[데이터넷] 클라우드가 IT의 인프라로 확실히 자리잡았다. 가트너에 따르면 2022년 전 세계 IaaS 시장이 전년대비 30% 가까이 성장한 1203억달러 규모에 이른다. 클라우드 전환 속도는 지속적으로 높아지고 있으며, 이는 공공 시장에서도 마찬가지다. 정부는 모든 국가·공공기관 정보시스템을 2030년까지 클라우드로 전환한다는 계획을 밝히고 있다. 지난 정부에서 2025년을 목표로 했던 것에서 크게 후퇴하기는 했지만, 클라우드 전환이라는 흐름은 꺾지 못할 것으로 보인다.

과학기술정보통신부는 공공 클라우드 전환 촉진을 위해 ‘공공부문 SaaS 개발과 검증 사업’ 21개에 80억원, ‘클라우드 전환 전문 컨설팅 지원 사업’ 42개에 70억원을 투자한다는 계획도 공개한 바 있다. 더불어 공공 클라우드 진입 장벽이 되었던 클라우드 보안인증(CSAP)도 완화해 2019년 간편등급 인증을 도입한데 이어 민감정보를 취급하지 않는 중요도 낮은 하 등급 업무에 대해서는 민간 클라우드 사업자가 공공 클라우드 영역을 논리적 망분리로 구축할 수 있게 했다.

코드로 운영되는 클라우드, 기존 기술로 보호 못해

클라우드는 비즈니스 혁신의 필수요건이지만, 관리·운영이 복잡하고, 공격표면이 증가하며, 보안 위협이 높아진다. 오스터만연구소의 ‘2022년 클라우드 보안 성숙도 현황’ 조사에 따르면 멀티 클라우드 전략을 채택한 조직 중 클라우드 보안 성숙도가 낮은 수준에서 운영되는 사례가 57%에 이른다.

클라우드 보안의 가장 큰 문제는 레거시 시스템의 보안 기술이 클라우드에서는 크게 도움이 되지 않는다는 점이다. 하드웨어 리소스 절감을 위해 여러 개의 VM을 운영하는 가상환경은 클라우드에서 이미 ‘전통적’인 기술이 된 상항이다.

현재 클라우드는 비용 절감과 민첩성을 높이기 위해 ‘코드’로만 운영되는 클라우드 네이티브 기술이 대세를 이루고 있다. 컨테이너·쿠버네티스, 서버리스가 보편적으로 사용되고 있으며, IaC를 이용해 코드만으로 인프라를 구성·운영할 수 있게 됐다. 마이크로서비스 아키텍처(MSA)를 채택해 쉽게 서비스를 조립하고, 운영 중 수정하게 됐으며, 재사용 가능한 코드를 이용해 빠르게 서비스를 배포할 수 있게 됐다.

클라우드를 통해 빠르게 변하는 시장의 요구를 즉시 반영할 수 있게 됐지만, 그만큼 공격도 쉽게 일어난다. 시스딕 조사에 따르면 공격자가 클라우드에서 공개적으로 노출된 자격증명을 찾는데 2분, 탈취한 자격증명으로 침투 가능한 클라우드를 찾아 공격을 시작하기까지 21분 걸린다. 타깃에 맞춰 자격증명을 획득한 경우 10분 이내에 침투하고 수평이동하는 것으로 분석된다. 공격 시작 후 발견되기까지 5분 밖에 걸리지 않는데, 침해가 발견됐다는 것은 이미 피해가 발생했다는 것을 의미하기 때문에 빠르게 탐지했다는 사실이 보안 대응에 성공했다는 것을 의미하지는 않는다.

멀티 클라우드 관리 복잡성 증가

전 세계 그 어떤 조직도 단 하나의 클라우드만 사용하지는 않는다. 클라우드 도입에 매우 소극적이거나 매우 폐쇄적인 조직도 엔드포인트 백신, 오피스 프로그램, 공유 스토리지 등 클라우드로 제공되는 서비스를 이용하고 있다. 클라우드에 익숙하지 않은 기업도 10개 이상 SaaS 애플리케이션을 사용하고 있으며, 엔터프라이즈는 200개 이상 SaaS를 사용한다.

