[데이터넷] 클라우드가 보안 시장의 뜨거운 이슈로 떠올랐다. 코로나19로 클라우드 전환 속도가 빨라지면서 공격표면(Attack Surface)이 확장되고 공격 가능한 취약점도 늘어났다. 팔로알토 네트웍스 조사에 따르면 전체 보안 사고 중 클라우드 기반 환경에서 발생한 것이 79%, 온프레미스 환경에서 발생한 것이 21%였다. 온프레미스보다 클라우드에서 보안 사고가 많이 발생하는 원인은 쉽게 접근할 수 있기 때문이다. 클라우드의 중요한 업무 애플리케이션은 쉽게 검색 가능하며, 권한계정을 탈취하면 보안 경계를 해킹하지 않아도 권한 사용자로 위장해 접근할 수 있다.

빠른 비즈니스 속도를 지원하기 위해 데브옵스를 채택하면서 기존의 단계별 보안 정책을 적용할수 없게 됐으며, 수많은 클라우드 서비스가 사용되면서 허가되지 않은 클라우드가 무단으로 사용되고 잘못된 설정이나 규제준수 위반 등을 중앙에서 관리하지 못하게 된 것도 난제 중 하나로 꼽힌다.

퍼블릭 클라우드는 클라우드 서비스 사업자(CSP)와 사용자가 책임을 나눠 갖는 ‘공동책임모델(Shared Responsibility Model)’을 택하고 있어 보안 문제를 해결하기 더 어려워진다. 공동 책임 모델은 클라우드 이용 형태와 계약에 따라 CSP와 사용자가 책임져야 하는 부분이 나뉘는데, 모든 사례에서 분명하게 책임소재가 구분되는 것은 아니라는 것이 문제다. 또 CSP 책임 영역은 가시성을 확보할 수 없으며, 사용 기업의 통제 범위 밖에 있기 때문에 온프레미스와 같은 방식의 보안 정책 운영이 불가능한 부분이 있다.

클라우드 보안, 완벽한 통제권 갖기 어려워

CSP는 자사 책임 범위 내 보안 문제를 해결하고 있으며, 높은 보안성과 안정성으로 서비스를 제공하고 있다는 것을 적극 알리고 있다. 자체 보안 조직과 침해대응 조직을 두고 실시간 보안 위협을 조사·대응하고 있으며, 고객의 안전한 클라우드 이용을 통해 전체 클라우드 서비스 안전성을 담보할 수 있도록 고객에게 네이티브 보안 서비스를 유료로 제공한다. 더불어 고객의 불신을 잠재우기 위해 고객들이 일정 범위 내에서 사전 통보 없이 침투테스트를 할 수 있도록 허용하고 있다.

CSP의 노력에도 불구하고 클라우드 보안에 대한 우려는 여전하다. 사고가 발생했을 때 조사에 적극적으로 협조할 것인지 우려하는 목소리가 높으며, 책임소재가 불분명한 범위의 사고는 어떻게 처리할 것인지도 문제다.

규제준수나 사법당국의 수사 등의 문제도 있다. 수사기관이 기업에 대한 수사를 위해 CSP에 협조요청을 하면 CSP는 범죄수사 협력을 위해 수사기관이 요청하는 자료를 제시해야 한다. 퍼블릭 클라우드의 자산을 기업이 완전히 통제할 수 없기 때문에 CSP가 수사 협조를 위해 자사 자산을 내어주는 것을 막을 방법이 없다. 실제로 기업이 범죄를 저지르거나 규제준수 위반 행위가 있었다면 정당한 수사에 응하는 것이 당연하지만, 정치적인 문제나 국가 간 분쟁에 희생됐을 때 등 다양한 사례를 생각하지 않을 수 없다.

클라우드 계획 단계부터 보안 고려해야

클라우드에서 발생하는 가장 대표적인 보안 사고는 사용자 실수, 설정오류로 인한 것이다. 중요한 데이터를 암호화하지 않고 클라우드에 저장하거나, 암호화 키와 함께 저장하는 경우, 클라우드 접근권한을 잘못 설정해 권한 없는 사용자가 출입할 수 있도록 하는 경우 등을 예로 들 수 있다. 업무 특성, 데이터의 중요도, 서비스하는 국가와 지역에 따라 적용되는 규제준수 요건을 맞추지 못해 발생하는 피해도 있다.

계정과 접근권한 관리 실패는 클라우드에서 가장 자주 발생하는 사고다. 공격자는 지하시장에서 쉽게 구할 수 있는 ID/PW를 클라우드 서비스에 대입해보면서 권한계정을 알아내 권한 사용자로 위장해 침투하며, 중요한 데이터를 유출시킬 수 있다.

