[데이터넷] 멀티 클라우드 타깃 공격이라고 해서 기존의 사이버 공격과 다른 방법을 사용하는 것은 아니다. 공격자들은 기존 APT 공격과 마찬가지로 사회공학 기법을 이용해 첫번째 사용자를 감염시키고, 이 사용자의 계정을 탈취해 클라우드에 접근하고 중요 정보를 탈취한다. 사용자 감염 단계 없이도 공격이 시작될 수 있다. 정책 설정이 잘못돼 열려있는 클라우드에 직접 들어가거나, 지하시장에서 중요 클라우드 접근 계정을 구입하기도 한다. 방치된 클라우드를 전진기지로 삼아 장기간 공격을 이어간다.
멀티 클라우드는 여러 클라우드 환경을 동시에 운영하기 때문에 여러 공급업체 서비스마다 관리 환경이 다르고 기존 IT와의 통합 수준도 달라 체계적인 보안 정책 운용이 쉽지 않다. 포티넷은 “멀티 클라우드로 비즈니스 영역이 확장되면서 공격면이 증가하고, 섀도우 IT가 급증해 관리 사각지대가 넓어진다”고 설명한 바 있다.
여러 클라우드 체계적 관리 방안 필수
멀티 클라우드 운영 시, CSP가 제공하는 다양한 보안 옵션이 도움이 된다. 그러나 CSP의 보안 옵션은 해당 클라우드 안에서만 보안이 적용된다. 독립된 보안 솔루션은 이종 클라우드와 프라이빗·온프레미스까지 전반의 보안을 지원할 수 있다. 여러 클라우드마다 각각 다른 환경 설정과 관리 환경까지 지원해 관리 편의성을 높일 수 있다.
독립된 보안 솔루션의 이점은 복잡한 멀티 클라우드의 가시성을 보장해 준다는 것이다. 어떤 사용자가 어떤 업무에서 어떤 클라우드를 사용하고 있는지, 정책 위반이나 규제준수 위반 사항이 없는지 실시간에 가깝게 확인하고 대처할 수 있다.
멀티 클라우드 간 오가는 네트워크 트래픽의 가시성도 확보해 알려지지 않은 위협이 클라우드로 유입되는 것을 막는다. 시스코의 가시성 솔루션 ‘스텔스워치(StealthWatch)’는 클라우드 네트워크 트래픽의 가시성을 제공하며, 상황인지 보안 분석을 적용해 이상행위를 탐지하고 제어한다. 더불어 시스코는 암호화 트래픽을 복호화하지 않고 분석할 수 있는 ‘ETA(Encrypted Traffic Analytics)’, 인지분석(Cognitive Analytics) 기술을 스텔스워치와 함께 구성해 안전한 네트워크 관리를 도와준다.
클라우드 최적화된 보안 기술 제공
클라우드 타깃 공격 방법이 레거시 시스템 공격 아법과 크게 다르지 않다 해도 레거시 보안 기술을 클라우드로 그대로 올릴 수는 없다. 수시로 변하는 클라우드 서비스에 맞게 보안 정책을 변경할 수 있도록 자동화된 보안 정책 변경을 지원해야 하며, 이종 클라우드에서도 일괄적인 보안 수준을 유지할 수 있도록 개별 퍼블릭 클라우드 환경에 맞추는 과정이 필요하다.
팔로알토네트웍스의 클라우드 통합 보안 스위트 ‘프리즈마(Prisma)’에 포함된 차세대 방화벽 가상 폼팩터 ‘VM 시리즈’는 AWS, GCP, 애저, 오라클 클라우드, 알리바바 클라우드, VM웨어 NSX 등 프라이빗, 퍼블릭 클라우드 컴퓨팅 환경에 구축이 가능하다. VM시리즈는 또한 코드로써의 인프라 방식으로 구축하고 구성을 자동화해 복잡성을 줄인다.