팔로알토에 따르면 한 조직 당 평균 110개의 SaaS 앱을 사용하고 있으며, SaaS마다 사내 애플리케이션과 같은 보안 정책을 적용해야 한다는 요건을 만족시키지 못한다. SaaS마다 관리환경이 다르기 때문에 수동으로 접근권한 정책과 데이터 정책을 적용해야 한다.

복잡한 클라우드에서 수작업으로 정책을 운영할 수 없다. 클라우드 사용 조직의 60%는 보안경보를 해결하는데 4일 이상 걸리며, 전체 평균 145시간(약 6일)이 소요된다. 공격자는 5분만에 클라우드 침해를 끝내는데 보안은 이를 감지하고 분석, 대응하는데 너무 많은 시간을 허비해 침해로 인한 피해를 피하지 못한다.

대부분의 피해가 잘못된 방화벽 정책, 노출된 데이터베이스, 강제되지 않은 다중인증 등의 실수로 인해 발생한다는 점도 주의 깊게 살펴보야 한다. 피할 수 있는 문제가 반복되고 있다는 것은 엔지니어의 실수이거나 IaC 템플릿이 잘못되어 있어서, 기타 다른 해결 가능한 문제로 인해 발생한다는 뜻이다.

클라우드는 책임공유모델에 따라 서비스 사업자와 사용자의 책임범위가 다르다. 이는 불완전한 가시성을 갖고 클라우드를 운영해야 한다는 뜻이다. 체크포인트 조사에 따르면 책임범위 내 클라우드 보호를 위해 운영하고 있는 보안 정책이 6개 이상이라는 응답이 70%였으며, 26%는 20개가 넘는 정책을 운영하고 있었다. 체계적으로 설계되지 않은 보안 정책으로 인한 오탐과 많은 노이즈로 인해 경고피로가 높아지고 오히려 보안 문제를 더 해결하기 어렵게 한다.

“인간이 가장 취약한 링크”

최근 가장 빈번하게 발생하는 클라우드 타깃 공격은 코드저장소에 악성 컨테이너, 감염된 코드를 업로드 해 이를 소프트웨어 개발에 사용하도록 하는 것이다. 시스딕이 도커 허브 이미지에서 런타임 분석한 결과, 악성 컨테이너 이미지를 스캐닝하는 도구를 사용해도 10%는 탐지되지 않았다.

멀티 클라우드 도입으로 관리 사각지대가 늘어나면서 무차별 대입 공격의 성공률도 높아지고 있다.

엘라스틱은 최초 침투 시도의 58%가 무차별 대입 시도와 이전에 유출된 정보를 활용하는 암호 분사를 결합해 사용한 것이라고 분석했다. 공격자가 구글 클라우드, 애저에서는 실패했다해도 AWS에서는 성공했다면 AWS를 통해 관리 콘솔로 갈 수 있으며, 클라우드 서비스 사업자(CSP)들이 유사한 서비스를 제공하기 때문에 같은 방법으로 다른 클라우드로 침입하거나, 권한이 제대로 지정되지 않은 다른 관리 콘솔을 찾아 이동할 수도 있다고 설명했다.

공격자는 유효한 계정을 이용해 침입했기 때문에 탐지 시스템을 우회할 수 있으며, 리빙 오프 더 랜드(LotL) 혹은 리빙 오프 더 클라우드(LotC) 기술을 이용해 이상행위 탐지 시스템을 피해 공격을 이어갈 수 있다.

