하이브리드 클라우드 보안위협 대비하는 방법
상태바
하이브리드 클라우드 보안위협 대비하는 방법
  • 데이터넷
  • 승인 2021.09.20 09:00
  • 댓글 0
이 기사를 공유합니다

클라우드 책임 공동모델 따른 보안 위협 대응 방안 필수
온프레미스·클라우드 서버 통합 관리 방법 마련해야

[데이터넷] 코로나19와 함께 원격 근무 등 온라인 기반의 다양한 비대면 활동이 증가하고 있다. 비대면 활동 핵심 인프라인 클라우드의 시장 규모도 커지고 있으며, 해당 환경에서의 보안 요구도 증가하고 있다. 본고에서는 클라우드란 무엇이며, 클라우드 보안위협에 대비하기 위해 필요한 기술은 무엇인지 알아본다. <조태희 안랩 EP제품기획팀 부장>

클라우드는 인터넷을 통해 IT 리소스가 필요할 때마다 필요한 만큼 쓰고 비용을 내는 일종의 임대 서비스라고 할 수 있다. 주거 형태에 비유하면, 온프레미스(On-premise)는 내 집이고 클라우드는 숙박 업체라고 할 수 있다.

내 집을 짓기 위해서는 설계부터 완공까지 많은 시간과 노력, 비용을 들여야 한다. 한 번 짓고 나면 사이즈를 줄이거나 늘리기 어려우며, 필요 없는 공간이 생겨도 없애기 힘들다. 또한 유지보수에도 엄청난 시간과 비용을 들여야 한다.

숙박시설을 이용한다면, 건물을 짓고 유지보수하는 것은 모두 숙박 업체의 몫이며, 사용자는 필요할 때 필요한 만큼 비용을 내고 사용하면 된다. 사용할 공간을 추가하거나 줄일 수 있으며, 언제든지 사용을 중단할 수도 있다. 공간을 유지보수하고 관리하는 것 역시 신경 쓰지 않아도 된다. 이러한 개념을 IT 환경에서 구현한 것이 클라우드다.

클라우드는 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS)로 구분할 수 있다. IaaS는 내부 시설 없이 집만 빌리는 경우를 말한다. 전기, 수도는 준비되어 있지만, 가구나 가전 제품은 임차인이 준비해야 한다. PaaS는 가구와 가전제품까지 준비돼 있는 상태이며, SaaS는 생필품까지 모두 준비돼 있는 상태라고 할 수 있다.

클라우드에서는 하드웨어나 네트워크 등의 인프라만 빌려주는 것을 IaaS, 개발 플랫폼, 개발 환경까지 제공하는 것을 PaaS, 실제 그대로 서비스 이용만 하면 될 수준까지 제공하는 것을 SaaS라고 말한다.

우리나라 퍼블릭 클라우드 전환은 인프라를 중심으로 이뤄지고 있으며, 웹이나 개발 등 서버 환경을 클라우드에 네이티브하게 구축하기보다는 기존 환경 그대로 클라우드로 이전하거나 도입한 비율이 많다. 이는 클라우드에 대한 기술적 이해가 쉽지 않으며, 국내 법규가 온프레미스 중심으로 되어 있어 기존 환경을 그대로 클라우드로 이전하기 쉬운 IaaS를 채택하는 것이 구축·관리가 용이하기 때문이다.

사업자와 사용자가 책임 나눠 갖는 클라우드

온프레미스와 마찬가지로 클라우드 환경에서도 보안 위협은 발생한다. 앞서 클라우드 개념과 마찬가지로 주거 형태로 예를 들어 보자. 내가 관리하는 내 집인 경우 그 관리 책임은 자신이지만 숙박 업체의 경우에는 책임의 주체가 애매모호하다. 외부적인 침입, 즉 건물로 아무나 못 들어오게 하거나 홍수, 재해 등의 위험으로부터 방어하는 것은 숙박 업체의 몫일 것이다.

그런데 내가 빌린 방에 누군가 들어와서 지갑이나 중요 파일을 훔친다면 어떻게 될까? 예를 들어 같이 숙박하던 친구가 훔쳤거나 또는 내가 방 키 관리를 잘못했다면 빌린 사람의 책임이기도 하다. 이런 경우에는 상황을 고려해 누구의 책임인지를 따져야 한다. 이는 클라우드 환경에서도 마찬가지다.

실제 클라우드 공급 업체에서 제공하는 인프라와 서비스를 사용하는 환경에서 만약 사고가 발생한다면 누구의 책임일까?

