[데이터넷] 점점 더 많은 기업들이 비즈니스 혁신을 위해 클라우드를 사용하고 있다. 특히 기업의 핵심 자산인 데이터가 클라우드에 위치하게 되면서 클라우드 보안의 중요성이 더욱 커지고 있다. 레거시 보안과 클라우드 보안은 굉장히 다르기 때문에 확실한 준비가 필요하다. 무엇보다 보안 담당자가 클라우드 보안에 대한 이해도를 높여야 한다. <편집자>

비즈니스 세계에서 디지털 트랜스포메이션(DT)이 급속도로 확산되고 있다. 쿠팡, 우버, 에어비앤비와 같은 많은 디지털 네이티브 기업들이 시장에서 승승장구하면서 기존 기업들도 앞다퉈 생존을 위한 DT를 추진하고 있다.

특히 신종 코로나바이러스감염증(코로나19) 팬데믹 발생 이후 전 세계 비즈니스의 지형 변화가 급격하게 나타나고 있으며, 사람과 접촉하지 않는 언택트(Untact) 시대가 활짝 열리고 있다. 이러한 시점에서 비즈니스의 연속성을 보장하는 효과적인 수단으로 클라우드가 조명 받고 있다.

그러나 DT의 핵심 수단으로 클라우드 활용이 많아지고 있는 가운데 최근 클라우드 보안 이슈가 많이 발생하고 있어 DT를 추진하는 기업들의 고민이 커지고 있다.

글로벌 보안 기업 맥아피(McAfee)는 “코로나19가 본격적으로 확산되기 시작한 2020년 1월부터 4월까지 클라우드 서비스에 대한 공격이 기존보다 무려 630%나 증가했는데, 공격자는 민감한 데이터를 식별하고 잘못 구성된 클라우드를 악용해 침입하며, 클라우드 취약성을 이용해 수집한 데이터를 유출했다”고 발표했다.

다만 공격이 많다고 해서 꼭 보안이 취약하다는 것을 의미하지는 않는다. 클라우드 서비스 역시 보안에 대한 철저한 준비가 돼 있을 뿐 아니라 클라우드 사용자가 추가적인 제품을 활용해서 강력한 보안 환경을 만들 수 있다. 무엇보다 클라우드 인프라 보안은 클라우드 서비스 제공 업체가 책임지는 형태이기 때문에, 기존 레거시 보안 환경보다 더욱 진보했다고도 할 수 있다.

클라우드 보안 이해 부족 문제
왜 클라우드 서비스에서 보안 문제가 많이 발생하는 것일까? 최근 보안 사고의 주요 원인 중 하나로 보안을 책임지고 있는 기업 내 보안 담당자가 클라우드에 대한 이해가 부족한 점을 꼽을 수 있다.

ISC가 2020년에 사이버 보안 전문가를 대상으로 실시한 ‘클라우드 보안 리포트 2020’에서 사이버 보안 전문가의 94%가 퍼블릭 클라우드 보안에 대해 우려하고 있다고 답했으며, 클라우드 보안 준비 상태에 대해 어떻게 평가하느냐는 질문에 전체 응답자의 69%가 팀의 보안 준비 상태가 평균 이하라고 평가했다.

또 글로벌 리서치 기업인 가트너(Gartner)도 사용자의 부족한 지식을 경고하면서 “클라우드 침해의 99%는 사용자 실수에 의해 발생한다”고 말했으며, 글로벌 IT 기업인 IBM은 “클라우드 위협의 19%가 잘못된 설정에 의해 발생했다”고 분석한 내용을 발표한 바 있다.

이를 종합해 볼 때 최근 보안 사고의 주요 원인은 보안 담당자의 클라우드 보안에 대한 이해 부족이라고 할 수 있다. 클라우드 보안에 대한 이해가 부족할 경우 기존 보안 정책과 솔루션만으로 클라우드를 보호할 수 있다고 생각하기 쉽다.

하지만 ISC 보고서에 의하면 “보안 전문가의 82%가 전통적인 솔루션이 클라우드 환경에서 작동하지 않거나 제한적인 기능만 사용할 수 있다”고 답했다. 이는 기존 레거시에서 사용하는 보안 정책과 기술이 아니라 클라우드에 맞는 특화된 보안 정책과 기술이 새롭게 필요하다는 것을 의미한다.

• 클라우드 보안 사고 문제 원인

- 클라우드 보안에 대한 이해 부족
- 클라우드 ID와 자원에 모두 정책이 있어 설정 관리가 어려움
- 클라우드는 접근이 쉬운 만큼 공격도 쉬움
- 자사가 사용하는 클라우드를 제대로 파악하지 못함
- 매년 새로운 기술이 생겨남
→ 클라우드 보안 사고의 99%는 사용자 실수에 의해 발생

클라우드 보안 사고 원인
최근 발생한 클라우드 보안 사고의 주된 원인을 정리해보면 다음과 같다.

