McAfee Labs가 발표한 McAfee Threats Report: Fourth Quarter 2010에 따르면 2010년 모바일 플랫폼에 대한 사이버 공격은 특히 스마트폰의 경우 증가했다(참고자료 참조). 모바일 클라우드 컴퓨팅을 정의한 모바일 플랫폼과 클라우드 컴퓨팅의 융합 면에서 현재의 지속적인 열기를 고려하면 이러한 위협을 이해할 필요성과 이에 대해 무엇을 수행해야 하는지는 명백하다.

McAfee 보고서는 또한 모바일 위협 환경이 새 모바일 플랫폼이 등장하고 범죄자들이 새로운 악용을 모색하면서 유동적이라고 제안한다. 이러한 진화하는 위협 환경은 일부 비즈니스에 영향을 주고 있다. 예를 들어, Google은 일부 주 및 현지 정부에 클라우드 기반 이메일 서비스를 도입하는 계약을 완수하는 면에서 어려움으로 인해 최근에 뉴스에 회자되었다. Google 보도 자료에 의하면 일부 문제는 솔루션을 전달하기에 어렵게 만드는 연방 보안 가이드라인을 변경하는 것과 관련이 있다.

늘어나고 변화하는 보안 위협 환경에 대비해 보호하기 위해 무엇을 수행할 수 있는가? 데스크탑 보안은 비즈니스가 수 년 간 직면한 문제이다. 학습된 교훈은 클라우드 컴퓨팅으로 전승되었다. 사실, 클라우드 보안은 많은 공급업체가 다루는 주제이며 클라우드 오퍼링의 특징으로 나타난다. 일부 공급업체는 허가한 엔티티에서부터 취득한 보안 인증을 권유한다. 하지만, 데스크탑 분야에서 학습한 교훈들이 모두 모바일 분야에서 너무 빠르게 잊혀지게 된다는 인식이 있다. 많은 사람들은 모바일 디바이스가 여전히 보안 공격에 취약한 것으로 인식한다.

이 기사는 클라우드에서 보안 공격의 현재 상태, 모바일 클라우드 디바이스의 취약점 및 이러한 취약점이 어떻게 해결되는지에 대해 살펴보면서 모바일 클라우드 보안 문제를 다룬다. 모바일 클라우드를 안전하게 하기 위한 향후 문제점도 논의되고, 개발자를 위한 기회도 고려된다.

모바일 클라우드 컴퓨팅 및 보안 위협

해커가 악명이나 호기심으로 동기부여되었던 시절이 있었다. 하지만, 최근 몇 년간의 뉴스에 따르면 오늘날 해킹의 주된 동기부여는 재정적 이득이라고 한다. 예를 들어, 이 기사가 쓰여진 시점에 영국 뉴스 저널인 The Register는 핀란드 은행 계정에서 미화 일백 칠십만 달러를 유용하려는 시도로 Trojan 악성 소프트웨어(맬웨어)의 계통을 사용한 한 무리의 사람들이 체포되었다고 보고했다. 또 다른 최근 뉴스 항목에는 Android 맬웨어의 400퍼센트 증가를 보고한 것도 포함된다.

이전에 언급한 McAfee 보고서는 모바일 위협 성장이 꾸준한 반면, 위협의 볼륨은 개인용 컴퓨터보다 훨씬 더 적다고 주장했다. 하지만, 예측은 모바일 클라우드 시장의 가치는 2014년까지 미화 94억 달러에 이를 것이라고 한다. 모바일 클라우드가 스마트폰의 늘어나는 확산을 통해 성장하면서, 잠재적으로 유리한 클라우드 비즈니스로 침입을 하나 더 모색하는 범죄자들에게 스마트폰이 점점 더 매력적이 될 것이라고 예상할 수 있다. 지금은 모바일 클라우드로 보안 위협을 이해하고 보안 위협의 피할 수 없는 증가에 대비를 시작할 좋은 시점이다. 모바일 클라우드 보안 위협에 일부 통찰력을 확보하기 위해 해킹의 현재 상태를 간단하게 살펴보고 시작하자.

모바일 클라우드 보안 위협을 논의할 때, 주된 관심사는 스마트폰과 태블릿 플랫폼에 대한 위협이다. 이러한 위협은 다음 세 가지 카테고리로 나뉠 수 있다.

