책임공유모델 따른 책임 범위 명확히 하는 것도 쉽지 않아
클라우드 보안 사고 대부분 사용자 실수·구성 오류로 발생
[데이터넷] 클라우드는 정부가 진행하고 있는 한국형 뉴딜 사업의 하나다. 디지털 혁신으로 경제 위기 극복과 성장 동력을 마련하겠다는 정부의 디지털 뉴딜 사업의 핵심 키워드로 클라우드가 자리하고 있다.
시스코의 ‘글로벌 클라우드 인덱스 2016~2021’에 따르면 기업이 클라우드에서 새로운 애플리케이션 워크로드를 채택하는 비중이 85%에 이른다. 기업·기관의 데이터센터는 클라우드에 있으며, 비즈니스 역시 클라우드를 기반으로 하는 것이 일반화됐다는 뜻이다.
클라우드는 빠르게 개발하고 쉽게 배포할 수 있으며, 인력과 비용을 효율적으로 운용할 수 있다. 물리적 하드웨어를 덜 사용하고, 사람이나 기기의 이동을 줄일 수 있어 ‘그린뉴딜’의 이상을 만족시킬 수도 있다.
IT 운영자 91% “클라우드 보안 자신 못해”
클라우드가 주는 이점이 클수록 부작용도 크다. 클라우드는 가시성을 보장하지 못하며, 보안에 취약하다. (ISC)2의 ‘클라우드 보안 리포트 2020’에 따르면 사이버 보안 전문가 42%가 ‘매우 걱정된다’, 33%가 ‘심각하게 걱정된다’, 19%가 ‘상당히 걱정된다’고 답해 전체 응답자의 94%가 퍼블릭 클라우드 보안에 대해 우려하는 것으로 나타났다.
또한 대부분의 응답자들이 현재 기업·기관의 클라우드 보안 상태가 충분하지 않다고 여기고 있었다. 클라우드 보안에 대해 자신하지 못한다는 답이 전체 응답자의 91%에 이르렀다. 클라우드의 가장 심각한 보안 우려는 데이터 유출(69%), 프라이버시·데이터 신뢰 손상(66%), 인증정보 유출 및 도용(44%)이었다.
이 같은 문제를 해결하는데 가장 걸림돌이 되는 것으로, 개별 임직원에 대한 클라우드 접속 권한과 책임을 구분하는 것이 어렵다(47%), 컴플라이언스(40%), 경직된 보안 정책 설정(36%)의 순이었다.
더불어 클라우드 도입에 장애가 되는 것을 묻는 질문에 37%가 전문성과 리소스 제약을 꼽았으며, 기존 IT와 통합이 제한된다는 점과 데이터 보안 및 유출·변조 위험이라고 답한 사람이 각각 35%였다.
퍼블릭 클라우드가 직면한 가장 큰 보안 위협은 무엇인지를 묻는 질문에 68%가 ‘클라우드 플랫폼의 잘못된 구성과 설정’을 꼽았으며, 58%는 권한 없는 사용자의 액세스, 52%는 보안 없는 인터페이스·API를 들었다.
퍼블릭 클라우드는 책임공유모델에 따라 클라우드 사업자가 책임져야 하는 영역과 사용자가 책임져야 하는 영역이 구분돼 있다. 그러나 아직도 많은 사람들이 클라우드를 사용하면 사업자가 모든 보안 책임을 지는 것으로 오해하고 있다. IBM 기업가치연구소 조사에 따르면 대부분의 기업은 클라우드 보안을 사업자에게 지나치게 의존하고 있다. IBM은 2019년 발생한 85%의 데이터 유출사고가 사용자의 관리 소홀로 인해 발생한 것이라고 밝혔다.
