[데이터넷] “보안은 과유불급이라는 말이 해당되지 않는다. 보안은 아무리 과해도 결코 모자라지 않는다.”

전기용 LG전자 책임은 이 같이 강조하며 “예를 들어 퍼블릭 클라우드는 사업자의 통제 범위 영역은 가시성을 보장할 수 없기 때문에 보안에 취약하다. 다양한 클라우드·하이브리드 환경에서 발생할 수 있는 사고에 미리 대응할 수 있도록 준비해야 한다. 보안은 지나치다 싶을 정도로 철저하게 준비하지 않으면 큰 피해를 입을 수 있다”고 밝혔다.

전기용 책임은 26일 '제20회 차세대 보안 비전 2021 온라인 컨퍼런스'에서 팔로알토 네트웍스 코리아의 김수영 이사·임진수 부장과 함께 ‘글로벌 기업 사례로 본 클라우드 네이티브 보안 혁명’이라는 주제의 세션에서 LG전자의 클라우드 보안 성공사례에 대해 자세히 설명했다.

LG전자, 클라우드로 개발 속도 50% 향상

임진수 부장의 사회로 자유로운 토론 형식으로 진행된 이 세션에서 전기용 책임은 클라우드를 이용해 비즈니스 하는 운영자 입장에서 보안 문제와 대안을 설명했다. 전기용 책임은 LG전자 씽큐(THINQ) 서비스 인프라 운영을 총괄하면서 클라우드 플랫폼 연구소 테크니컬 아키텍트와 클라우드 영향평가위원으로 일하고 있다.

씽큐 서비스는 일반 소비자들이 LG전자 제품을 편리하게 사용할 수 있도록 도와주는 클라우드 기반 서비스다. LG전자의 다양한 제품을 지원하면서 소비자의 요구와 시장 변화를 즉각적이고 효과적으로 지원해야 하기 때문에 빠른 속도와 유연성·민첩성, 그리고 개발·운영의 편의성을 보장해야 한다.

씽큐 외에도 LG전자는 글로벌 기업 중에서도 매우 뛰어난 클라우드 활용 모범사례를 다양하게 확보하고 있으며, 대고객 서비스, 제품개발과 연구 등 다양한 분야에서 클라우드를 활용하고 있다. 도커·컨테이너 뿐 아니라 서버리스 컴퓨팅 사용률도 매우 높아 글로벌 퍼블릭 클라우드 사업자의 연례 컨퍼런스에서 모범사례로 세션 발표를 진행하고 있다.

전 책임은 “LG전자는 클라우드를 사용해 30~40%의 비용을 줄였고, 개발 속도를 50% 향상시켰다. 특히 빠른 개발 속도를 통해 시장과 고객의 수요에 맞는 상품을 출시하고 서비스를 개선할 수 있어 고객 만족도를 높이는 효과를 얻을 수 있었다”고 밝혔다.

그는 이어 “그러나 클라우드는 온프레미스와 같은 통제권과 가시성을 가질 수 없기 때문에 보안에 있어 상당한 리스크가 있다. 만일 개발자나 연구원의 권한 계정을 탈취당하거나 실수로 퍼블릭 클라우드에 공개했을 때 상상 이상의 피해가 발생할 수 있다. 또한 글로벌 시장에 서비스를 제공하기 위해 각 국가 및 산업별 컴플라이언스를 준수해야 했다. 클라우드 환경에서 발생할 수 있는 보안 문제를 검토하면서 대안을 마련해 실천해왔다”고 말했다.

데브섹옵스 전환으로 안전한 클라우드 운영해야

클라우드는 이제 모든 기업·기관이 선택하는 IT 모델이 되고 있다.

김수영 팔로알토 네트웍스 코리아 이사는 “코로나19 이전의 클라우드는 기업 업무에 클라우드를 도입해 효율성 향상과 비용 절감을 도모한 것이었다. 코로나19 이후 클라우드는 2.0 세대로 접어들면서 AI, IoT, 빅데이터 등 신기술을 융합해 새로운 서비스를 창출하는 기본 인프라 요소가 됐다”며 “클라우드 2.0은 소프트웨어 개발 라이프사이클을 현대화하고 있다”고 설명했다.

클라우드는 빠른 속도와 민첩성을 강조하기 때문에 개발 과정에서 보안을 테스트하고 점검하는 것에 우선순위를 두기 어렵다. 그래서 서비스를 계획하고 코딩하며 배포, 운영하는 모든 과정에서 어떻게 보안을 적용하는지가 문제다.

김수영 이사는 “데브옵스에 보안을 적용한 데브섹옵스로의 전환이 필수다. 데브옵스의 개발자·운영자들은 보안에 대한 이해가 깊지 않고, 클라우드 속도를 저해하는 프로세스는 거부하는 특징이 있다. 그래서 데브옵스의 모든 단계에서 보안 점검이 가능한 완전 자동화된 프로세스를 만들어야 데브섹옵스로의 전환이 가능하며, 제로 트러스트의 이상을 달성할 수 있다”고 설명했다.

