Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Implementation Plan for Cloud Security Monitoring Integration System for Educ ational Institutions

교육기관을 위한 클라우드 보안관제 연동체계 구축 방안

  • 김동우 (한국교육학술정보원(KERIS) 정보보안부) ;
  • 최지우 (한국과학기술정보연구원) ;
  • 이환수 (단국대학교 사이버보안학과)
  • Received : 2025.01.04
  • Accepted : 2025.01.20
  • Published : 2025.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

The government's "Policy to Promote the Adoption of Private Cloud" and the implementation of the "Digital Platform Government" have led to an increase in the adoption of private cloud in educational institutions. However, the response to cyberattacks and the field of security monitoring in cloud environments within educational institutions are still in their early stages. In particular, there are significant challenges in the integration of security monitoring, where security monitoring detection devices are installed based on the network environment of cloud service providers (CSPs) by information security companies and ministry cyber safety centers, and the detected results are transmitted to the ministry's cyber safety center. This paper presents a methodology for security monitoring integration in cloud environments targeting Cloud Security Assurance Providers (CSAPs) based on the cyberattack detection programs developed by national and public institutions in 2021. The significance of this study lies in proposing a cloud environment tailored to educational institutions, as well as a flexible and effective monitoring model.

정부의 '민간 클라우드 도입 활성화 정책' 및 '디지털 플랫폼 정부(digital platform government)' 구현을 위해 교육기관의 민간 클라우드 도입이 확대되고 있다. 그러나 교육기관의 클라우드 환경에서의 사이버공격 대응과 보안관제 분야는 아직 초기 수준이다. 특히, 정보보안업체와 부처 사이버안전센터에서 클라우드 서비스 제공자(CSP)의 네트워크 환경에 따라 보안관제 탐지 장비를 설치하고, 탐지된 결과를 부처 사이버안전센터로 전송하는 부분, 즉 보안관제 연동에 많은 어려움을 겪고 있다. 본 논문에서는 2021년 국가·공공기관에서 개발한 사이버공격 탐지프로그램을 기반으로 클라우드 환경에서 클라우드 서비스 보안인증(CSAP) 업체를 대상으로 보안관제 연동을 위한 방법론을 제시한다. 이를 통해 교육기관에 특화된 클라우드 환경과 유연하고 효과적인 보안관제 모델을 제시하는데 본 연구의 의의가 있다.

Keywords

Ⅰ. 서론

최근 「교육기관 클라우드 서비스 현황조사」 결과에 따르면, 대학들은 학사 정보시스템, 대표 홈페이지, 학습관리시스템(LSM) 등 다수의 클라우드 서비스를 이용하고 있으며, 2023년 하반기 대비 2024년이 약 20% 증가하였으며, 앞으로 더 증가 추세를 보일 것으로 예측된다[6]. 이러한 클라우드 사용의 증가는 클라우드 보안 위협 및 침해사고의 발생 비율과도 밀접한 관련이 있다. 미국 가트너(Gartner) 조사에 따르면 기업·기관 81%가 멀티 클라우드 전략을 채택하고, 55%는 프라이빗 클라우드도 함께 사용하고 있는 것으로 나타났으며, 대부분 응답자는 사이버 보안 관리가 제대로 이뤄지지 않았다고 답했다[1]. 영국 Expert Insight의 조사한 결과, 퍼브릭 클라우드 보안 위협을 경험한 기업은 2024년 기준으로 했을 때 2023년 대비 약 10% 이상 증가하였다[10]. 또한 2027년까지 클라우드와 관련된 침해사고가 전체 침해사고의 2/3 이상으로 증가할 것으로 예측하며 보안 문제 해결이 시급하다고 강조했다[1].

2023년 4월 국가정보원에서는 공공부문의 클라우드 활용이 증가함에 따라 안전한 방식으로 클라우드 서비스를 이용할 수 있도록 「국가 클라우드 컴퓨팅 보안관제 가이드라인」을 제정하였고, 2023년 1월에는 「국가 클라우드 컴퓨팅 보안 가이드라인」을 부분 개정하여 클라우드 영역별 보안 기준을 제시하였다. 2024년 2월 교육부에서도 교육기관 민간 클라우드 이용이 증가함에 따라, 「민간 클라우드 보안관제 주요 보안대책」을 제시하기도 하였다. 그러나 일반적으로 보안관제 체계를 구축하기 위해서는 보안관제 탐지 장비를 설치하고, 탐지규칙 배포 및 탐지된 결과를 부처 사이버안전센터 또는 기관의 분석시스템으로 전송하는 ‘보안관제 연동’이 필수적이지만, 현재 가이드라인 및 보안대책에서는 클라우드 환경에서의 보안관제 연동체계 구축에 대한 세부적인 내용은 없는 실정이다. 이에 본 논문에서는 국가․공공기관에서 2021년 개발한 사이버공격 탐지프로그램을 클라우드 환경에서 클라우드 서비스 보안인증(CSAP) 업체를 대상으로 보안관제 연동을 위한 방법론 수립 및 한계점들을 논의하여 교육기관의 특화된 클라우드 환경의 보안관제 연동체계 구축 방안을 제시하고자 한다.