• 실제 위협
• 모바일 네트워크 보안에 위협
• 맬웨어의 위협

실제 위협

모바일 디바이스에 실제 위협의 기본적인 세 가지 유형은 대여, 분실 및 도난이다. 이러한 세 가지 중 도난은 그 활동 자체가 악성이므로 가장 명확하다. 통계에서 이러한 카테고리를 찾는 것이 어렵지만, 일부 보고서는 실제 분실이 매년 천 이백만에서 삼천 오백만 건까지 이를 수 있다고 말한다. (스마트폰과 태블릿 통계를 사용하기에 준비되지 않으므로 이러한 숫자는 휴대전화에 관한 것이다.) 도난 데이터는 찾기에 훨씬 더 어렵다.

모바일 디바이스를 친구 또는 가족 구성원에게 대여하는 것은 해가 되지 않는 것처럼 보일 수 있지만 해당 개인이 권한이 없는 데이터 또는 애플리케이션에 액세스하도록 사용할 가능성을 높인다. 예를 들어, 맬웨어를 다운로드하여 스마트폰에 위험을 일으킬 수 있는 인터넷 사이트로 액세스를 사용할 가능성도 있다.

분실되거나 도난 당한 모바일 디바이스는 디바이스에서 데이터의 오용의 문제뿐만 아니라 디바이스 자체의 오용의 문제를 야기한다. 모바일 디바이스는 PIN 기반 또는 비밀번호 기반 잠금 기능을 특징으로 한다. 하지만, 이 기능은 소유자가 사용하지 않는 경우도 많다. 잠금 기능이 사용될 지라도 잠금을 해제시키는 방법이 있다. 예를 들어, USB(Universal Serial Bus) 연결을 통해 스마트폰을 컴퓨터에 자동화하고 잠금을 무시하여 iPhone에 액세스를 취득할 수 있다. 다른 스마트폰 유형에 대한 잠금의 우회도 마찬가지로 가능하다.

개발자들은 중요한 데이터를 소프트웨어로 제어할 때 애플리케이션의 추가 계층과 데이터 레벨 보안을 추가할 수 있다. 물론 모든 애플리케이션이 중요한 데이터에 액세스하는 것은 아니지만, 액세스하는 이러한 개발자들은 액세스 제어 면에서 빌드하여 애플리케이션의 보안을 향상시킬 수 있다.

개발자들은 데이터가 스마트폰에서 어디에 저장되었는지 인식할 수도 있다. SIM(Subscriber identity module) 카드는 일반적으로 등록자 및 계약 데이터와 텍스트 메시지를 보유한다. 이러한 카드는 많은 디바이스에서부터 간편하게 제거될 수도 있고 누구나 읽을 수도 있다. 개발자들은 SIM 카드에 저장될 필요가 없는 어떤 데이터도 SIM 카드에 저장하지 않도록 한다.

모바일 클라우드는 또한 분실되거나 도난 당한 스마트폰으로 나타나는 데이터 손실에 대해 어느 정도의 보호를 제공한다. 클라우드를 통한 데이터의 백업 또는 동기화는 개발자가 사용해야 하고 비즈니스 정책으로 강제되어야 하며 사용자가 의식적으로 추구해야 한다.

모바일 네트워크 보안에 위협

스마트폰의 흥미로운 특성 중 하나는 사용자 액세스 방법이 여러가지라는 점이다. \휴대전화 네트워크를 통한 액세스 외에도 대부분은 Wi-Fi와 Bluetooth를 통해서도 액세스할 수 있고, 일부는 적외선 및 RFID(radio-frequency identification)로 액세스 가능하다. 휴대전화 네트워크(3G 또는 4G)는 전화 서비스에 액세스는 물론이고, 인터넷 서비스와 SMS(Short Messaging Service) 통신에 액세스를 사용한다. 다른 인터페이스(Wi-Fi, Bluetooth, 적외선 및 RFID)는 데이터 교환에 주로 사용된다. 보안 관점에서 보면 모든 인터페이스가 민감한 정보를 노출할 가능성이 있고 악성 데이터를 수신할 가능성이 있다. 이는 잠재적으로 다양한 방식으로 이들을 취약하게 만들며, 이는 표 1에 설명하고 있다.

맬웨어의 위협

맬웨어는 오랜 기간 동안 데스크탑과 개인용 컴퓨터에 위협이 되었다. 정교하고 완전한 기능을 갖춘 컴퓨터인 스마트폰은 맬웨어 제작자의 늘어나는 관심을 받고 있다.

모바일 클라우드는 일반적으로 스마트폰에 사용할 수 없는 이러한 위협에 한 가지 솔루션을 제공한다. 권한 부여된 소프트웨어는 클라우드에 저장되고 클라우드에서부터 분배될 수 있다. 맬웨어가 발견되고 의심될 때 스마트폰 소프트웨어는 클라우드의 신뢰할 수 있는 백업에서부터 복원될 수 있다.

