클라우드 인프라의 보안 설정 확인 자동화 기법에 관한 연구

Abstract

클라우드 서비스 시장 규모는 빠른 성장세를 보이고 있다. 하지만 국내 클라우드 환경의 보안 점검의 경우 클라우드 환경과 서비스를 고려하지 않은 항목들이 다수 존재한다. 대부분의 기업들은 클라우드 인증 및 도입에 따라 보안 및 관리되어야 하는 대상과 서비스들이 많은 클라우드 서비스 환경에 대한 이해부족으로 클라우드 서비스에 대한 보안수준 향상을 위해 클라우드 서비스 보안점검 컨설팅을 진행하는 경우가 많다. 하지만 내부 보안점검 및 컨설팅 등은 시간과 비용 그리고 사람의 의존도가 높은 수동 프로세스로 진행된다. 따라서 기존 방식의 큰 문제점인 시간과 비용을 감소시킬 수 있는 방안으로 업무 프로세스 자동화를 적용하거나 개선한다면 클라우드 보안점검 업무에 대한 생산성을 향상 시킬 수 있을 것이다. 이는 사람의 의존도를 줄이기 위해서 불필요한 반복적인 작업을 줄이고 보안 활동에 집중하여 효율성을 높일 수 있는 방안이 필요하다.

본 논문에서는 클라우드 서비스 환경 보안에 대한 사전 연구와 자동화 분석 방식을 적용하기 위해 기존 분석 방식 연구 및 프로세스를 분리하고 자동화 방식을 적용한 클라우드 서비스 보안 RPA 시스템을 제안하였다. 또한 클라우드 인프라 OS환경을 확인해야 하는 항목들의 경우 클라우드 서비스 이용에 따라 점검하는 것이 불가능 하거나 N/A 처리가 되는 내용들이 많기 때문에 클라우드 서비스 환경 변화의 특성에 따라 고려해야 할 상황들과 많은 부분들을 검토해볼 필요가 있다. 우선 클라우드 서비스 환경에 적합한 기술연구와 자동화 시스템 설계 및 구현을 통해 기존 수행방식의 한계점을 극복하고, 빠르게 전환되는 클라우드 환경에서 효율적인 보안 점검 프로세스 적용을 위한 자동화 방식을 증명하기 위해서 보안 점검 방식에 대한 업무 프로세스 개선 방향과 사람이 단순·반복적으로 처리해야 할 업무와 생산성 있는 업무를 분할하여 효율적인 보안 점검 환경 제공에 대한 기틀을 마련하고 국내 클라우드 서비스 환경에서 보안점검에 대한 문제점과 미비한 부분들을 보완하여 클라우드 보안 체크리스트 항목 개선이 필요한 내용과 자동화 프로세스 구현 및 실험을 통해 클라우드 인프라의 보안 설정 확인 자동화 기법에 관한 연구를 진행하였다.

클라우드 인프라의 보안 설정 점검에 대하여 자동화를 적용하는 방식은 전혀 새로운 방법이 아니며, 다른 분야에서 활용되고 있다. 이는 보안에 대한 연구를 새로운 기술보다는 보다 효율적인 방법에 대한 연구가 필요하다는 것을 알 수 있다. 본 연구가 향후 클라우드 기술적 보안점검 부분에서 참고 및 가이드로써 활용 되어 다양하게 활동하고 있는 컨설턴트, 담당자, 학생 등을 대상으로 조금이나마 도움이 될 것을 기대한다.