Ⅱ. 관련 연구

2.1 클라우드 환경과 보안 위협

클라우드 컴퓨팅 정의는 클라우드(인터넷)를 통해 가상화된 컴퓨터의 IT 자원을 요구하는 즉시 제공(On-demand availability)하는 것이며, 특징은 접속 용이성, 유연성, 주문형 셀프서비스, 사용량 기반 과금제 등으로 볼 수 있다. 클라우드는 두 가지 관점에서 배치 모델에 따른 클라우드 유형(Public, Private, Hybrid 등)과 서비스 모델에 따른 클라우드 유형(IaaS, SaaS, PaaS 등)으로 구분할 수 있다[2][5].

클라우드 컴퓨팅의 보안 위협으로는 공격이 예상되는 요소와 기존의 일반적인 보안 위협 외의 클라우드 컴퓨팅 특성으로 인한 보안 위협으로 크게 나누어 생각해 볼 수 있다[23]. 클라우드 환경 구성 요소별 보안 위협은 표 1과 같다[4].

<표1> 클라우드 보안 위협[4]

SOBTCQ_2025_v25n1_37_2_t0001.png 이미지

다음으로 클라우드 컴퓨팅 특성과 환경으로 자원의 공유와 가상화를 통해 중앙 집중화된 환경으로 인한 보안 위협이 존재한다. 보안 위협은 다양한 형태의 이용자가 데이터를 같이 활용하고 있다. 이러한 형태의 클라우드 환경은 취약성과 복합적인 형태의 보안 위협으로 예상된다.

또한 클라우드 컴퓨팅에서의 침해사고의 유형은 크게 3가지로 분류해 볼 수 있고, CSP의 문제, 서비스 사용자의 문제, 그리고 서로의 책임이 공유되는 영역의 문제이다. 미국 가트너에 따르면 2020년까지 클라우드 환경에서 발생하는 95% 이상의 침해사고가 클라우드 사용자의 보안 설정 오류나 관리 부족으로 인해 발생하였다. 또한 클라우드 침해사고 발생 시 원인과 책임을 파악하기 위해 CSP가 관리하는 영역을 바로 확인할 수 없어, 필요한 부분을 CSP에 요청하지만, 책임을 증명하기 쉽지 않다. 그래서 이러한 상황을 방지하기 위해 자체적인 보안 솔루션 등을 통해 보안관제 등을 할 수 있는 체계가 필요하다[2].

2.2 보안관제 체계 현황

2.2.1 국가 보안관제 체계 현황

보안관제센터란 대상 기관의 네트워크, 서버, PC, 데이터베이스 등에서 보안 위협을 모니터링, 탐지, 분석하여 내부정보 유출을 방지 및 대응하기 위해 구성된 프로세스, 인력, 기술의 집합으로 정보보안전문가가 운영하는 사이버 정보센터로 정의하고 있다[14] [15]. 국가 보안관제 체계란 국가 차원의 보안 위협 대응을 위해 국가정보원 국가사이버안보센터(NCSC)가 국가․공공기관과 합동으로 보안관제를 실시하거나, 사이버공격을 탐지ㆍ대응하고 확인하기 위하여 구축ㆍ운영하는 체계를 의미한다[3].