위로

모바일 클라우드 안전하게 하기

일반적으로 개발자들은 다른 정보 기술(IT) 모델 중 어느 것도 비즈니스를 지원하기 위해 사용했다고 기대하지 않는 것처럼 모바일 클라우드가 보안 위협에서 벗어난다고 기대하지 않는다. 대신에 개발자들은 위험 절감, 완화 및 저지 등의 측면에서 보안을 인식한다.

의례적으로 개발자들은 방위선내 방어의 측면에서 IT 보안을 생각한다. 이는 실제적이고 전자적으로 보호되는 한정된 공간 내에서 계산 가능한 자산을 유지한다는 의미이다.

모바일 클라우드 컴퓨팅은 상황을 더 어렵게 만든다. 왜냐하면 보안 관점에서 보면 관련된 모바일 디바이스(스마트폰과 태블릿)가 외부 세상과 더 친밀하게 그리고 더 광범위한 기술 제품군들을 통해 상호작용하기 때문이다.

다음 두 가지 신흥 보안 모델은 모바일 클라우드를 안전하게 하는 합리적인 접근방식을 제공한다.

• 데이터 중심 보안 모델
• 데이터 손실 예방

각 모델은 서로 독립적으로 구현될 수 있지만, 서로 움직이지 않는 데이터와 네트워크를 통해 전송 중인 데이터를 안전하게 하는 데 도움을 주기 위해 보완한다.

데이터 중심 보안 모델

데이터 중심 보안 모델(DCSM)은 다양한 레벨 중 하나와 연관되어 데이터를 보호하고 각 레벨로 액세스 제어를 규정하는 접근방식을 제공한다. 데이터 레벨이나 카테고리는 임의로 설정될 수 있지만, 악의적 의도를 가진 사람이 데이터에 액세스하는 경우 발생하는 손상 레벨에 따라 데이터를 일반적으로 그룹화한다.

대부분의 비즈니스는 별도로 분류될 수 있는 데이터를 사용한다. 예를 들어, 하나의 회사 데이터베이스는 고객 데이터(주민등록번호, 신용카드 데이터), 법인 데이터(인수 및 합병, 재정) 및 지적 재산권(소스 코드, 가격 정책)을 포함할 수 있다.

데이터를 분류하는 것은 보통 비즈니스 요구사항과 규제의 기능이다. 미국 HIPAA(Health Insurance Portability and Accountability Act) 보안 규제는 정부 강제된 데이터 보안의 한 가지 예이다. 카테고리가 설정된 후에, 액세스 제어 규칙이 작성되고 강제 실행될 수 있다.

이 경우에 모바일 클라우드는 생각하건대 액세스 제어 규칙의 강제 실행을 강화할 수 있다. 예를 들어, 데이터의 특정 카테고리에 대한 사용자의 액세스는 사용자의 모바일 디바이스가 미국 어느 지점으로 해당 위치정보를 보고하는 것이 필요할 수 있으며, 그렇지 않으면 액세스가 거부된다.

데이터 손실 예방

데이터 손실 예방(DLP)은 데이터 손실을 저지할 뿐만 아니라 손실되거나 오용된 위험에 처한 데이터를 발견하려고 시도하는 방법론이다. DLP 접근방식은 이동 중인 데이터, 움직이지 않는 데이터, 사용 중인 데이터를 처리하며, 이는 표 2에서 설명하고 있다.

이러한 DLP의 신흥 기술은 개발자와 연구자에게 좋은 기회를 제공한다. 훌륭한 위협 서명 식별은 새 위협 유형이 부상하면서 지속적인 문제점이 될 것이다. 위협 발견 규칙과 보안 정책 강제가 요구된다. 또한, 구현 방식은 성장에 비옥한 지역이다. 예를 들어, DLP보트 — 스마트폰과 태블릿에 실행하는 소규모 애플리케이션 —는 모바일 클라우드에서 DLP를 배치하기 위한 하나의 수단이 될 수 있다.

위로

모바일 클라우드 보안의 미래

모바일 클라우드 컴퓨팅은 스마트폰과 태블릿 컴퓨터의 대중성과 늘어나는 확산으로 공급되는 신흥 시장이다. 더 많은 모바일 디바이스가 시장에 진입하고 진화하면서 당연히 보안 문제점도 커질 것이다. 시장의 성장에 영향을 줄 수 있는 경향이 많다.

