모바일 클라우드 서비스는 언제 어디서나 인터넷에 접속할 수 있는 모바일 단말을 통해 클라우드 서비스를 제공하는 것으로 모바일 기기의 컴퓨팅 처리 성능 한계와 저장 공간 제약 등으로 인해 모바일 단말에서 처리해야 할 작업 및 데이터 일부를 클라우드 환경에서 처리한다.

▲ 이태환 컨설턴트
모바일 클라우드 서비스는 다양한 특성을 지니고 있는데 ▲IT자원의 가상화 및 자원공유 ▲고객 정보의 클라우드 서버 저장 및 정보 위탁 ▲PC, 스마트폰, 테블릿 PC 등 다양한 형태의 단말기를 통한 접속 등이 대표적이다.

이러한 특징들로 인해 모바일 클라우드 서비스상에서는 정보 유출, 서비스 장애 등 다양한 보안위협이 발생할 수 있으며, 보안위협은 주체와 관점에 따라 다양한 방법으로 분류되고 있다. 모바일 클라우드 서비스의 특징을 고려하면 다음과 같은 기술적, 관리적 보안 위협을 도출할 수 있다.

1) 가상화 시스템 해킹
가상화 기술을 통해 고객의 가상머신들이 상호 연결되어 다양한 공격경로가 존재하며, 하이퍼바이저 해킹 시 타 가상머신의 통제권이 상실될 수 있다. 또한 특정 가상머신이 악성코드 감염될 경우, 가상환경 내부로 악성코드가 쉽게 확산될 수 있다.

2) 자원공유로 인한 비인가자의 정보 접근
고객 정보가 원격의 클라우드 서버에 저장되고 관리되기 때문에 동일 컴퓨터에 타 고객 사 정보가 혼재되어 설정오류, 취약한 패스워드 사용, 계정도용 등으로 인해 클라우드 자원에 대한 비 인가자의 정보 접근이 가능하다.

3) 내부자에 의한 고객 정보 유출 및 손실
내부 직원의 고의적, 관리 부주의로 고객 정보가 유출되거나 내부 관리자의 부주의로 고객의 계정과 가상서버가 삭제되거나 손실될 수 있다.

4) 집중화로 인한 서비스 장애의 대형화
고객의 중요정보가 서비스 제공자의 클라우드 서버에 모여 있기 때문에 해커의 집중적 공격 대상이 될 수 있으며, 공격 경유지로 악용될 수 있어 침해사고 발생 시 해당 자원을 공유하는 타 고객 서비스까지 연쇄적으로 피해가 확산될 수 있다.

5) 단말기 다양성에 따른 정보 유출
다양한 모바일 기기를 통해 클라우드 데이터에 접속함에 따라 유선환경과는 상대적으로 보안이 취약할 수 있다. 모바일 단말기는 사용자의 개인적인 민감한 정보가 저장되며, 이동성으로 인해 음성 및 데이터의 노출과 분실, 도난으로 인한 정보유출의 위협이 존재한다

이처럼 모바일 클라우드 서비스는 그 편리함만큼이나 다양한 위협 요인들을 지니고 있는데 이러한 보안 위협들을 효과적으로 대응하기 위해서는 다음과 같은 노력이 필요하다.

1) 모바일 클라우드 서비스 정보보호 정책 강화
모바일 클라우드 서비스는 무선네트워크 환경, 가상화, 원격접근, 공유자원 등의 고유의 특성을 갖고 있다. 대부분의 정보보호정책 방향이 기존 IT인프라를 통한 서비스 제공에 기반하여 수립되어 있어, 모바일 클라우드 서비스의 특성을 고려한 보다 강화된 정보보호 정책으로 개선이 필요하다.

2) 강화된 접근통제 시스템
여러 명의 서비스 이용자가 가상화 된 공유자원을 사용하기 위해서는 비인가자가 접근할 수 없는 강화된 인증체계가 필요하다. 또한, 지속적인 모니터링, 암호화 등의 기술력 통해 안전하게 이용자의 정보가 보관될 수 있도록 접근통제 시스템을 강화해야 한다.

3) 지속적인 서비스 제공을 위한 시스템 이원화
집중화된 IT인프라를 통해 서비스를 제공하는 모바일 클라우드 서비스의 특성을 고려하여 공유자원의 장애 및 침해사고로 인한 서비스 중지가 발생되지 않도록 시스템을 이원화하고 재해 발생을 대비한 재해복구체계를 수립하여 운영한다.

4) 가상화머신 악성코드 감염 방지
클라우드 서비스는 IT인프라를 가상화 기술을 통해 분할하여 제공하는 기술을 사용하고 있다. 가상화 기술 중 하이퍼바이저의 취약점으로 인해 악성코드가 유입되면 다수의 이용자에 악성코드가 유포되는 위협이 이슈가 되고 있다. 안티바이러스, IPS 등의 기존 보안시스템보다는 가상화 기반 서비스에 특화된 대응기술이 필요하다.

5) 모바일 기기의 보안 기능 강화
모바일 클라우드 서비스 이용자는 다양한 모바일기기를 통해 서비스를 제공받게 된다. 따라서 무선네트워크 및 모바일 기기 취약점을 통한 정보유출의 위협이 해결되어야 하며, 안전한 모바일 클라우드 서비스 제공을 위해 모바일 기기를 통해 유입되는 악성코드를 탐지하고 차단할 수 있는 보안기능을 제공해야 한다.

모바일 클라우드 서비스는 우리 생활 속에 밀접하게 연결되어 누구나 이용하는 보편화된 서비스로 발전해가고 있다. 점차적으로 모바일 기기의 성능이 진보하고 더 많은 기능을 탑재하면서 많은 서비스들이 생겨나고 있으며, 기업에서는 모바일 클라우드 서비스의 다양한 기능을 활용해 비용절감, 신규 사업 확대 등 큰 효과를 거둘 것으로 기대하고 있다.

그러나, 보편화되고 있는 과정에 여러 가지 보안위협이 예상됨에도 안전한 서비스 제공을 위한 보안성 강화 방안은 더디게 진행되고 있다. 편리성 및 효율성을 증대시키기 위한 노력과 더불어 클라우드 서비스의 취약점을 이용한 위협을 해소하기 위해 보다 강화된 보안 대책을 마련하여 공유자원에 보관된 이용자의 정보를 안전하게 보호할 수 있도록 노력해야 할 것이다. 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지