그림 1과 같이 국가ㆍ부문ㆍ단위관제센터가 연동된 ‘3선 보안관제체계’로 구축ㆍ운영되며, 국가ㆍ부문ㆍ단위관제센터가 연동된 3선 보안관제체계는 그림 2와 같다. 이는 보안 위협탐지의 누수를 최소화하고 방어역량을 극대화함이 목적이다. 이와 같은 체계는 클라우드 환경이라 할지라도 기존 자체 전산센터 운영환경(On-premise)과 비슷하게 구성ㆍ연동되어 탐지규칙 전송ㆍ탐지결과 수신 등의 체계는 변화할 수 없을 것이다[3]. 더욱 촘촘한 그물과 같은 형태의 보안관제 환경이 마련되어 추가적 또는 중첩될 수는 있지만, 현재에 맞춰져 있는 방법이 최적이다. 또한 기존에 개발되었던 보안관제 체계의 보안장비를 활용할 수 있으며, 클라우드 환경에서 보안관제 방법론을 적용할 수 있어 업무의 연속성을 보장하며, 환경적인 변화에 의한 오탐 및 과탐 등의 위협 요소에 대응할 수 있다.

SOBTCQ_2025_v25n1_37_3_f0001.png 이미지

(그림 1) 국가 보안관제 체계[3]

SOBTCQ_2025_v25n1_37_3_f0002.png 이미지

(그림 2) 관제센터별 3선 보안관제 체계[3]

2.2.2 교육기관 보안관제 체계

2024년 국가․공공기관에서 「교육기관 클라우드 서비스 현황조사」 결과에 따르면, 교육기관에서 클라우드 서비스를 활용하는 것은 학사 정보시스템, 대표 홈페이지 등 약 400개 서비스를 클라우드로 활용하고 있다. 이 중 약 300개 서비스가 민간 CSP의 보안관제 유료 서비스를 이용하고 있지만, ‘국가 보안관제 체계’에 따른 보안관제는 수행하지 않는 실정이다[6].

「국가 정보보안 기본지침」 및 「교육부 정보보안 기본지침」에서는 ‘보안관제’에 대해 사이버공격을 실시간으로 즉시 탐지 및 분석, 대응하는 일련의 활동으로 정의하고 있고, 교육기관의 보안관제는 그림 3과 같은 형태로써 교육부 디지털교육기획관실의 디지털 인프라담당관실을 중심으로 교육부 사이버안전센터(ECSC)를 통한 보안관제 체계가 구성되어 있다[8].

SOBTCQ_2025_v25n1_37_4_f0001.png 이미지

(그림 3) 교육부 보안관제 체계[8]

교육기관의 보안관제를 담당하는 ECSC는 보안 위협을 탐지규칙으로 개발하여 NCSC의 탐지규칙과 함께 교육기관에 구축된 보안 위협 탐지 장비에 배포하여 해당 탐지규칙에 맞는 보안 위협을 수집하여 분석·대응 업무를 수행하고 있다[8].

교육기관 보안관제 대상 기관은 교육부 및 소속기관, 교육청, 대학, 공공기관 등이고, ‘24.10월 기준 보안관제 연동된 기관은 약 80% 정도이다. 미 연동 기관 유형은 기관위탁, 자체 관제, 제외기관, 미실시 기관이 있으며, 대부분 기관의 예산 부족 이유 등으로 보안관제를 시행하지 않고 있다[9].

국가․공공기관 최초로 개발한 사이버공격 탐지프로그램은 교육기관 대상의 최신 사이버공격 탐지․대응을 위해 개발되었다. 탐지체계는 크게 3가지로 구성되며, 네트워크 페이로드 기반의 보안 위협 탐지, 악성 파일 기반의 보안 위협 탐지, 행위 기반의 보안 위협 탐지로 구성되어 있다[8].

또한 탐지프로그램은 향후 확장성으로 고려하여 Docker-Container 환경으로 구성되어 있으며, 보안 위협을 탐지하는 S/W는 컨테이너 모듈화하여 개발되었다. 상세 사이버공격 탐지체계의 구성은 아래 그림 4와 같다[8].

SOBTCQ_2025_v25n1_37_4_f0002.png 이미지

(그림 4) 사이버공격 탐지체계 구성도[8]

2.3 클라우드 보안관제 체계

2.3.1 클라우드 보안관제 전제 조건

클라우드 보안관제 시 전제 조건은 아래와 같이 분류해 볼 수 있다. 첫째, 클라우드에서 기본 제공되는 트래픽 모니터링 등 보안 서비스는 CSP가 클라우드에 대한 관리 책임상 필요한 기능을 운영하면서 고객에게 제공하는 서비스이다. 이는 ‘국가 보안관제 체계’에 따른 보안관제와 체계 자체가 다르며, 사용자가 요구하는 별도 탐지규칙 적용 및 실시간 탐지결과 확인ㆍ대응 등에 한계가 있다. 따라서 ‘국가 보안관제 체계’에 따른 보안관제를 수행하기 위해서는 클라우드에 적합한 정보보호시스템을 선정ㆍ운영하여야 한다. 교육기관은 국가․공공기관에서 2021년 개발한 사이버 공격 탐지프로그램을 활용하여 클라우드 보안관제 탐지 장비로 활용하려고 한다[3].

