[Daily IT News] SW저작권, PUF, 클라우드 보안(공유 책임 모델)

클라우드 전환이 확산되고 이미 시장에서는 클라우드는 기반이 되는 기본 기술이라고 인식하는 시각이 커졌습니다. 그만큼 클라우드에 대한 전반적인 이해도를 높이고, 그 위에 특수 기능에 대해 구현하는 그런 구조를 잘 생각해봐야 하는 시점인 것 같습니다. 그 중 하나가 클라우드 보안인 것 같습니다.

금일(2022.01.17. 월) 신문리뷰 입니다.

 

● 전자신문

 

(도메인)토픽	헤드라인	설명
(SW + 경영) SW저작권	[SW 저작권 보호, 이대론 안된다] <1> 높아진 SW 위상, 저작권 보호도 강화해야	>>  업무와 일상생활에서 SW 의존도가 확대되는 반면에 개인 프라이버시 침해, 개인정보 유출이나 해킹 등을 통한 악용과 디지털 격차 확대에 따른 사회적 불평등은 또 다른 사회적 문제를 야기하고 있다. 특히 사용량이 급격히 증가하는 오픈소스와 서비스형 소프트웨어(SaaS) 등은 무분별한 사용으로 분쟁에 휘말리는 일이 잦아지고 있다. >> 인공지능(AI), 블록체인, 양자컴퓨팅, 차세대 보안기술을 활용한 기술적 해결방안을 찾는 동시에 사회구성원 사이의 신뢰와 사회적 합의, 법·제도적 장치가 필요하다는 목소리가 높아지고 있다. >> SW 전문가는 “사회환경과 SW 트렌드 변화에 따른 SW 지식재산 보호·활용 제도에 근본적인 혁신이 필요하다”면서 “SW를 토대로 4차 산업혁명시대 기술·산업구조가 변화한다는 점에서 선제적 대응을 위해 저작권 보호의 다각적 전략을 마련해야 할 때”라고 말했다. 이어 “SW진흥법을 개정, SW 저작권 보호 기능을 강화하는 한편 분쟁해결 등을 위한 민간 컨트롤 타워도 필요하다”고 덧붙였다.
(보안) PUF	ICTK홀딩스 이정원 대표 " PUF 기반 응용시장 확산 원년될 것"	>> 지난해 물리적복제방지기능(PUF)칩을 내장한 범용가입자식별모듈(USIM)·유무선 공유기(AP)·초소형 내장 가입자식별모듈·고성능 가상사설망(VPN) 등 다양한 제품에 대한 실효성을 고객이 검증했다면 올해는 고객과 신뢰를 바탕으로 상호 협력, PUF 기반의 보안 응용 시장을 안팎으로 본격 확산하는 원년이 될 것입니다 >> ISO에서 ICTK홀딩스의 PUF 기술은 메모리 해킹 기술을 방지하는 보안기술로 등재됐고 GSA 사물인터넷(IoT) 분과에선 회사 PUF의 신뢰점(RoT)을 기반으로 한 보안 응용 표준화를 선도, 글로벌 경쟁사 대비 유리한 고지를 선점한 상태이다. >> ICTK홀딩스는 글로벌 시장에서 PUF칩을 제조할 뿐만 아니라 반도체 비아 홀을 이용해 보정값 입력 문제를 해결한 유일한 회사다. 네덜란드 인트린직ID, 대만 이메모리테크놀로지 등 경쟁기업은 PUF 관련 IP 사업만 진행하고 있다. 이들 기업 PUF 기술은 항상성 문제 해결을 위해 별도 보정 값을 메모리에 저장해야 하는 보안 취약점을 안고 있다. 따라서 IP·칩·모듈·솔루션 등 PUF 기반 다양한 보안 제품을 원스톱으로 제공해 개별 제품에서 발생 가능한 보안 틈새를 완벽하게 차단, 보안성이 강력할 뿐 아니라 안정적이다. LG유플러스·KT 등 고객사들은 이러한 장점을 인정, 파트너 관계를 이어가고 있다. >> 현재 공공 보안 시장 진출을 위해 PUF 보안칩에 대한 한국암호모듈검증(KCMVP) 인증 절차를 밟고 있다. 내년 상반기 인증을 획득해 하반기엔 공공 보안칩 시장에 본격 진출한다. 올해는 ICTK홀딩스 매출이 성장 팽창하는 한 해가 될 것이다.

