[데이터넷] 클라우드에서 잇단 사고가 발생해 큰 피해가 발생하고 있다. 클라우드 보안 기업조차 사고를 당하면서 클라우드 위협이 더욱 높아지고 있다. 클라우드 기반 SIEM 및 데이터 분석 기술 제공업체 수모로직은 AWS 계정 침해로 인한 데이터 유출 사고를 겪었다.

시스디그는 지난해 9월 AWS 서비스 취약점을 악용한 불법 암호화폐 채굴 공격 ‘앰버스퀴드(AMBERSQUID)’를 발견해 공개했으며, 이 공격으로 피해조직은 하루 1만달러 이상 비용을 지불할 수 있다고 설명했다.

미국 클라우드 제공업체 랙스페이스는 2022년 랜섬웨어 공격으로 1000만달러 이상 피해를 입었으며, 1년 이상 사고 여파로 인한 피해를 입고 있다. 랙스페이스는 프록시로그온 제로데이 취약점 공격을 당했는데, 취약점 패치가 배포된지 오래 되었는데도 불구하고 랙스페이스는 운영 중단을 우려해 패치하지 않아다가 피해를 입었다.

5분 내 클라우드 침해로 피해 발생

클라우드 이전 속도가 빨라지고 있지만, 보안대책은 충분하지 않다. 클라우드에서 발생하는 사고의 99%는 사용기업의 실수와 구성오류로 인해 발생하지만, 앞서 언급한 사례를 보면 클라우드 서비스 사업자(CSP)로 인한 사고도 빈번하게 발생한다. CSP가 운영하는 데이터센터의 물리적 장애, 제거되지 않은 취약점, 잘못된 설정과 구성오류, CSP가 관리하는 계정 탈취와 권한 오남용, 외부 해킹 등의 공격을 받는다.

클라우드는 빠른 속도만큼 침해도 빠르게 일어난다. 시스디그는 공격자가 클라우드에서 공개적으로 노출된 자격증명을 찾는데 2분, 탈취한 자격증명으로 침투 가능한 클라우드를 찾아 공격을 시작하기까지 21분 걸린다고 설명했다. 타깃에 맞춰 자격증명을 획득한 경우 10분 이내에 침투하고 수평이동한다. 공격 시작 후 발견되기까지 5분 밖에 걸리지 않는데, 침해가 발견됐다는 것은 이미 피해가 발생했다는 것을 의미하기 때문에 빠르게 탐지했다는 사실이 보안 대응에 성공했다는 것을 의미하지는 않는다.

클라우드는 운영환경이 매우 복잡하며 새로운 기술이 빠르게 접목되기 때문에 보호하기가 쉽지 않다. 거의 대부분의 클라우드 이용 고객이 여러 개의 퍼블릭 클라우드와 수백가지의 SaaS를 운영하고 있어 가시성과 통제성을 확보하기 어렵다.

엔터프라이즈 전략그룹(ESG) 조사에서는 조직의 69%가 3개 이상 서로 다른 CSP를 사용하고 있으며, 이로 인해 각각의 클라우드에서 운영되는 워크로드와 보안 정책, 호스팅된 애플리케이션 정보를 완전하게 파악하지 못한다. 팔로알토 네트웍스 조사에서는 한 조직당 110개의 SaaS를 사용하고 있다고 분석했다. 각 SaaS마다 관리환경이 달라 온프레미스 애플리케이션과 동일한 수준의 보안 정책을 적용한다 해도 각각의 SaaS마다 정책을 적용, 운영해야 한다.

클라우드 사용 조직의 60%는 보안경보를 해결하는데 4일 이상 걸리며, 전체 평균 145시간(약 6일)이 소요된다. 공격자는 5분만에 클라우드 침해를 끝내는데 보안은 이를 감지하고 분석, 대응하는데 너무 많은 시간을 허비해 침해로 인한 피해를 막지 못한다.

보안으로 클라우드 운영 더 복잡해져

클라우드에서 발생하는 대부분의 사고 유형은 거의 비슷하지만, 막는 것이 매우 어렵다. 온프레미스, 전통적인 가상환경과 현대화된 애플리케이션 환경을 모두 운영해야 하는 멀티·하이브리드 클라우드는 개별 환경에 맞는 보안 정책과 기술을 클라우드 전반에서 일관성 있게 적용할 수 있도록 세밀한 관리가 필요하다. 자동화되지 않고, 통일성 없는 정책 적용과 운영을 수작업에 의지할 수밖에 없기 때문에 보안 문제를 해결하기 쉽지 않다.