보안관제 탐지 장비를 설치 이후 탐지규칙을 배포하거나 탐지된 결과를 부처 사이버안전센터에 전송하는 ‘3선 보안관제 체계’를 구축하기 위해 ‘보안관제 연동’이 필수적이다. 이 부분은 On-premise 환경뿐만 아니라 클라우드 환경에서도 적용된다[3].

둘째, 클라우드와 보안관제센터 간 송ㆍ수신되는 탐지규칙 및 보안 위협탐지 결과 등에 대한 기밀성과 무결성 제공을 위해 전용선 또는 가상사설망(VPN) 등 안전한 통신망 구축이 필요하다. 교육기관은 보안 관제 대상 기관이 많고, 안전한 통신망 구축에 많은 예산이 소요되어 안전한 통신망 구축하는 대신 송ㆍ수신되는 탐지규칙 및 위협탐지 결과를 암호화하여 송ㆍ수신하는 실정이다[3].

셋째, SSL 암호화 트래픽에 대한 가시성 확보하여 보안관제를 수행하기 위해서는 SSL 가시화 시스템(HW 또는 SW방식) 도입이 필요하며 기본적으로 탐지규칙을 수신하는 탐지 장비에 복호화 트래픽을 전송하도록 구성되어 있어야 한다. 하지만 일반적으로 클라우드 환경에 따라 로드발란서(기존 L4 개념)에서 SSL 복호화 기능을 지원하기도 하며 해당 기능을 활용하여 SSL 암호화 트래픽을 복호화하고 복호화된 트래픽을 탐지 장비에서 활용하는 방식으로 구축할 수 있다[3].

넷째, 탐지규칙에 대한 안전한 관리 방안을 수립하여야 한다. NCSC와 각급기관 보안관제센터가 개발한 탐지규칙은 「국가 정보보안 기본지침」에 따라 비공개 대상 정보 및 국가정보자료로서 취급ㆍ관리함에 따라 암호화 저장ㆍ전송하여야 하며 외부 유출을 금지하는 등 보안 조치를 취한다[3].

다섯째, 클라우드 보안관제를 위한 예산 수립이 없으면 모든 연계 및 구축은 어렵다. 클라우드를 이용하는 기관은 클라우드에 대한 보안관제 수행을 위해 클라우드용 정보보호시스템 도입 및 클라우드센터↔보안관제센터(또는 기관) 간 탐지결과 송ㆍ수신 등으로 인해 발생하는 제반 비용을 고려하여야 한다. 클라우드 보안관제는 초기 투자 비용은 저렴하나 구독서비스와 유사하게 매달 일정 비용이 발생할 수 있다[3].

2.3.2 클라우드(IaaS) 보안관제 기준

클라우드 서비스는 형태에 따라 IaaS, PaaS, SaaS로 구분되며 PaaS 및 SaaS 클라우드는 사용자로 하여금 업체에서 제공하는 특정 시스템을 활용토록 한다는 점에서 IaaS형과 구분된다. 따라서 보안관제 관점에서 크게 IaaS 클라우드 보안관제와 PaaS 및 SaaS 클라우드 보안관제로 구분될 수 있다[3].

본 논문에서는 국가ㆍ공공기관에서 주로 활용될 IaaS 클라우드에 대하여 클라우드 이용기관에서 준수해야 하는 보안관제 기준은 다음과 같다.

첫째, 클라우드 이용기관은 클라우드 센터내 관제대상에 대한 보안관제 주체임을 인식하고 직접 관제를 위한 제반 사항을 준비하여야 한다. 민간 CSP가 직접 운영하는 관제 서비스는 탐지규칙을 활용할 수 없으므로 CSP를 통한 위탁 관제는 불가하다[3].

둘째, SSL 가시화 기능 및 탐지규칙 적용 가능한 탐지 장비를 제공할 수 있는 CSP를 선택하여야 하며, 탐지 장비는 기존의 3선 보안관제체계와 연동이 가능한 것으로 선택할 수 있도록 탐지 장비 호환성 검토를 해야 한다[3].