첫째, 클라우드 보안에 대한 이해 부족이다. 기업 보안 담당자가 클라우드 인프라, 클라우드 기술, 관련 법규 등 클라우드 전반에 대한 이해와 책임 공유 모델에 대한 이해가 부족한 경우다.

둘째, 클라우드 보안 정책 부족이다. 클라우드에 대한 보안 컴플라이언스가 반영된 주기적 점검 기준, 보안성 심의 등을 위한 회사의 보안 정책, 가이드, 체크리스트가 아직 마련되지 않았기 때문이다.

셋째, 클라우드 환경에서의 기술적, 관리적 보안 방안 부재다. 클라우드 환경에서의 보안 위협과 필요 보안 기능을 인지하고 이에 대응할 최적의 보안 솔루션·서비스에 대한 준비가 마련되지 않은 경우다.

넷째, 새로운 클라우드 기술에 대한 보안 방안 부재다. 클라우드 서비스는 매년 수백 개 이상의 신규 서비스가 나온다. 컨테이너, 서버리스 등 새로운 클라우드 기술의 지속적인 등장으로 보안의 영역이 확장되고 있다. 자연히 이에 맞는 새로운 보안 기술들이 필요하다.

이처럼 네 가지 클라우드 보안 사고 원인에 대비하고 있는 기업이 과연 얼마나 될까? 극히 적은 것이 현실이다. 대부분의 기업이 클라우드 보안에 대한 준비가 전혀 되어 있지 않다고 단언해도 무리가 아니다.

그렇다면 클라우드 보안에 대해서는 무엇부터 시작해야 할까? 가장 먼저 클라우드 보안을 이해하는 것부터 시작해야 한다.

레거시 보안과 다른 클라우드 보안
레거시 보안 방식은 기본적으로 벽을 만들어 외부 침입을 통제하는 성벽형 보안 모델이다. 왕을 보호하기 위해 성을 쌓는 것처럼 허가되지 않은 사람 혹은 시스템이 내부에 들어오지 못하게 막는 것부터 보안이 시작된다. 내부 시스템은 외부와 완전히 분리해 운영하고, 일부 외부 통신이 필요한 시스템만 외부와의 연동을 허용한다.

반면 클라우드 서비스에서는 호텔 혹은 공항처럼 언제 어디서든 누구나 서비스 안으로 들어올 수 있기 때문에 성벽형 보안 모델과 같이 벽을 세워 관리하는 것이 불가능하다. 그렇기 때문에 클라우드 보안을 가리켜 공항형 보안 모델이라고 하며, 사람에 대한 인증, 권한 그리고 추적 등의 보안 기능이 몹시 중요하다.

책임 공유 모델 이해 필요
클라우드 보안에서는 책임 공유 모델이 존재한다. 기존 레거시 환경에서는 서비스를 위한 하드웨어, 인프라, 애플리케이션, 데이터 등에 대한 오너십이 모두 사용자에게 있었기 때문에 기업 자체에서 전체 시스템에 대한 보안 대책을 마련했다.

하지만 클라우드 환경에서는 책임 공유 모델에 따라 클라우드 서비스 사업자와 사용자 간에 역할이 나뉜다. 클라우드 서비스 사업자가 하드웨어, 네트워크, 시스템 등에 대한 보안 책임을 가지는 한편, 클라우드 사용자는 권한 및 인증, 데이터 보안, 애플리케이션, 클라우드 자원에 대한 보안을 책임져야 하는 영역이라는 점을 꼭 인지하고 사용자 영역에 대한 철저한 보안을 준비해야 한다.

엄격한 인증 통해 허가된 사람과 앱만 데이터에 접속
클라우드 사용이 늘어나고 코로나19 유행으로 인한 재택근무가 늘어나면서 안전한 접속 보안 환경이 무너졌다. 회사에 구축돼 있던 보안 시스템은 클라우드 사용과 재택근무가 병행되는 환경에서 인터넷상에 존재하는 많은 위협들이 직접적으로 단말에 미치는 영향을 통제하기 어렵게 됐다. 글로벌 시큐리티 기업인 태니엄(Tanium)의 조사에 의하면 원격근무를 시행한 이후 보안 과제에 직면했다고 답한 사람이 98%였다고 한다.

이러한 환경에서 주목받고 있는 방식이 제로 트러스트 모델(Zero Trust Model)이다. 제로 트러스트 모델은 ‘신뢰하지 말고 항상 검증할 것’이라는 원칙을 기본으로 권한이 부여된 사용자와 디바이스만 애플리케이션 및 데이터에 접속하도록 허용하는 개념이다. 안전한 네트워크에 접속하면 안전하다고 여기는 기존 방식의 보안과 완전히 반대되는 개념이다.

