가시성 낮은 클라우드, 설정오류·규제준수·사용자 실수 찾아야
[데이터넷] 금융권 최대 보안 사고로 기록된 캐피탈원의 개인정보 유출 사고는 AWS와 연결된 방화벽의 취약점을 관리하지 못해 발생한 것이다. AWS에 저장된 캐피탈원의 고객정보가 유출됐지만, 방치된 방화벽 취약점을 이용해 해커가 AWS로 침투했기 때문에 이 사고의 책임은 전적으로 캐피탈원에 있다.
클라우드 보안 사고의 대부분은 사용자 책임 영역에서 발생한다. IBM 엑스포스 보안 연구소의 ‘클라우드 보안 보고서 2020’에 따르면 클라우드 타깃 공격의 45%는 부르트포스 공격과 클라우드 애플리케이션을 활용한 것이다. 클라우드 애플리케이션 이용 공격은 클라우드 구성 오류, 사용자 실수, 정책을 위반한 사용자를 노린다. 직원들이 임의로 비승인된 채널을 통해 새로운 클라우드 앱을 설치하기 때문에 이러한 취약점이 드러나지 않는 경우가 많다.
클라우드 보안사고, 사용자 실수로 발생
클라우드는 상시 연결된 상태를 유지해야 하며, 인터넷을 통해 접근할 수 있기 때문에 워크로드가 공격에 노출될 가능성이 높다. 온프레미스 데이터센터는 각종 경계보안 시스템으로 보호하고 있지만 클라우드는 ID/PW만으로 접근 할 수 있기 때문에 공격자가 접근하기 쉽다.
또한 퍼블릭 클라우드는 ‘남의 컴퓨터를 사용하는’ 환경이므로 사용자가 완벽하게 통제하지 못하며, 완벽한 가시성을 보장하지도 못한다. 책임공유모델에 따라 사용자와 서비스 사업자의 책임 범위가 달라지며, 다수의 클라우드에 실시간으로·동시에 보안 변경을 적용하기 어렵다.
하루에 수십만개의 인스턴스가 생성되고 삭제되는 클라우드 환경에서는 신규 서비스에 대한 취약점 점검이나 구성·설정 오류를 살피지 못한 채 운영된다. 이로 인한 침해사고, 고객정보 유출 뿐 아니라 컴플라이언스를 위한 활동에도 많은 제약이 있다.
클라우드 개발·배포 시 취약성과 잘못된 구성을 검색하고 수정하는 과정을 거치지만, 대부분의 경우 런타임 보호 기능이 적용되지 않으며, 외부 모니터링 시스템을 통해 이상징후를 발견하게 된다. 충분한 가시성을 확보하지 못하고, 클라우드 내부에서 어떤 일이 진행되고 있는지 파악하지 못한 채 클라우드를 운영하면 중대한 보안사고로 이어질 가능성이 매우 높다.
대부분의 보안 전문 기관들은 클라우드 보안 사고의 대부분이 사용자 실수, 구성오류, 미흡한 취약점 관리 등 사용자로 인해 발생하고 있다고 경고하며 클라우드 보안 형상관리(CSPM)가 필요하다고 강조한다. CSPM은 사용중인 클라우드를 스캔해 잘못된 구성이나 방치된 취약점, 컴플라이언스 위배 사항 등을 찾아 수정할 수 있도록 제안한다.
팔로알토네트웍스에 따르면 클라우드 컴플라이언스 문제를 감사·보안 조직이 직접 수행한다면 평균 240시간이 소요되며, 유지 보수, 보고 및 감사 지원은 평균 240시간이 소요된다. 그러나 CSPM을 이용하면 쉽게 컴플라이언스 문제를 해결할 수 있으며, 조사시간을 75% 단축할 수 있다. 가트너는 2024년까지 기업이 CSPM을 이용해 구성오류로 인한 보안 사고를 80% 줄일 수 있다고 분석했다.
CWPP+CSPM 제공
가트너는 CSPM은 클라우드 워크로드 보호 플랫폼(CWPP)과 함께 사용했을 때 더 효과가 있다고 설명한다. 개발 중인 워크로드와 구성을 스캔하고, 런타임에도 보호하는 기능을 결합했을 때 시너지 효과가 있으며, 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)로 진화할 수 있다고 밝혔다.
CSPM와 CWPP를 함께 제공하는 기업이 늘어나고 있다. 돔9을 인수한 체크포인트, 레드락·에비던트아이오를 인수한 팔로알토네트웍스, 클라우드 컨포미티를 인수한 트렌드마이크로, 클라우드 코레오를 인수한 VM웨어, 클라우드 바이저리를 인수한 파이어아이, 클라우드스플로잇을 인수한 아쿠아시큐리티 등이 주목할만한 벤더다.
이 중 체크포인트는 가장 주목받는 CSPM 기업 돔나인을 인수해 가장 빠르게 시장을 장악하고 있다. ISMS 지원 모듈을 제공하는 등 국내 컴플라이언스 대응에도 발빠르게 나서고 있으며 IO27001, GDPR 등 글로벌 주요 컴플라이언스를 확인하고 자동수정 기능을 선택해 사용할 수 있게 한다.
클라우드 내 자산을 시각화하며, 계정의 잘못된 사용을 방지하는 IAM과 클라우드 트래픽 분석, 컨텍스트를 이해하는 보안 인텔리전스, 컨테이너·서버리스 컴퓨팅 지원 등 클라우드 관리를 위한 다양한 사항을 제공한다. 또한 체크포인트의 위협 인텔리전스 ‘쓰렛 클라우드’·‘클라우드가드 IaaS 및 SaaS’와 연동해 클라우드를 노리는 다양한 위협에 대응한다.
팔로알토네트웍스의 ‘프리즈마 클라우드’는 레드락·에비던트아이오의 CSPM과 CWPP·SaaS 보안 기능이 통합된 솔루션으로, 단 한 번이라도 연결되는 모든 클라우드를 스캔해 글로벌 주요 컴플라이언스를 점검하고 설정오류, 취약점 진단 등을 수행한다.