셋째, SSL 가시화 기능을 통해 복호화된 트래픽을 탐지 장비에서 활용할 수 있도록 클라우드 관제체계를 구성하여야 한다. 그림 5는 IaaS 클라우드 보안관제 개념도이다[3].

SOBTCQ_2025_v25n1_37_5_f0001.png 이미지

(그림 5) IaaS형 클라우드 보안관제 개념도[3]

넷째, 클라우드센터↔보안관제센터(또는 기관) 간 탐지규칙 및 탐지결과의 안전한 송ㆍ수신을 위해 전용선 또는 가상사설망(VPN)을 구성하여야 한다[3].

다섯째, 클라우드로 전송되는 탐지규칙은 탐지 장비에서만 복호화되도록 별도 암호화 처리하고, 탐지규칙이 클라우드상에서 평문 상태로 저장 또는 유통되지 않도록 관리적 보안 조치를 마련하여야 한다[3].

여섯째, 클라우드에서 탐지규칙을 활용하여 탐지 장비가 탐지한 탐지결과는 해당 기관 또는 단위/부문 보안관제센터로 전송하여야 한다. 또한 클라우드로부터 수신한 탐지결과는 기존 3선 보안관제체계에 따라 국가관제망을 통해 NCSC로 전송하여야 한다[3].

일곱째, 프라이빗 클라우드 이용기관의 경우 SW기반 시스템뿐만 아니라 기존 온프레미스 환경과 동일하게 물리적 정보보호시스템을 이용할 수 있으며, 프라이빗 클라우드 이용기관은 보안관제 대상 기관 자산 규모 및 예산 등을 종합 고려, 적합한 보안관제체계를 선택하여 구성해야 한다[3].

여덟째, IaaS에 대한 보안관제를 수행함에 있어 다른 기관이 운영하는 보안관제시스템을 활용하는 것이 더 효율적인 경우에는 「사이버안보 업무규정」및 「국가사이버안전관리규정」에 따라 다른 기관의 보안관제센터에 보안관제업무를 위탁할 수 있다[3].

아홉째, 각급기관은 IaaS 클라우드 활용 전 반드시 관제 대책을 포함한 클라우드센터내 관제 대상 보호에 중점을 둔 보안성 검토를 완료하여야 한다[3].

Ⅲ. 교육기관 클라우드 보안관제 연동체계

3.1 교육기관 클라우드 보안관제 방안

교육기관의 클라우드(IaaS) 기반 보안관제로 전환을 위해서는 구체적인 수행 방안 마련이 필요하다. 클라우드 보안관제를 수행하기 위해 보안관제 대상이 되는 가상 네트워크 환경 VPC(Virtual Private Cloud) 내 트래픽을 미러링(mirroring) 받아서 사이버공격 탐지체계를 통해 NCSC 및 ECSC 탐지규칙 기반으로 탐지 및 분석이 수행되어야 한다. 이를 위해 OSV-DPDK(Open Virtual Switch with Data Plane Development kit)를 통해 고성능 패킷 처리 및 가상 인터페이스를 생성이 필요하고, 여기서 수집한 트래픽을 사이버공격 탐지체계 탐지 프로세스가 탐지규칙과 매칭되는 패킷을 탐지하게 된다. 이를 통해 ECSC 보안관제 종합시스템을 통해 탐지이벤트를 분석하여 침해사고를 확인할 수 있다. 그림 6은 클라우드 기반의 탐지체계 방안이다.

SOBTCQ_2025_v25n1_37_6_f0001.png 이미지

(그림 6) 클라우드 기반의 교육기관 보안관제 탐지체계 방안

교육기관 정보보안 사각지대를 해소하고, 안전한 클라우드 서비스 이용을 위한 클라우드 보안관제를 위해서는 기술적 측면과 관리적 측면의 고려가 필요하다. 먼저 기술적 측면에서는 ① 민간 클라우드 보안 관제 수행 시 ECSC에 보안관제 업무 위탁 ② 교육기관 중 클라우드 이용기관은 특정 영역에 탐지규칙을 적용할 수 있는 클라우드 기반 탐지 장비 설치 ③ 민간 클라우드로 전송되는 탐지규칙은 탐지 장비에서만 복호화되도록 별도 암호화 처리 및 안전한 송수신을 위해 보안대책을 마련 등이 있다[7].