클라우드 보안 문제는 대부분 실수나 설정·구성오류 등 사용자의 책임 범위 내에서 발생한다. 캐피털원 개인정보 유출, 애저·테슬라 크립토마이닝 악성코드 감염 등이 클라우드 사용자의 실수와 관리 소홀로 인해 발생한 사고다. 중단없이 돌아가는 CI/CD 파이프라인 과정에 취약점 분석이나 점검이 없기 때문에 도커허브 등에 취약점을 삽입한 도커 이미지를 업로드하면 광범위한 악성코드 유포가 가능하다.

권한관리 실패로 인한 문제도 심각하다. 글로벌 기업의 경우, 수만명의 개발자가 접속하는데, 이 중 한 명의 권한 계정이 탈취된다면 무단으로 새로 계정을 만들고 자원을 생성시키면서 클라우드 비용을 급증하게 만들거나 암호화폐를 채굴하고 중요 인프라로 침투하는 통로로 사용할 수 있다.

클라우드는 어디서나 접근 가능하기 때문에 공격표면이 넓어지고 공격자가 침투할 가능성도 높아진다. 해커들은 공격도구를 잘게 쪼개 보내는 방식으로 탐지 시스템의 시그니처나 프로파일링, 행위분석을 우회한다. 이를 ‘살라미’ 전술이라고도 하는데, 분석시스템을 우회한 작은 공격도구는 내부 시스템이나 클라우드에 잠복해 있다가 적당한 때에 조합돼 이동하면서 침투 행위를 진행한다.

이러한 문제를 해결하는 포인트 솔루션이 다수 제안되고 있지만, 포인트 솔루션으로는 클라우드의 광범위한 보안 문제를 해결하지 못한다. 클라우드 네이티브 설계된 통합 플랫폼에 보안 기능을 통합해야 한다.

팔로알토 네트웍스는 클라우드 네이티브 보안 플랫폼 ‘프리즈마 클라우드’로 이러한 문제를 해결할 수 있다고 강조한다. 프리즈마 클라우드는 ▲데브섹옵스 ▲클라우드 보안 형상관리(CSPM) ▲클라우드 워크로드 보호(CWP) ▲클라우드 네트워크 보안 ▲클라우드 인프라 자격증명 관리(IAM) 등을 통합했으며, 애플리케이션 라이프사이클 전반에 걸친 완벽한 보안을 제공한다.

김수영 이사는 “데브섹옵스 전환 시 개발과 운영 단계의 보안뿐 아니라 런타임 보안에 대해서도 반드시 고려해야 한다. 도커 허브에서 도커 이미지를 가져올 때, 암호화돼 있거나 기존 도커 이미지 취약점 탐색 툴로 탐지되지 않는 취약점이 있다면, 이를 배포·운영하는 과정에서 이상행위가 발생할 수 있다. 프리즈마 클라우드는 머신러닝을 이용해 각 이미지의 의도를 모델링하고, 런타임 동작 간의 이상을 자동으로 찾는다. 또한 광범위한 인텔리전스를 통해 클라우드 위협을 미리 파악하고 대응한다”고 설명했다.

서버리스 컴퓨팅 보안 문제도 해결

프리즈마 클라우드를 도입해 클라우드 환경을 안전하게 운영하고 있는 대표적인 기업이 LG전자로, LG전자는 도커·컨테이너는 물론, 서버리스 환경에서 발생할 수 있는 위협에도 미리 대응해 전 세계 고객에게 가장 안전한 제품을 제공하고자 했다.

특히 서버리스 컴퓨팅은 아직 범용적으로 사용되는 개발환경이 아니기 때문에 이를 보호하는 기술이나 솔루션을 찾기 어려웠으며, 이 솔루션의 작동 방법을 이해하는 개발자도 많지 않았다. 또 퍼블릭 클라우드 사업자마다 제공하는 툴이나 사용·관리 방법이 다르기 때문에 이를 숙지하는 것도 쉽지 않은 일이다. 프리즈마 클라우드는 모든 클라우드 환경을 지원하며, 자동으로 위협을 탐지하고 대안을 제시한다.

전기용 책임은 “예를 들어 서버리스 환경에서 불필요한 액세스 키가 발급되고, 무단으로 인프라가 생성되는 등의 이상행위가 발생한다 해도, 클라우드 사업자가 제공하는 툴을 이용해 모니터링해야 하기 때문에 완벽하게 통제하거나 이상행위를 가시화하지 못한다. 코드를 개발해 배포할 때 소스코드에 취약점이 있는지, 민감한 고객정보과 중요정보가 포함돼 배포되지 않는지 등 개발·배포 과정에서 발생할 수 있는 수많은 보안 위협이 있는데, 이를 자동화해 대응하지 못하면 위험하다”고 설명했다.

그는 이어 “프리즈마 클라우드는 자동화된 프로세스를 제공하며 사용자 친화적인 대시보드를 이용해 클라우드 상에서 발생하는 위협을 한 눈에 볼 수 있다. 엔지니어 측면에서 매우 훌륭한 제품이라고 판단한다”고 밝혔다.