포티넷은 보안 패브릭 전략 하에 포괄적인 멀티 클라우드를 지원한다. 차세대 방화벽, 웹 방화벽, 백신 등 여러 보안 솔루션을 다양한 클라우드 환경에 최적화해 제공하고 있으며, 국내 통신사, 항공사, 클라우드 사업자, 이커머스, 금융계열사 등 다양한 고객의 클라우드 전환을 지원하면서 다양한 성공 사례를 확보하고 있다.
주니퍼는 ‘스카이ATP’를 통해 멀티 클라우드 전반에서 APT 공격을 탐지·차단한다. 차세대 방화벽 SRX와 통합되고 머신러닝을 이용해 심층 검사와 우회공격을 차단한다. 더불어 멀티클라우드 환경에서 실행되는 애플리케이션의 위험을 최소화하는 ‘콘트레일 시큐리티(Contrail Security)’를 이용해 애플리케이션 트래픽 플로우를 감지하고, 다양한 환경 전반에 걸쳐 정책 확산의 필요성을 경감시킨다. 정책을 한 번만 정의하고 모든 정책을 균등하게 자동 배포할 수 있다.
체크포인트는 IaaS, SaaS 전반을 보호하는 ‘클라우드가드(CloudGuard)’ 제품군으로 통합 클라우드 보안 포트폴리오를 제공한다. 클라우드가드는 클라우드 보안 형상관리(CSPM) 솔루션 ‘돔나인(Dome9)’과 퍼블릭·프라이빗 보호를 위한 ‘IaaS’·‘SaaS’로 구성돼 있다. 돔나인은 AWS, 애저, 구글 클라우드 플랫폼(GCP)등 멀티 클라우드의 보안·컴플라이언스를 통합 관리한다.
글로벌 위협 인텔리전스로 공격 선제방어
APT 공격 방어를 위해 사용되는 글로벌 위협 인텔리전스는 클라우드 타깃 공격을 선제방어 할 수 있도록 도와준다. 전 세계에서 수집되는 위협 정보를 분석해 최신 위협 DB를 축적하고 클라우드를 포함한 IT 시스템 내부로 유입되는 파일 중 위협 DB에 해당하는 악성코드가 있는지 확인하는 방식으로 최신 위협에 대응한다.
위협 인텔리전스는 멀웨어 샘플과 분석 결과가 공개되기 때문에 기업에서 쉽게 도입하지 못했다. 리버싱랩스는 프라이빗 환경으로 구성돼 분석 결과를 외부에 공개하지 않으며, 글로벌 위협 인텔리전스를 통해 지능적인 우회 공격과 신·변종 멀웨어까지 탐지할 수 있다. 경쟁사 대비 빠른 속도와 낮은 오탐률로 공격을 정확하게 탐지해 대응 역량을 높일 수 있도록 한다.
국내 웹 보안 전문기업 모니터랩은 웹 기반 공격에 대한 위협 인텔리전스를 통해 진화한 공격을 차단한다. 서비스형 보안(SECaaS) ‘아이온클라우드(AIONCLOUD)’는 머신러닝 기반 위협 인텔리전스 ‘AICC’와 악성 URL 진단 서비스 ‘WMD’를 통해 신·변종 위협을 차단한다.
가상 웹방화벽 ‘AIWAF-VE’도 제공해 클라우드 환경의 웹 공격을 방어하는데, OWASP TOP10, 웹서버 CVE, 애플리케이션 익스플로잇 등 주요 웹 취약성 공격과 도스/디도스 공격 방어 기능을 갖추고 있다. 특허 받은 프록시 기술에 적응형 프로파일링 기술을 더해 지능형 공격을 차단하며, 머신러닝 기반 위협 인텔리전스 ‘AICC’와 연계해 신종 웹 공격까지 차단한다. 다양한 가상화 환경과 퍼블릭 클라우드를 지원한다.