클라우드 침해의 거의 대부분은 실수, 잘못된 설정으로 인해 발생한다. 시스딕은 ‘2023 글로벌 클라우드 위협 리포트’에서 ‘인간이 가장 취약한 링크’라고 지적하며, 사용자의 실수가 어떻게 공격에 이용되는지 예로 들어 설명했다. 크립토마이너 ‘스칼렛일 2.0(SCARLETEEL 2.0)’의 피해 입은 한 조직은 관리자 계정을 “adminJane”, "adminJohn”과 같이 admin 다음 이름을 붙이는 방식으로 설정했는데, 실수로 하나의 계정이 “AdminJoe”와 같은 일관성 없는 이름으로 설정했다. 이 계정은 표준 명명 규칙의 적용을 받지 않았기 때문에 공격자가 액세스 키를 생성할 수 있었다.

침투에 성공한 공격자는 클라우드 내부는 물론이고 온프레미스 서버까지 이동하면서 공격 목표를 찾는다. TRT가 조사한 한 피해 사례에서 공격자는 SendSSHPublicKey라는 API를 이용해 EC2 인스턴스에 액세스 한 후 온프레미스 서버로 옮겨갔다.

클라우드 도입 계획부터 보안고려해야

클라우드 침해는 클라우드 운영 환경과 기술의 발전 속도만큼 복잡하고 빠르게 변한다. 그래서 일정하게 정해진 보안 모델을 규정할 수 없다. 지금 필수적인 보안 기술이 내년에도 필요할 것이라는 보장이 없으며, 다른 회사에서 도입해 성공적으로 운영되는 보안 솔루션이 우리 조직에서도 효과를 발휘할 것이라고 믿을 수도 없다.

클라우드 보안은 도입 계획과 함께 고려해야 하며, 조직의 환경과 비즈니스 계획, 보안·운영 인력의 역량 등을 감안해 도입한다. 업계 모범사례를 참고하는 것이 좋지만, 그것이 절대적인 모범답안은 아니며, 변하는 비즈니스 상황과 조직의 역량에 맞게 도입 모델과 계획을 수립해야 한다.

한편 증가하는 클라우드 침해 사고에 대응하기 위해 글로벌 기업들이 오픈 사이버 보안 스키마 프레임워크(OCSF)를 만들고 운영하고 있어 이를 참고할 필요가 있다. OCSF는 AWS, 브로드컴, 크라우드스트라이크, IBM 시큐리티, 옥타, 팔로알토 네트웍스, 세일즈포스, 시큐로닉스, 태니엄, 트렌드 마이크로, 지스케일러 등 글로벌 클라우드 사업자와 보안 기업들이 참여하고 있다.

OCSF는 보안 이벤트에 대한 표준 스키마를 제공하고 스키마 진화를 용이하게 하기 위한 버전 관리 기준을 정의하며, 보안 로그를 위한 자체 거버넌스 프로세스를 수립하고 있다. 클라우드 사용 조직이 OCSF를 사용하면 커넥터 데이터를 변환할 필요 없이 더 빠르게 위협 탐지와 대응이 가능하다. 시장조사기업 IDC는 OCSF에 더 많은 기업들이 참여하고 있다는 점에 주목하면서 OCSF가 향후 주를 이룰 것이라고 내다봤다.

‘클라우드 보안 2023’서 안전한 클라우드 운영 방법 공개

복잡한 클라우드를 안전하게 운영할 수 있는 다양한 기술과 솔루션, 모범사례를 참고하는 것도 클라우드 보안 전략을 수립하는데 도움이 된다. 9월 12일 서울 삼성동 인터컨티넨탈호텔 서울 코엑스 하모니볼룸에서 열리는 ‘제 5회 클라우드 보안 & SECaaS 인사이트 2023’에서 클라우드의 안전한 운영을 위한 전략을 상세히 안내받을 수 있다. 이 행사는 클라우드 위협의 동향과 최신 기술 트렌드, 주목할만한 솔루션과 서비스를 한 자리에서 접할 수 있으며, 클라우드 보안 업계 대표주자들의 세션 발표를 통해 클라우드 보안 모범사례를 확인할 수 있다.