관리적 측면에서는 ① 민간 클라우드 활용 전 반드시 보안관제 대책을 포함한 기관 자산 보호에 중점을 둔 보안성 검토 ② 보안관제 수행 및 국가 보안관제 체계와 연계(3선 보안관제 체계)하기 위한 제반환경 지원 등 제재 사항을 계약서(특약)에 반영해야 한다. 위와 같이 기술적, 관리적 측면을 고려하여 아래 그림 7과 같은 보안관제 체계 운영이 가능하다[7].

SOBTCQ_2025_v25n1_37_7_f0001.png 이미지

(그림 7) 교육기관 클라우드 보안관제 체계 방안[7]

3.2 교육기관 보안관제 연동체계 방안

3.2.1 교육기관 보안관제 표준연동체계 방안

표준연동규격 설계서는 ECSC 보안관제 종합시스템과 교육기관에 탐지규칙 및 탐지결과 연동을 위해 ‘국가 통합보안관제 정보공유시스템 연계표준 가이드라인’을 기반으로 ‘18.2월에 작성 및 배포되었다. 이에 교육기관은 본 표준연동규격을 준수하여 ECSC와 보안관제를 연동할 수 있다[8].

NTM(Network Threat Management) 표준연동규격 체계는 다음과 같은 구조를 가지며, 표준연동규격은 ECSC 보안관제 종합시스템과 NTM 장비 간의 표준 규격을 정의한다[8].

SOBTCQ_2025_v25n1_37_7_f0002.png 이미지

(그림 8) NTM 표준연동 구성도[8]

ECSC 배포서버와 교육기관 탐지장비를 연결하고, ECSC 탐지규칙 배포서버는 각 교육기관에 설치되어 있는 NTM과 연결(1대 이상)되어 탐지규칙을 배포한다. NTM은 스노트(Snort) 및 PCRE(Perl Compatible Regular Expressions) 기반의 탐지와 페이로드(PCAP) 추출이 가능한 장비로 표준연동규격을 설계하였다[8].

MTM/ETM(Malware Threat Management/EMail Threat Management) 악성파일 표준 판별체계는 다음과 같은 구조를 가지며, 표준연동규격은 ECSC 보안관제 종합시스템과 MTM 장비 및 ETM 장비 간의 표준규격을 정의한다[8].

ECSC 배포서버와 교육기관 탐지장비를 연결하고, ECSC 탐지규칙 배포서버는 각 교육기관에 설치되어 있는 MTM/ETM과 연결(1대 이상)되어 탐지규칙을 배포한다. MTM/ETM은 YARA 기반 탐지와 파일추출이 가능한 장비로 표준연동규격을 설계하였다[8].

SOBTCQ_2025_v25n1_37_7_f0003.png 이미지

(그림 9) MTM/ETM 표준연동 구성도[8]

3.2.2 교육기관 클라우드 보안관제 연동체계 방안

국가 통합보안관제 정보공유시스템 연계표준 가이드라인 및 ECSC 보안 위협정보 표준연동규격 설계서를 바탕으로 하여 교육기관 클라우드 보안관제 연동체계 방안 및 체크 항목을 작성하였다.

클라우드 보안관제 연동체계 방안도 On-premise 환경과 동일하게 ECSC 보안관제 종합시스템과 CSP 간에 아래와 같이 총 3단계를 거쳐 보안 위협 정보를 연동해야 한다.

1단계, ‘탐지 장비 구축’은 클라우드 기반의 교육기관 클라우드 보안관제 탐지체계 방안에 따라 VPC 내 트래픽을 미러링(mirroring) 받아서 보안 위협 정보를 탐지하기 위해 클라우드 기반의 탐지 장비를 설치하는 것이다.

2단계, ‘탐지규칙 배포 및 적용’ 연동은 CSP에 설치된 탐지 장비로 NCSC 및 ECSC의 탐지규칙을 안전하게 송․수신하는 것이다.

3단계, ‘탐지결과 전송’ 연동은 보안관제 대상 서비스에서 사이버공격 발생 시 스노트(Snort) 및 PCRE(Perl Compatible Regular Expressions)와 YARA 탐지이벤트를 ECSC 보안관제 종합시스템에 전송하는 것이다. 물론 ‘3선 보안관제 체계’에 따라 NCSC에도 탐지결과가 전송된다.

‘21년도 ECSC 사이버 위협정보 표준연동규격 테스트 항목 및 교육기관 클라우드 보안관제 방안을 근거로 클라우드 보안관제 연동체계 구축 시 체크하여야 할 항목 및 점검 내용은 표2와 같다.