 

 

● 보안뉴스

(도메인)토픽	헤드라인	설명
(보안) 클라우드 보안	클라우드 보안의 공유 책임 모델 이해하기	>> 클라우드 보안이란 데이터, 애플리케이션, 인프라 서비스를 보호하기 위한 정책, 기술을 말한다. 보안 조치를 통해 사이버 보안 위협과 취약성으로부터 클라우드 컴퓨팅 환경을 보호할 수 있다. 기업은 온프레미스 환경이 현재의 원격근무 환경에 걸맞지 않아 클라우드로 마이그레이션하는 경향이 강해지고 있다. 또한, 디지털 변환 이니셔티브를 가속화하기 위해 노력 중이다. 해커들은 이러한 트렌드를 파고들어 공격을 시도할 기회를 만들어내고 있다. >> 클라우드 보안은 ‘공유 책임 모델’을 통해 클라우드 공급자와 고객 간에 의사소통을 진행한다. 클라우드 공유 보안 책임 모델은 서비스 공급자와 구독자 간에 해당하는 클라우드 보안 및 위험관리 구조다. 이 과정에서 중요한 것은 공유 책임 모델의 개념을 명확하게 이해하는 것이다.  안타깝게도 많은 경우 공유 책임 모델은 기업 내에서 간과되는 경향이 있다. 실제로 기업보안 책임자의 8%만이 SaaS(서비스로서의 소프트웨어) 보안과 클라우드 서비스 공급자 보안에서 자신의 역할을 완전히 이해하고 있다.  클라우드에서 사고가 발생할 경우 그 책임은 누구에게 있을까? 클라우드 서비스 공급자는 유형별 분류를 통해 책임에 대한 가이드를 제시한다. AWS(아마존웹서비스)는 IaaS(서비스로서의 인프라)의 경우 데이터와 애플리케이션, OS에서 발생하는 문제를 고객 책임으로 본다. 서버, 스토리지, 네트워크, 피지컬에서 발생하는 문제는 클라우드 서비스 공급자의 책임으로 본다. PaaS(서비스로서의 플랫폼), SaaS로 갈수록 클라우드 서비스 제공자의 책임이 늘어나는 경향이 있다.  기업들은 워크로드와 데이터를 클라우드로 이동할 때 다양한 클라우드 보안도구를 제공받는다. 이러한 도구 중 일부는 맞춤형 지침과 함께 제공되고 때로는 개별 서비스로 제공된다. 클라우드 사용자와 관리자는 클라우드 보안 서비스가 작동하는 방식, 올바르게 구성하는 방법, 클라우드 배포를 유지하는 방법을 알고 있어야 한다. >> 클라우드를 사용하는 동안 보안 옵션이 부족하고 설정이 복잡하면 사용자가 설정하는 데 있어 실수를 저지르기 쉽다. 이러한 상황에서는 해커들이 설정 오류로 발생한 취약점을 공략해 클라우드 상에서 제공되는 서비스의 운영권한을 탈취하거나 데이터를 빼앗기는 등의 사고가 발생할 수 있다. 이러한 상황을 방지하기 위해서는 ‘보안 책임과 신뢰 공유의 원칙’을 지켜야 한다. 신뢰는 공유 보안 모델의 목표를 유지하기 위해 클라우드 파트너를 선택하는 데 있어 가장 중요한 요소다. 조직은 역할과 책임을 명확하게 이해하고 독립적인 타사 보안 감사 및 증명에 액세스할 수 있어야 한다. 또한, 자동화 및 머신러닝도 중요한 요소다. 기존의 엔터프라이즈 보안이 사람의 속도로 느리게 분석하고 대응하는 동안 클라우드에 대한 위협은 인공지능을 이용해 빠르게 움직이고 있다. 이 때문에 클라우드 환경의 최신 보안정책은 위협 감지 및 대응을 자동화할 필요가 있다. 지능형 위협에는 머신러닝을 통해 위협 예측, 예방, 탐지 및 대응에 새로운 수준의 정교함을 제공하는 보안 솔루션이 필요하다. ‘꾸준한 모니터링’도 클라우드 보안 성공을 위해 필수적이다. 클라우드 구획에 대한 보안정책은 관리자가 안전한 워크로드를 지원할 수 있도록 설정하고 시행해야 한다. 클라우드 보안 상태에 대한 통합적 관찰은 잘못 구성된 리소스 및 안전하지 않은 활동을 감지하는 데 필수적이다. 클라우드 보안을 철저하게 엄수하기 위해서는 ‘업무 분리와 최소 권한 액세스 원칙’을 고수해야 한다. 업무 분리 및 최소 권한 액세스 원칙은 클라우드 환경에서 구현돼야 하는 보안 모범 사례다. 그렇게 하면 개인에게 과도한 관리 권한이 제공되지 않고 추가 승인 없이 민감한 데이터에 액세스할 수 없다.

금일 주목할 기사는 클라우드 보안 관련 기사입니다.

공유 책임 모델의 개념에 대해서는 기존 온프레미스에서는  찾아보기 힘든 그런 내용인데요, 클라우드 서비스의 특징이 사용 범위에 따라 고객, 제공자의 개입이 달라지기 때문에 클라우드 서비스 제공자 (CSP)의 경우에 이러한 모델을 정책적으로 가지고 있는 것 같습니다. 이에 따른 세부 보안 옵션등도 같이 알아 두시면 좋을 것 같습니다.

그리고 주목할 기사는 PUF 관련 기사입니다.
IoT, 가상화폐등의 보안 문제가 지속적으로 이슈화가 되면서 SW 측면이 아닌 물리적인 측면에서의 보안에 더욱 집중하고 있는 모양새 입니다. 그와 관련하여 근본적인 보안인 PUF가 다시 부각 되고 있습니다. 이와 관련한 내용 같이 참고 하셨으면 합니다.