제로 트러스트 환경은 언제 어디서든 사용자에 대해 엄격히 인증하고, 허가된 디바이스에 부여된 권한에 따라 애플리케이션 및 데이터에 접속할 수 있다. 이중인증은 기본이며 재택, 카페 등과 같은 공용 네트워크를 사용하는 환경에서도 엄격한 보안 기준을 적용받을 수 있다. 인증된 애플리케이션에만 접속 가능하며 다른 애플리케이션에서 접속할 경우 다시 인증을 받아야 한다. 접속 후에는 지속적인 모니터링으로 이상행위가 발생하는지 살펴본다.

이러한 제로 트러스트 보안 환경 구축은 몇 가지 솔루션을 도입해서 해결할 수 있는 것이 아니라 기존 네트워크와 인프라는 물론 일하는 방식까지 완전히 바꿔야 하기 때문에 장기간에 걸친 계획과 실행이 필요하다.

클라우드 보안 가시성 확보 필요
서버, 스토리지, 네트워크로만 정리되던 예전에 비해 클라우드 자원 관리는 굉장히 복잡하다. 또 레거시에서 사람만 통제했다면 클라우드에서는 클라우드 자원과 API를 통제해야 한다.

권한 관리도 사람뿐만 아니라 클라우드 자원에 대해서도 모두 설정해야 하기 때문에 사람이 장부로 관리하기란 거의 불가능하다. 최근 보안 사고의 99%가 클라우드 구성 문제에 의해 발생했다는 것이 이해가 가는 대목이다.

클라우드 보안 관리를 위해서는 먼저 가시성 확보가 필요하다. 이를 위해서는 클라우드 보안 형상 관리(CSPM)와 같은 가시화 도구가 필요하다. 가트너는 2024년까지 기업이 CSPM을 이용해 구성 오류로 인한 보안 사고를 80%까지 줄일 수 있다고 분석했고, 모든 기업은 CSPM을 기반으로 보안을 관리하게 될 것으로 예상했다.

이에 베스핀글로벌에서는 고객들이 쉽게 클라우드 보안 상태를 점수로 관리하고 컴플라이언스를 관리할 수 있도록 ‘옵스나우 시큐리티(OpsNow Security)’를 개발해 서비스하고 있다. 무료로 클라우드 보안 점수 확인 및 취약점 진단도 가능하다.

새로운 기술에 대한 보안
클라우드에서는 매년 1000개가 넘는 새로운 기술과 서비스가 생겨난다. 기존 레거시에는 존재하지 않았던 기술이기 때문에 새로운 자원에 대한 보안 고려가 필요하다. 클라우드에서 새롭게 생긴 기술, 즉 서버리스, 컨테이너, API 방식의 풀 매니지드 서비스 등에 대해 보안 관리할 수 있는 클라우드 워크로드 보호 플랫폼(CWPP)을 고려해야 한다.

클라우드 보안과 기존 보안을 비교해보자면 기존 레거시 방식의 보안은 벽을 만드는 계층 방어 형태였지만, 클라우드 보안은 사용자 인증 및 권한을 제어하는 방식으로 진행된다. 기존 보안에서 통제 대상이 사람이었다면, 클라우드에서는 사람과 서비스 모두를 통제해야 하는 굉장히 복잡한 조건이다.

기존 데이터센터는 자동화되지 않은 반면, 클라우드는 자동화돼 있어 보안 역시 코드로 관리할 수 있는 방법을 고려해야 한다. 또 기존 보안에서는 모든 것을 기업이 책임져야 했지만, 클라우드에서는 책임 공유 모델에 의해서 클라우드 서비스 사업자(CSP)가 담당해야 하는 영역이 존재하고, 인프라 복잡성이 굉장히 높으며, 동적 자원이라는 특징을 가진다. 클라우드 서비스에서 사용자의 자원 통제 권한 범위는 굉장히 넓기 때문에 침해 사고 발생 시 그 피해가 상당하다는 것도 기억해야 한다.

앞으로도 비즈니스 혁신을 위해 많은 기업들이 클라우드를 사용할 것이다. IT와 데이터가 갈수록 중요해지는 상황에서 보안은 기업의 비즈니스 목적을 지키기 위해 중요한 부분이다.

그러나 기존 레거시 보안과 클라우드 보안은 굉장히 다르기 때문에 확실한 준비가 필요하다. 가장 먼저 보안 담당자가 클라우드 보안을 이해하는 것부터 시작하는 것이 좋다. 이번 글을 참고해 누구나 클라우드를 안전하게 활용할 수 있기를 희망한다.