탈레스와 포네몬 연구소에 따르면, 클라우드에서 데이터 보호의 책임에 대해 조사 대상 기업의 31%는 자신의 책임으로, 33%는 기업과 클라우드 공급 업체의 공동 책임으로, 35%는 클라우드 공급업체의 책임으로 인식하는 것으로 나타났다. 즉 35%에 달하는 많은 기업이 클라우드 활용 시 클라우드 사업자가 모든 책임을 질 것으로 생각하고 있다는 것이다.

퍼블릭 클라우드 환경에서는 보안 사고나 장애 사고 발생 시, 클라우드 서비스 공급 업체(CSP)가제공하는 서비스와 책임 범위를 반드시 확인해야 한다. 클라우드 환경에서는 ‘책임 공유 모델(Shared Responsibility)’에 따라 CSP와 사용자의 책임 범위가 나뉘어 있다.

AWS의 공동 책임 모델을 예로 들어보면, AWS가 서비스하는 하드웨어, 네트워크, 시스템 등은 AWS의 책임 범위이고 그 위에 고객이 직접 관리하는 영역에서의 보안, 예를 들어 네트워크 트래픽 관련 보안, 방화벽 설정, 암호화, 애플리케이션, 접근 제어, 데이터 보안 등은 모두 고객의 책임이다.

▲안랩 CPP 개념도
▲안랩 CPP 개념도

온프레미스·IaaS 통합관리 필수

정보통신산업진흥원(NIPA)의 클라우드 산업 실태 조사에 따르면 클라우드 산업 활성화 저해 요소 1순위가 ‘보안에 대한 우려’였다. 또한 클라우드 산업 발전을 위해 우선적으로 개발되어야 할 기술에서도 보안 기술이 48.3%로 1순위였다.

클라우드, 특히 IaaS 기반의 클라우드 환경에서는 어떤 보안을 해야 할까?

기업들은 클라우드를 도입하고 있지만 100% 클라우드로 전환하기보다는 필요한 서비스에 한해 도입하고 있는 실정이다.

관리자 입장에서는 보안에 대해 다음과 같은 요구 사항을 갖게 된다.

- 온프레미스 서버와 함께 클라우드 상의 서버를 한꺼번에 보면서 관리할 수 있어야 한다.

- 조직 내에서 직접 관리하지 않는 클라우드 서버에 대해 물리적인 접근 제어나 네트워크 접근 제어가 어렵기 때문에 논리적인 접근 제어가 용이해야 한다. 이 경우 잘못된 설정으로 인해 심각한 노출이 될 수 있다. 따라서 서버로의 네트워크 접근이나 네트워킹 공격으로부터 보호 필요성이 증가하고 있다.

- 서버를 타깃으로 하는 공격이 존재하므로 악성코드 등 보안 위협으로부터 서버를 보호할 수 있어야 한다.

단일 콘솔서 클라우드 워크로드 보호 기능 제공

클라우드 보안에 있어 이러한 요구를 해결할 수 있도록 지원하는 ‘안랩 CPP’는 ▲온프레미스 서버와 함께 클라우드 서버에 대한 통합 관리 ▲서버 워크로드 보호를 위한 보안 기능 ▲써드파티 솔루션과의 연동을 통해 효율적 대응을 지원한다.

안랩 CPP는 클라우드 서버 워크로드 보호에 필요한 보안 기능과 보안 제품을 하나의 콘솔에서 통합 관리한다. 화이트리스트 기반의 애플리케이션 콘트롤, 침입방지시스템(IPS)과 방화벽 기능을 담당하는 호스트 IPS, 악성코드를 탐지·차단하는 V3 Net 제품 등을 하나의 콘솔에서 관리할 수 있다.

안랩 CPP는 온프레미스 상의 윈도우·리눅스 서버, 그리고 AWS, 애저 클라우드 상의 윈도우·리눅스 서버에 대한 가시성과 함께 통합 관리를 지원한다. AWS, 애저 클라우드 계정과의 연동을 통해 오토 스케일링되는 단말에 대해서 자동 식별을 지원한다.

또한 서버에서 발생하는 보안 이벤트에 대한 로깅과 함께 다양한 대시보드를 제공해서 관리자가 보안 상태를 직관적으로 파악할 수 있도록 한다. 시스로그 제공으로 SIEM 등의 써드파티 솔루션과의 연동을 통해 신속하게 탐지·대응할 수 있다.

안랩은 2021년 호스트 IPS와 애플리케이션 역량 강화, 지속적인 성능 및 편의성 개선, 클라우드 워크로드 보호 플랫폼(CWPP)으로서 보안 역량을 발전시킬 수 있는 추가적인 기능 제공을 위해 박차를 가하고 있다. 또한 장기적으로도 클라우드 환경에서 강력하고 전방위적인 보안 서비스를 제공하기 위해 다방면으로 노력을 기울이고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.