API를 통해 연결되는 클라우드 서비스 특성을 이용, API 취약점이나 논리적으로 잘못 설계된 API, 공개된 API 접근권한 등을 이용해 침투할 수 있다. 취약점이 있는 컨테이너, 써드파티·오픈소스 소스코드의 취약점 등도 클라우드를 위협하는 요인이다. 웹을 통해 서비스되는 클라우드 특성을 공략, 디도스, 웹·애플리케이션 기반 공격을 진행하면 쉽게 공격자가 수익을 얻을 수 있다.

이 같은 사고를 막기 위해서는 클라우드 도입을 계획하는 시점부터 보안을 설계해 클라우드 전환전 과정에 보안이 포함한다. 온프레미스의 계정·권한관리(IAM)를 클라우드에서도 이어갈 수 있도록하며, 클라우드의 편리함과 빠른 속도를 보장할 수 있는 방안을 찾아야 한다 .

클라우드는 누구나 쉽게 접근할 수 있으므로, 공격자의 침투 확산을 방지할 수 있도록 제로 트러스트 보안 원칙에 따라 권한 사용자의 접근을 허용하는 범위와 시간을 최소화하며, 중요한 업무 시스템은 외부에서 검색되지 않도록 보호해야 한다.

허가되지 않은 클라우드의 무단 사용을 차단하고, 사용 중인 클라우드의 설정오류, 규제준수 위반, 사용자 실수 가능성을 제거하는 방법을 적용하며, 데브옵스에 보안을 적용한 데브섹옵스(DevSec-Ops)를 완성할 수 있도록 한다. 사용 중인 모든 데이터를 정확하게 분류하고 보안 정책을 적용해 관리하며, 데이터 전체에 대한 가시성을 확보하고, 생성-유통-폐기되는 전 단계에서 중단없는 보안이 적용되야 한다.

또한 클라우드 인프라와 플랫폼, 서비스에 취약점이 있는지 상시·정기적으로 점검하며, 모의해킹을 통해 제거되지 않은 취약점이나 공격자의 접점이 남아있는지 확인해야 한다. 멀티·하이브리드 클라우드 전반에서 보안 이벤트를 수집하고 연계 분석하며 자동화된 탐지와 대응으로 보안 침해를 빠르게 식별하고 조치한다.

정부·공공기관이나 주요 정보통신 기반시설은 클라우드 이용 가이드라인에 따라 보안 대책을 수립해야 한다. 클라우드 이용에 따른 계약, 운용, 종료 단계에서 보호 대책을 마련하고, 클라우드 이용 계약시 취약점 분석 평가 수행, 보호대책 이행점검 수검 등 관련 규제의 책임 이행과 감독권한을 확보해야 한다. 클라우드 서비스 사업자 선정 시, 국내 클라우드 시설을 구축하고 국내에서 데이터가 처리·저장되는 사업자, 클라우드 보안 인증, ISMS 등 관련 규제를 준수하는 클라우드 서비스 사업자만을 이용해야 한다.

클라우드 보안, 비즈니스 성공 촉진

클라우드 보안은 결코 쉽게 해결될 수 있는 문제가 아니다. 클라우드는 민첩성을 높이기 위해 극대화된 자동화 프로세스를 채택하는데, 여기에 보안을 추가하면 클라우드의 민첩성이나 속도, 유연성을 보장하지 못해 클라우드 전환의 이점을 누리지 못할 수 있다. 또 클라우드 운영의 복잡성이 높아져서 보안에 취약할 수 있다.

그렇다해서 보안을 포기하는 것은 더 위험하다. 공격표면이 넓어지고 침투가 더 쉬워진 클라우드는 조직의 최대 리스크가 된다. 따라서 클라우드 전환을 계획하는 단계부터 구축, 마이그레이션, 운영 및 확대하는 전체 과정에 보안이 내재화될 수 있도록 해야 한다.

액센츄어는 클라우드 전환 시 보안을 적용함으로써 더 나은 결과를 도출할 수 있다고 강조한다. 클라우드에 우발적이거나 악의적인 보안 사고가 발생하지 않도록 사전 통제를 설정하면, 나중에 취약점을 발견하고 이를 해결하기 위해 추가 비용과 시간을 사용하는 일을 막을 수 있다. 클라우드 프로세스와 운영에 보안을 포함시키면 비즈니스 속도를 높이면서 안전하게 수행할 수 있어 차후 보안 프로세스를 수행하는데 따로 시간과 비용을 들이지 않아도 된다.

제대로 설계된 클라우드 보안은 클라우드 전환을 방해하는 요소가 아니라 비즈니스 성공을 촉진하는 요소로 작동할 수 있다. 보안이 내재된 클라우드는 비즈니스 수행 중에 나타나는 보안 우려를 덜 수 있으며, 비즈니스에 완벽하게 통합·자동화된 보안을 통해 안전하고 편리한 하이브리드 업무 환경 구축과 높은 보안관리 효율성을 보장할 수 있다.