다양한 클라우드에 최적화된 보안 기능 필요
기업·기관의 클라우드 도입 형태는 단일 클라우드 사업자에만 의존하는 방식이 아니다. 기존에 운영하던 물리적 데이터센터를 유지하면서, 단계별로 프라이빗 클라우드로 전환하며, 동시에 다양한 퍼블릭 클라우드를 사용한다. F5 조사에 따르면 기업의 87%가 이 같은 멀티 클라우드 전략을 택한다.
멀티 클라우드 운영에서 가장 문제가 되는 것은 ‘가시성’이다. 책임공유모델에 따라 퍼블릭 클라우드 사용자는 사업자 책임 영역에 있는 인프라를 들여다보거나 통제할 수 없다. 또한 컨테이너·서버리스 컴퓨팅 등 초단위로 변하는 개발환경에서 하루에도 수십만건씩 생성·변경·삭제되는 인스턴를 관리하지 못하며, 그로 인해 발생하는 위협도 예측할 수 없다.
컴플라이언스도 심각한 문제다. 수시로 변하는 클라우드의 잘못된 설정, 관리자의 실수로 인해 침해사고가 발생하는 일은 너무나도 많다. 가트너는 클라우드 실패의 99%는 사용자 실수로 인한 것이라고 전망한 바 있다.
송항섭 시큐아이 그룹장은 “성공적인 클라우드 전환을 위해 환경에 맞는 클라우드 서비스와 보안 환경 구성이 필요하다. 그러나 클라우드 환경의 성격을 정확히 파악하지 않고 전환을 시작해 커다란 난관에 봉착되는 경우가 대다수”라며 “클라우드 서비스는 사용 범위와 보호할 자산, 법령, 운영 수준이 기존 환경과 다르기 때문에 네트워크 보안의 필수 시스템에서도 일반적인 물리 환경 수준 이상의 새로운 구성과 다양한 클라우드에 최적화된 보안 기능이 필수”라고 말했다.
기존 보안 솔루션, 클라우드서 작동 안해
초기 클라우드 보안은 기존 보안과 크게 다르지 않다고 여겼으며, 가상머신에 보안 기능을 올리면 되는 것으로 생각했다. 그러나 클라우드 보안은 전통적인 보안과 다르다. (ISC)2 보고서에서는 “보안 전문가의 82%가 ‘전통적인 솔루션은 작동하지 않거나 제한적인 기능만 사용할 수 있다’고 답했다”고 밝혔다. 대부분의 기존 보안 툴은 클라우드의 동적 분산 가상 환경을 위해 설계되지 않았기 때문이라고 설명했다.
클라우드 보안은 클라우드 환경에 최적화해 새롭게 설계해야 한다. 일부 전문가는 전통적인 IT 환경보다 클라우드 환경에서 보안을 설계하는 것이 더 쉽다고 설명한다. 전통적인 IT는 통합을 염두에 두고 설계되지 않았으며, 비표준 기술을 사용하는 경우가 많기 때문에 보안 정책을 마련하고 수행하기가 쉽지 않다. 클라우드는 편의성·유연성을 극대화하기 위해 표준화·모듈화된 기술을 적용한다. 통합과 연동이 쉽고 자동화도 용이해 표준화된 보안 정책을 적용하는 것도 상대적으로 쉽다는 설명이다.
또한 클라우드를 이용하는 보안 서비스는 보안 전문가가 모여있는 기업이 직접 서비스하기 때문에 기업 자체 보안조직보다 대응능력이 높으며, 최신 보안 위협까지 대응할 수 있다. 보안 수준을 한층 높이는데 클라우드가 유용한 대안이 될 수 있다.
이헌주 지스케일러코리아 지사장은 “보안 전문 기업들은 오직 보안 위협 탐지와 대응을 위한 기술과 방법을 제공하는데 집중하기 때문에 최신 위협 방어를 위한 효과적인 서비스를 제공할 수 있다. 기업은 전문 기업에게 보안 우려를 맡기고 자사의 핵심 비즈니스에 집중하는 것이 훨씬 더 경제적”이라고 말했다.
