[데이터넷] “클라우드 보안 솔루션과 기술을 모두 도입한다고 해서 클라우드를 보호할 수 있는 것은 아니다. 기업·기관의 클라우드 이행 현실과 운영 역량, 컴플라이언스를 고려해 적절한 보안 기능을 선택해야 한다.”

신은수 AWS 수석 솔루션 아키텍트는 24일 열린 ‘AWS 시큐리티 앤드 리스크 매니지먼트 포럼 코리아’의 키노트에서 “빠르고 안전한 클라우드 여정을 위해 거버넌스와 민첩성을 모두 만족해야 한다. 이를 위해서는 기업·기관이 자사 환경에서 필요로 하는 클라우드 운영·보안 기능을 도입해 운영해야 한다. AWS는 고객이 원하는 기능을 모듈형으로 조립해 레고 블록처럼 운영할 수 있도록 해 고객의 민첩하고 안전한 클라우드 운영을 지원한다”고 밝혔다.

이 행사는 네트워크타임즈와 데이터넷이 주최·주관하고 AWS가 후원해 클라우드의 복잡한 보안 문제를 해결할 수 있는 다양한 보안 기술과 솔루션, 모범사례를 소개했다. 500여명의 클라우드·보안 담당자가 참여한 이 행사에서는 AWS가 클라우드 서비스를 안전하게 제공하기 위해 투자하고 있는 여러 보안 기술에 대해 자세히 설명했으며, 고객이 AWS 네이티브 서비스와 서드파티 솔루션을 이용해 효율적으로 클라우드를 운영하는 방안에 대해서도 안내했다.

클라우드 특성 이해해야 보안 성공할 수 있어

‘보안, 그 이상의 보안’이라는 주제의 키노트로 행사의 문을 연 신은수 수석 솔루션 아키텍트는 클라우드 책임공유모델을 언급하면서 AWS 인프라 보호를 위한 나이트로(Nitro) 플랫폼을 소개했다. 나이트로 플랫폼은 AWS 전용 하드웨어 보드로, 속도와 성능을 크게 개선해 클라우드 서비스 품질을 높였다. 또한 인증·인가된 API만 통해 접근할 수 있게 했으며, 시스템·관리 인원이 EC2 호스트에 접근할 수 없도록 했다.

고객을 위해 제안하는 AWS의 보안 기술은 제로 트러스트를 원칙으로, 검증된 사용자만 안전하게 접속할 수 있도록 하고, 다양한 셀프 서비스 기능으로 생산성 영향 없이 클라우드를 운영할 수 있게 한다. 또한 서드파티 솔루션과 통합된 위협 탐지·대응 역량을 확보할 수 있게 한다.

AWS를 비롯한 클라우드 전문기업들이 클라우드 운영의 모범사례를 소개하고 있지만, 실제 기업·기관에서는 온프레미스와 클라우드의 다른 점을 명확하게 이해하지 못하며, 최적화된 클라우드 운영 방법을 쉽게 찾지 못한다.

행사의 두번째 키노트에서 최용혁 카카오페이손해보험 CISO는 ‘구름 속에 가려진 보안, 그 실체는 존재하는가’ 세션에서 보안 현장에서 겪게 되는 보안 문제와 현실적인 해결 방법에 대해 설명했다.

클라우드를 안전하게 운영하기 위해서는 멀티 어카운트, IAM, DMZ, 네트워크 ACL(NACL)을 사용하며, 스토리지 설정 오류로 인한 데이터 침해를 막을 수 있도록 저장소의 데이터를 지속적으로 확인하고 중요한 정보가 외부에 노출되지 않도록 관리해야 한다.

최용혁 CISO는 “소프트웨어를 통해 변경할 수 있어 민첩성과 확장성이 높지만 가시성과 보안성이 떨어지기 때문에 클라우드의 특징을 충분히 이해하고 보안 정책을 적용해야 한다”며 “보안조직은 클라우드 전문가의 의견을 존중하면서 보안을 강화하기 위해 노력해야 한다”고 말했다.

강력한 접근제어로 데이터·네트워크 침해 방지

클라우드 사용 시 가장 우려되는 것이 민감데이터 유출이다. 클라우드 책임공유모델에 따라 데이터는 거의 대부분 사용자의 책임 하에 있지만, AWS의 DB 인프라 문제로 인한 데이터 유출 사고가 절대 일어나지 않는다고 장담할 수 없다.

그래서 AWS는 완전 관리형 클라우드 네이티브 데이터베이스 오로라(Aurora)를 통해 데이터를 근본적으로 안전하게 보호한다. 오로라는 스토리지와 컴퓨팅 시스템이 물리적으로 분리돼 있으며, 10GiB 단위로 데이터를 쪼개 수백대의 스토리지에 분산저장해 데이터를 보호한다.

이덕현 데이터베이스 전문 솔루션 아키텍트는 “마이SQL과 포스트그레SQL을 기반으로 설계된 오로라는 랜섬웨어, 악성코드, 불법 사용자가 데이터베이스에 침입해 무단으로 변경하지 못하도록 한다. 또 고객의 안전한 클라우드 DB 운영을 위해 암호 관리자, 위협 탐지 서비스를 연계해 사용할 수 있게 한다”고 설명했다.