<표2> 클라우드 보안관제 연동체계 체크 항목

SOBTCQ_2025_v25n1_37_8_t0001.png 이미지

3.3 교육기관 클라우드 보안관제 연동체계 적용 시 고려 사항

On-premise 네트워크 환경은 거의 비슷하여 사이버공격 보안관제 연동 시 문제가 되지 않는다. 하지만 국내·외 CSP의 장소 및 네트워크 구성은 공개가 되지 않고 대외비 수준으로 관리되어 실제 서비스를 이용하지 않는 한 알 수 없다. 이에 국내 CSP 중 교육기관에서 많은 사용하는 TOP 3 CSP를 대상으로 교육기관 클라우드 보안관제 연동체계 적용 시 고려되어야 할 사항들을 분석하였고, 그 결과는 다음과 같다.

CSP 모두 탐지규칙 배포 및 적용, 탐지결과 전송 보다는 탐지 장비 구축 시 트래픽 미러링하는 부분에서 문제점이 발견되었다. 이는 각 CSP별 시스템 및 네트워크 구성 등의 차이로 인해 발생한 것으로 파악되었다. 각 CSP 모두 탐지 장비 구축시 트래픽 미러링하는 방식에 차이가 있었다. (A사)CSP와 (C사)CSP는 탐지 장비에서 직접 포트 미러링하는 방식으로 트래픽을 미러링하였고, (B사)CSP는 미러링 전용장비를 통한 트래픽을 미러링하였다. 그러므로 클라우드 보안관제 연동 시 가장 먼저 고려할 사항은 탐지 장비 구축 시 트래픽 미러링하는 방식에 대해 체크를 하여야 하고, CSP 네트워크 환경상 미러링이 어려운 경우에는 미러링 전용장비를 활용하여 미러닝을 하여야 한다. 본 논문은 국내 CSP 중 일부 CSP만을 대상으로 조사를 하였지만, 향후 교육기관에서 사용하는 약 60개의 국내·외 CSP와 보안관제 연동을 위해서는 이를 대상으로 분석하여 다양한 클라우드 네트워크 환경을 파악할 필요가 있다.

위 결과를 토대로 클라우드 보안관제 연동체계 구축 한계점을 살려보면 다음과 같다. 첫째, 국가․공공기관은 On-Premise 기반의 사이버공격 탐지 장비에 대한 표준연동규격이 마련되어 있어 이에 따라 연동을 수행하면 문제가 없지만, 클라우드 기반의 사이버공격 탐지 장비에 대한 표준연동규격은 마련되어 있지 않아 연동에 어려움이 있다. 둘째, 클라우드 서비스 제공사(CSP)별로 시스템 구성, 정보보호시스템 및 네트워크 장비, 소프트웨어 등이 차이가 있어서 연동하기 위해 많은 시간과 비용이 소요된다. 셋째, 보안관제 대상 기관에서 클라우드용 사이버공격 탐지 장비 및 미러링 전용장비 등을 구축비용 및 클라우드는 외부로 전송되는 데이터에 대한 비용 등 큰 비용이 소요된다.

Ⅳ. 결론

본 연구는 클라우드 기반의 교육기관 보안관제 탐지 체계 방안을 제시하여 클라우드 보안관제에 초석을 다졌다. 특히 국가․공공기관이 최초로 개발한 탐지 장비를 활용하여 기관에서 클라우드 보안관제 체계 구축 예산을 절감시키는 방안을 제시하였다는 점에서 의의가 있다. 또한 클라우드 보안관제 연동체계에 대한 방안을 제시하였을 뿐만 아니라 이를 국내 CSP를 대상으로 적용하였다는 점에서도 실무적 의의가 있다. 그러나 연구 주제의 특성상 실질적 효과에 대해서 제시하지 못했다는 점에서는 한계가 있다. 그러나 본 연구에서 제시한 연동체계 및 방법론은 국내에서 가장 많은 대상 기관을 보유하고 있는 교육기관의 다양한 환경을 모두 만족하는 검증된 관리체계를 기반으로 하고 있고, 클라우드 보안관제 요구사항들을 고려하였기 때문에 보다 효율적이고 엄격한 관리가 가능하다.

향후, 클라우드 기반의 교육기관 보안관제 연동체계 구축을 위한 PoC(Proof of Concept), BMT(Benchmarking Test) 등을 위한 테스트 환경 및 방법을 마련하여 실증 연구를 수행한다면 교육기관이 클라우드 환경을 구축하고 연동하는데 보다 구체적인 방향을 제시하는데 기여할 수 있을 것이다.