한 가지 가능한 경향은 하이퍼바이저를 스마트폰에 통합하는 것이다. 하이퍼바이저는 하나의 컴퓨터를 공유하기 위해 여러 운영 체제를 허용하는 프로그램이다. 하이퍼바이저의 대중적인 예제는 Xen.org에서 나온 Xen을 포함한다. 이는 스마트폰 관리 문제를 간소화하기 위해 개발되었다. 이는 또한 보안 관리를 간소화하기 위한 잠재력도 보유한다.

또 다른 추세는 사물간 인터넷(Internet of Things)라고 알려진 것의 성장이다. 인터넷과 상호작용할 수 있는 지능형 디바이스의 성장은 기존 컴퓨터 기술보다 훨씬 더 엄청난 비율로 증가하고 있다. 일부 예측에 따르면 앞으로 몇 년 후에 1조 이상의 디바이스가 인터넷에 연결될 것이며, 이 중 대부분은 독립형 디바이스가 될 것이다라고 한다. 유틸리티 회사들이 설치한 스마트 미터가 하나의 예이다. 클라우드와 상호작용할 수 있는 다양한 모바일 디바이스의 성장은 자연히 새로운 보안 우려도 야기할 것이다.

위로

결론

모바일 클라우드 컴퓨팅은 거대한 시장이 될 준비가 되었다. 이러한 엄청난 시장은 모바일 클라우드 기술에서 약점을 찾고 악용하여 쉽게 돈을 벌려는 범죄자들의 주목을 끌 것이다. 또한, 인터넷에 연결되는 다양한 디바이스의 엄청난 성장은 보안 필요를 한층 더 몰아갈 것이다. 이 기사는 모바일 클라우드에 보안을 제공하는 방법을 계획하기 위해 적절한 일부 문제를 제시했다.

참고자료

교육

• McAfee Labs의 McAfee Threats Report: Fourth Quarter 2010을 참조한다.
  
  
• Data Centric Security Model에 대한 자세한 내용을 읽어보자.
  
  
• 저자의 기사인 Mobile cloud computing은 디바이스, 경향, 문제점 및 더 모바일의 디바이스를 선호하는 클라우드 환경과 함께 따라 나오는 사용 기술을 소개한다.
  
  
• Grace Walker의 developerWorks 기사 Revolution in the air: Fundamentals of cloud computing에서는 클라우드 컴퓨팅의 훌륭한 소개글을 제공한다. 또 다른 초기 레벨 클라우드 기술 지식에 대한 훌륭한 자료는 service models PaaS, IaaS, and SaaS에 대한 시리즈이다.
  
  
• developerWorks 클라우드 개발자 자원에서는 클라우드 배치를 위한 프로젝트를 개발 중인 애플리케이션 및 서비스 개발자의 경험과 지식을 찾아보고 공유할 수 있다.
  
  
• 다음 단계: IBM SmartCloud Enterprise에 액세스하는 방법을 찾아보자.
  
  
• Twitter의 developerWorks 페이지를 팔로우하자.
  
  

제품 및 기술

• IBM SmartCloud Enterprise에서 확인 가능한 제품 이미지를 참조한다.
  
  

토론

• developerWorks의 클라우드 컴퓨팅 그룹에 참여하자.
  
  
• developerWorks에 있는 뛰어난 클라우드 블로그를 모두 읽어보자.
  
  
• 연결, 공유 및 협업을 위한 전문가 네트워크이자 통합 커뮤니티 도구 세트인 developerWorks 커뮤니티에 참여하자.
  
  

필자소개

Preston Cox는 광범위한 애플리케이션 개발 경력을 갖춘 모바일 클라우드 컨설턴트이다. 그는 전세계적으로 거대한 항공 우주 방위 산업체 중 한 곳에서 일한 경력이 있으며, 무기를 평화의 도구로 만드는 정신에 입각하여 위치 정보 모바일 앱 비즈니스를 공동 설립하고 있다—EventRadar, LLC. 그는 또한 다국적 비영리 단체의 클라우드에서 협업적 존재를 제작하고 있다. Preston은 여가 시간에는 가족 지향적인iPhone 앱을 제작한다. 그는 ACM, IEEE,Linux Foundation 및 CSIX Cloud Computing SIG의 구성원이다.

아티클 순위

의견

위로

목차

• 모바일 클라우드 컴퓨팅 및 보안 위협
• 모바일 클라우드 안전하게 하기
• 모바일 클라우드 보안의 미래
• 결론
• 참고자료
• 필자소개
• 의견