클라우드는 시간이 지날수록 복잡해지고 가시성이 떨어져 일관된 통제가 쉽지 않다. AWS는 네트워킹 서비스 VPC로 단순한 운영을 지원하지만, 클라우드 기반 서비스가 늘어나면 VPC로 인해 복잡성이 더 높아진다는 문제에 직면하게 된다.

최우형 네트워크·컨테이너 익스퍼트는 VPC 운영 편의성과 보안성을 개선할 수 있도록 트랜짓 게이트웨이(TGW), 게이트웨이 로드발란서(GWLB), 네트워크 방화벽(ANFW)을 사용하는 것이 좋다고 설명했다. 또 전용선 암호화 다이렉트커넥트 맥섹(DX MACSec), 클라우드 WAN 기반 완전 관리형 WAN 서비스도 제공하고 있어 규제가 강한 산업부터 클라우드 전문성이 낮은 기업까지 클라우드 네트워크와 관련된 우려를 해결할 수 있도록 한다고 밝혔다.

최우형 익스퍼트는 “VPC는 다중 서브넷을 지원하므로 퍼블릭 서브넷에는 자원을 올리지 말고 프라이빗 클라우드에 저장하도록 권고하고 있다. AWS는 내년부터 퍼블릭 IP 어드레스에 대한 과금을 시작해 퍼블릭 서브넷으로 인한 침해가 발생하지 않도록 조언하고 있다”고 강조했다.

지속적인 보안 평가와 위협 탐지 필수

점심식사 후 이어진 세션에서는 AWS가 제안하는 클라우드 모범사례와 클라우드 보안 평가(ECSA)를 우리나라 환경에 최적화 한 컨설팅 모델이 소개됐다. 박병화 시큐리티 컨설턴트는 고객 인터뷰와 고객사례를 통해 파악한 당면과제로 ▲비용 ▲보안 ▲자동화 ▲모니터링·로깅 등이 꼽혔다고 밝히며 세션을 시작했다.

그는 컨트롤 타워(Control Tower)를 통한 멀티 어카운트 환경의 거버넌스, 비용 통제, 자동화된 침해사고 대응 방법 등을 안내하면서 ▲아이덴티티 ▲탐지 제어 ▲인프라 보안 ▲데이터 보호 ▲침해대응의 다섯가지 보안 영역을 고려한 아키텍처 설계가 필요하다고 밝혔다.

박병화 컨설턴트는 “ECSA는 현재 상태를 파악하고 AWS 베스트 프랙티스 기반 다양한 보안 오퍼링을 제공한다. 컨트롤타워, 네트워크·보안, 데이터베이스, 로깅 모니터링, ISMS-P 등 다양한 보안 오퍼링을 제공하는 ECSA 진단·분석을 통해 고도화 로드맵을 만들 수 있다”고 말했다.

최근 클라우드 보안 운영에서 관심을 갖기 시작한 것이 클라우드 침해 탐지와 대응이다. 특히 피해가 발생하기 전 침해를 인지하고 조치할 수 있도록 실시간 위협 헌팅의 요구가 높아지고 있다. 위협헌팅을 위해서는 모든 로그를 수집해 분석할 수 있어야 하며, 로그 데이터의 정규화와 최적화, 효율적인 분석 기능이 필요하다.

정관진 시큐리티 스페셜리스트는 시큐리티 레이크(Security Lake)와 시큐리티 허브(Security Hub), 클라우드트레일(CloudTrail), 람다(Lamda)를 이용한 위협 헌팅 지원 기능을 소개했다. 시큐리티 레이크는 AWS 리전 전체에서 모든 소스의 데이터를 중앙 집중화하며, OCSF 개방형 표준으로 정규화 해 데이터 관리를 간소화한다.

정관진 스페셜리스트는 “모든 위협은 흔적을 남기며, 그 시작은 로그”라며 “로그를 수집한 후 무엇을 찾아 어떻게 활용할 것인가가 중요하다. 보안 데이터의 레이크화와 연계 분석으로 위협을 효과적으로 식별하고 차단해야 한다”고 말했다.

데이터 주권·IP 보호 지원 기능 필요

클라우드 관련 규제 중 뜨거운 감자로 떠오르는 것이 ‘데이터 주권’이다. 클라우드 서비스 사업자(CSP)는 데이터를 분산된 리소스에 저장하기 때문에 데이터 주권에 대한 혼란이 생길 수 있다. AWS는 데이터 저장 리전을 지정할 수 있게 하며, 데이터에 대한 강력한 접근통제, 암호화, 유출방지 등의 기능을 제공한다. 개인정보 처리 단말은 시큐리티 그룹을 통한 통신 제한 정책으로 보호하며, 법에 따른 개인정보 파기 시 암호화된 오브젝트를 삭제하거나 볼륨 스토리지를 삭제해 접근을 불가능하게 만든다.