References

  1. 데이터넷, https://www.datanet.co.kr/news/articleView.html?idxno=196486, 2024.9.
  2. 황치하, 양지언, '클라우드 실무가이드 보안', 프리렉, 2020.
  3. '국가 클라우드 컴퓨팅 보안관제 가이드라인', 국가정보원, 2023.4.
  4. '국가 클라우드 컴퓨팅 보안 가이드라인', 국가정보원, 2023.1.
  5. 위키피디아, https://ko.wikipedia.org/wiki/%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C_%EC%BB%B4%ED%93%A8%ED%8C%85
  6. '교육기관 클라우드 현황조사 결과', 교육부, 2024.
  7. '교육기관 민간 클라우드 보안관제 주요 보안대책', 교육부, 2024.
  8. '교육기관 차세대 사이버위협 탐지체계 구축 가이드라인', 교육부, 2024.4.
  9. '정보보호팀 통계자료', 교육부, 2024.11.
  10. 김미연, 최상훈, 박기웅, "클라우드 포렌식에서의SLA 한계와 개선 방안 제안" ACK2024 학술발표대회 논문집, 제31권, 2024
  11. Gartner says cloud computing will be as influen­tialas e-business, http://www.gartner.com/it/page.jsp?id=707508, 2008.6.
  12. Cloud computing, wikipedia, http://en.wikipedia.org/wiki/Cloudcomputing
  13. 이종숙, 박형우, "국내외 클라우드 컴퓨팅 동향 및전망", 정보처리학회지 제16권 제2호, 2009.
  14. 정일옥, 조창섭, 지재원, "사이버 보안관제 체계문제점과 머신러닝 적용 기술 현황", 정보보호학회지 제31권, 제3호, 2021.
  15. Terres, Alissa, 'Building a World-Class Security Operation Center:A Roadmap', SANS, 2015.
  16. Why Your Business Needs A Security Operation Center, https://www.forbes.com/sites/eycybersecurity/2017/05/09/why-your-business-needs-a-securityoperations-center/?sh=34436fb742aa , 2019.5.
  17. '교육부 사이버안전센터 보안관제 업무매뉴얼', 한국교육학술정보원, 2024.
  18. 한충희, "사이버위협 탐지대응 분석과 차단 방안연구", 전남대학교, 2019.
  19. 김영희, "Public 클라우드 컴퓨팅 환경에서 통합보안관제를 위한 아키텍처 설계", 정보처리학회지, 제29권, 제4호, 2022.
  20. 양환석, 이병천, 유승재, "클라우드 컴퓨팅 환경을위한 침입탐지시스템 특징 분석", 융합보안 논문지, 제12권, 제3호, 2012.
  21. 박춘식, "클라우드 컴퓨팅에서의 보안 고려사항에관한 연구", 학국산학기술학회논문지 제12권, 제3호, 2011.
  22. 이준원, 조재익, 이석준, 원동호, "사이버공격 탐지를 위한 클라우드 컴퓨팅 활용방안에 관한 연구", 한국항행학회 논문지, 제17권, 제6호, 2013.
  23. 변연상, 곽진, "클라우드 환경에서의 통합 보안관제 모델 연구", 디지털융복합연구, 제11권, 제12호, 2013.
  24. 김영진, 이수연, 권헌영, 임종인, "국가 전산망보 안관제업무의 효율적 수행방안에 관한 연구", 정보보호학회논문지, 제19권, 제1호, 2009.
  25. 장환, "위협 모델링 분석에 의한 클라우드 보안관제시스템 보안요구사항도출", 정보처리학회논문지, 제10권, 제5호, 2021.
  26. 방세중, 강승원, 이승하, 김태형, "클라우드 컴퓨팅 환경의 DDoS 방어용 보안관제 인프라설계", 한국통신학회학술대회논문집, 제2011호, 제6호, 2011.
  27. 최주영, "IaaS 클라우드 서비스의 동적 특성을 고려한 보안관제 모델 연구", 서울여자대학교, 2012
  28. 홍상범, 김성철, 이미화, "네트워크 가상화 기반 클라우드 보안 구성에 관한 연구", 융합보안논문 지, 제23권, 제5호, 2023.
  29. 이재원, " 중소기업 보안관제를 위한 효과적인 ESM 연동방안 연구", 동국대학교, 2014.
  30. 이동건, " 보안관제 효율성 제고를 위한 시스템 구축방안 연구", 동국대학교, 2020.