의 CCM(Cloud Control Matrix)[12], 방송통신위원회에서 시행하는 클라우드 서비스 인증제 관련하여 서광규의 클라우드 서비스 인증 수립을 위한 프레임워크(이하 클라우드 인증 프레임워크)를 대상으로 한다.
클라우드 서비스의 핵심요소를 주요 위협으로부터 도출한 위협관리영역을 클라우드 관리체계의 주축으로 하고, 위협으로부터 누락될 수 있는 기본 보안관리를 위해 기존 정보보호관리체계의 모든 통제영역을 포함시켜 보안관리의 완전성을 유지하도록 클라우드 정보보호관리체계를 설계하였다. 서비스 측면에서는 온라인 셀프환경에 따른 서비스 이용을 실시간 지원하고 계약의 공정성, 과금 체계, 제공자의 사업현황을 포함하도록 설계하였다. ISO 27001의 보안관리와 클라우드의 위협관리, 비즈니스 측면의 서비스관리를 종합하여 클라우드 서비스의 보안관리와 평가를 위한 통제영역으로 서비스 운영보안, 서비스 데이터 보안, 서비스 접근통제, 보안 아키텍처, 관리적 보안, 고객서비스 보안의 6개 통제영역과 41개 통제요소를 구성하였다.
ISO 27001의 보안관리와 클라우드의 위협관리, 비즈니스 측면의 서비스관리를 종합하여 클라우드 서비스의 보안관리와 평가를 위한 통제영역으로 서비스 운영보안, 서비스 데이터 보안, 서비스 접근통제, 보안 아키텍처, 관리적 보안, 고객서비스 보안의 6개 통제영역과 41개 통제요소를 구성하였다. 설계한 클라우드 정보보호관리체계를 타 정보보호관리체계와 설계방법과 구성에서의 차이를 비교, 분석하였다.
클라우드 서비스 보안관리에서는 이용자의 서비스 이용을 지원하고 계약의 공정성, 과금 체계, 제공자의 사업현황을 포함하는 통제영역을 정의한다. 클라우드 보안관리와 클라우드 서비스 보안관리로 구성된 클라우드 정보보호관리체계를 설계한다. 마지막으로 설계한 클라우드 정보보호관리체계가 타 정보보호관리체계와 어떤 차이점이 있는지를 설계 방법과 구성면에서 분석한다.
또 클라우드 서비스의 핵심요소를 정보보호관리체계에 반영하고자 하였다. 클라우드 서비스의 핵심요소를 주요 위협으로부터 도출한 위협관리영역을 클라우드 관리체계의 주축으로 하고, 위협으로부터 누락될 수 있는 기본 보안관리를 위해 기존 정보보호관리체계의 모든 통제영역을 포함시켜 보안관리의 완전성을 유지하도록 클라우드 정보보호관리체계를 설계하였다. 서비스 측면에서는 온라인 셀프환경에 따른 서비스 이용을 실시간 지원하고 계약의 공정성, 과금 체계, 제공자의 사업현황을 포함하도록 설계하였다.
대상 데이터
3절에서 설계한 클라우드 정보보호관리체계와 타 정보보호관리체계의 설계방법과 구성에 대해 분석한다. 분석대상은 정보보호관리체계 국제표준인 ISO 27001과 클라우드 서비스 관련하여 클라우드의 보안을 연구하는 클라우드보안연합(CSA)의 CCM(Cloud Control Matrix)[12], 방송통신위원회에서 시행하는 클라우드 서비스 인증제 관련하여 서광규의 클라우드 서비스 인증 수립을 위한 프레임워크(이하 클라우드 인증 프레임워크)를 대상으로 한다.
질의응답
핵심어
질문
논문에서 추출한 답변
데이터 소유주는 어떤 위협 요인을 갖고 있는가?
클라우드 서비스는 이용자가 데이터를 ‘위탁’하고, 인프라와 개발환경, 응용서비스를 ‘제공’받는 ‘위탁/제공’ 서비스이다. 데이터 소유주는 이용자이나 관리는 제공자라는 이분법적 서비스 구조, 분산기술과 가상화 기술을 접목시킨 유기적인 통합제어의 복잡성, 웹 인터페이스 방식에 의한 취약성, 다중 이용자 간의 자원 공유로 인한 침해 가능성 증가, 데이터센터의 국외 배치로 인한 국내법 규제의 이탈 등 여러 위협 요인을 가지고 있다. 특히 제공자의 서비스 보안을 위해 서비스 구조 비공개 및 이용자의 내부 감사 불가, 사고발생 시 책임소재 규명이 어렵다는 점에서 많은 분쟁의 가능성을 내포하고 있다[1,2,3,8,10,11,16,17,19,20].
클라우드 서비스는 어떤 점에서 많은 분쟁의 가능성을 내포하고 있는가?
데이터 소유주는 이용자이나 관리는 제공자라는 이분법적 서비스 구조, 분산기술과 가상화 기술을 접목시킨 유기적인 통합제어의 복잡성, 웹 인터페이스 방식에 의한 취약성, 다중 이용자 간의 자원 공유로 인한 침해 가능성 증가, 데이터센터의 국외 배치로 인한 국내법 규제의 이탈 등 여러 위협 요인을 가지고 있다. 특히 제공자의 서비스 보안을 위해 서비스 구조 비공개 및 이용자의 내부 감사 불가, 사고발생 시 책임소재 규명이 어렵다는 점에서 많은 분쟁의 가능성을 내포하고 있다[1,2,3,8,10,11,16,17,19,20].
클라우드 컴퓨팅 서비스란 무엇인가?
클라우드 컴퓨팅 서비스는 이용자 요구에 실시간으로 유연하게 컴퓨팅 자원을 제공하고 사용량만큼 과금하는 고효율의 차세대 IT 서비스이다. 그러나 이용자는 데이터를 '위탁'하고, 인프라, 플랫폼, 어플리케이션 서비스를 '제공'받는 '위탁/제공'의 서비스 구조와 적용기술, 자원공유, 데이터센터 위치 등으로부터 비롯된 많은 위협에 직면해 있다.
참고문헌 (21)
Brend Grobauer, Tobias Walloschek, Elmar Stocker, "Towards a cloud-specific Risk Analysis Framework", Siemens IT Solutions and Services, pp. 6-22, April 2010
민영기, 장연욱, "범국가 차원의 ICT신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략" CIO \Report vol 17, pp, 1-12, 2009년 11월
박춘식, "클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구", 한국산학기술학회논문지 vol. 12 No. 3, pp.1408-1416, 2011년 9월
Shilpashree Srinivasamurthy, Davic Q. Liu, "survey on cloud computing security", 2nd IEEE International Conference on Cloud Computing Technology and Science, pp. 1-8, November 2010.
김지연, 김형종, 박춘식, 김명주, "클라우드 컴퓨팅 환경의 가상화 기술 취약점 분석연구", 정보보호학회지 제 19권 제4호, pp. 72-77, 2009년 8월
※ AI-Helper는 부적절한 답변을 할 수 있습니다.