클라우드 개인정보 보호 방법에 대해 설명한 허원석 시큐리티 스페셜리스트는 “클라우드에서 개인정보 보호를 위해서는 클라우드 환경을 잘 이해해야 하며, 자동화 환경을 구성해 거버넌스, 컴플라이언스, 리뷰 활동을 놓치지 않고 할 수 있어야 한다”고 말했다.

개인정보 보호 못지 않은 핫이슈로 지적재산권(IP) 보호가 있다. 누누티비 논란에서 볼 수 있듯이 미디어 콘텐츠 사업자들은 저작권이 있는 콘텐츠를 고객에게 안전하게 제공하면서 불법 사용을 원천적으로 차단할 수 있는 방법을 찾아야 한다.

AWS는 CDN 서비스 클라우드프론트(CloudFront), 시청자가 미디어 패키지에 직접 접근하는 것을 방지하는 CDN 오소라이제이션(CDN authorization), DRM 솔루션 엘리멘탈 미디어(Elemental Media) 등이 대표적이다. AWS는 DRM을 쉽게 처리할 수 있도록 ‘스피크 API(SPEKE API)’도 제공한다.

미디어 콘텐츠 보호 방법을 소개한 렌(Yongzhe Ren) 솔루션 아키텍트는 “AWS는 쉽고 간편하며 비용 효율적으로 미디어 콘텐츠 사업자들이 안전하게 콘텐츠 서비스를 할 수 있도록 돕는다. 고객경험을 향상시키면서 보안을 강화할 수 있는 다양한 기능을 제공하고 있다”고 말했다.

개발부터 운영·설정까지 보안 정책 필요

클라우드에서 가장 자주 사고가 발생하는 것이 S3이다. S3는 스토리지 데이터를 효율적으로 관리할 수 있지만, 모든 버킷을 별도로 설정할 수 있어 자칫 잘못하면 불특정 다수에게 공개된 상태로 운영할 수 있다. 이 문제를 해결하기 위해서는 기본적으로 모든 계정은 프라이빗 액세스로 설정하며, 퍼블릭 액세스가 필요한 업무를 위해 전용 계정을 만들어 운영하는 것이 좋다. 모든 버킷은 각각 세밀한 권한 정책을 부여하고 지속적으로 관리해야 한다.

황재훈 시큐리티 스페셜리스트는 “VPC 엔드포인트를 통해서만 버킷에 접근할 수 있게 하고, 실수나 잘못된 API 요청으로 데이터가 손상되지 않도록 오브젝트 버전관리, 객체 잠금, 복제 기능을 이용해야 한다. 더불어 아마존 메이시(Amazon Macie)의 기계학습과 패턴 매칭을 사용해 데이터 보호 정책을 개선해야 한다”고 밝혔다.

클라우드 공급망 공격이 가장 위험한 사이버 리스크로 지목되면서 개발 단계에서의 보안에도 많은 투자가 이뤄지고 있다. AWS는 AI를 활용해 취약한 코드를 식별하고 권장사항을 제공하는 코드구루(CodeGuru)와 AI 코딩 서비스인 코드위스퍼러(CodeWhisperer)를 통해 안전한 개발 환경을 지원한다.

강세용 개발 전문 SA는 “개발자가 IDE에서 개발하는 순간부터 코드를 빌드하고 테스트하는 모든 단계에 자동화된 보안을 적용해야 한다. AWS는 개발 과정에 AI를 활용한 자동화된 보안을 통합해 더 쉽고 빠르고 안전하게 개발작업을 완료할 수 있게 한다. 또한 코드루루와 코드위스퍼러를 통해 생성된 코드는 AWS가 저장하지 않아 다른 코딩 작업에 활용되지 않도록 한다. 이처럼 AWS는 책임 있는 AI 접근을 개선시켜 개발 효율성과 보안성을 높일 수 있도록 노력하고 있다”고 말했다.

현재 공급망 공격에 가장 많이 사용되는 것이 쿠버네티스다. 쿠버네티스 취약점이나 잘못된 설정·권한 등으로 인한 리스크가 높아진다. AWS는 완전 관리형 쿠버네티스 서비스 EKS를 통해 보안을 한층 강화하면서 애플리케이션 현대화와 MSA를 구축할 수 있게 한다.

세미나의 대미를 장식한 최우형 익스퍼트는 EKS의 보안 모범사례를 소개하면서 안전하게 클라우드를 디자인하고 운영할 수 있는 방안을 제안했다. EKS는 런타임 보안을 위해 보안 강화 리눅스(SELinx)를 적용했으며, 프라이빗 서브넷에 자원을 배치해 보안을 강화했다. CI/CD 파이프라인에 보안을 통합해 도커파일의 버그, 스타일 오류, 취약성을 식별하며, 가드듀티 기반 위협 탐지와 분석을 통해 잠재적 위협을 탐지하고 보안 조사 결과를 생성·분석한다.

최우형 익스퍼트는 “쿠버네티스는 가시성을 확보하기 어렵기 때문에 위협을 식별하기가 쉽지 않다. AWS는 EKS 백서를 통해 베스트 프랙티스를 상세히 설명하고 있다. 그리고 AWS의 다양한 보안 기능을 연계해 비정상 행위를 탐지하고 대응할 수 있게 한다”고 설명했다.