그래서 자동화된 보안 기술이 등장하고 있는데, 기능별로 구축되는 보안 솔루션으로 인해 복잡성이 더 높아진다. 클라우드 설정 오류를 교정하기 위한 CSPM, 클라우드 워크로드를 보호하기 위한 CWPP, 컨테이너 이미지 취약점 탐색, 클라우드 인프라 권한 관리(CIEM), 등이 각각 적용되면서 관리 복잡성을 한층 증가시킨다. 여기에 SaaS 애플리케이션 구성·설정 오류를 해결하는 SSPM, IaC 관리 등의 새로운 이슈도 등장하면서 클라우드 복잡성이 최고조에 이르고 있다.

그래서 클라우드 보안 솔루션은 플랫폼에 통합되는 경향을 보이고 있다. 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)은 CSPM, CWPP, CIEM, 컨테이너 이미지 취약점 관리, IaC 템플릿 구성관리, SSPM·KSPM 등 전통적인 워크로드 보호부터 새로운 클라우드 보안위협까지 대응할 수 있는 기능으로 통합 플랫폼으로 제공한다.

계정·데이터 탈취 공격 심각

클라우드는 쉽게 사용할 수 있기 때문에 보안사고 위협이 매우 높다. 섀도우 클라우드와 관리되지 않은 ID로 인한 리스크가 심각하다. 엘라스틱은 클라우드 침투 시도의 58%가 무차별 대입 시도와 이전에 유출된 정보를 활용하는 암호 분사를 결합해 사용한 것이라고 분석했다. 공격자가 AWS나 애저 침투에 실패했지만, 구글 클라우드 침입에 성공하고 구글 클라우드 관리 콘솔까지 이동할 수 있었다면, 같은 방법으로 AWS, 애저에 다시 침투를 시도할 수 있다는 설명도 덧붙였다.

클라우드 권한 설정 오류로 인한 사고도 심각하다. 오르카에 따르면 조직의 49%가 민감한 AWS 키를 가상머신 파일 시스템에 저장하고 있으며, 이를 탈취한 공격자가 모든 AWS 리소스에 접근할 수 있다. EC2 인스턴스 실행, S3 개체 삭제 등을 수행할 수 있다. 오르카는 AWS 키는 수동으로 해지하지 않는 한 무기한 액세스가 가능하기 때문에 ASW 키 대신 보안토큰 서비스를 사용해 생성되는 임시 자격증명을 사용할 것을 권고했다.

유효한 계정을 이용해 침입한 공격자는 시스템과 클라우드에 있는 기능을 이용하는 리빙 오프 더 랜드(LotL) 혹은 리빙 오프 더 클라우드(LotC) 공격 기술을 사용, 시스템 내부 이상행위 탐지 시스템을 피해 공격을 이어갈 수 있다.

클라우드 저장 데이터 역시 위험한 상태이다. 계정 탈취 공격자가 정상 권한으로 민감 데이터에 접근할 수 있으며, 암호화되지 않은 평문 데이터를 클라우드에 공개 상태로 업로드하거나, 클라우드 데이터 접근권한이 잘못 설정돼 권한 없는 사용자가 중요 데이터에 접근할 수 있다.

오르카는 조직의 50%가 민감한 데이터가 저장된 깃 리포지토리를 하나 이상 보유하고 있다고 분석했다. 실수 혹은 관행으로 데이터베이스 비밀번호, API 키, 암호화 키, 해시 솔트, 비밀 등 민감한 정보를 깃 리포지토리에 푸시하고 있다. 이러한 정보가 애플리케이션의 소스코드에 포함되어 있으면 공격자가 추출해 공격에 악용할 수 있다.

소버린 클라우드 중요성 강조

클라우드로 정부·기업의 민감 데이터와 서비스가 이관되면서 ‘소버린 클라우드(Sovereign Cloud)’의 중요성도 강조되고 있다. ‘남의 리소스를 빌려 쓰는’ 클라우드에서 데이터와 서비스에 대한 통제권을 유지하기 위해서는 강력한 보안 기술이 필수다. 소버린 클라우드는 권역 외 데이터 저장이나 클라우드 리전 사용을 금지하는 수준으로 생각하는데, 통제권을 확실하게 가질 수 있느냐에 초점을 맞추는 것이 더 중요하다.

예를 들어 해외 리전에서 운영중인 클라우드 서비스가 호스팅 된 데이터센터가 어떤 범죄에 연루돼 수사를 받아야 할 때, 기업이나 국가에서 소유한 데이터에 대한 수사기관의 무단 압수를 막을 수 있는지 반드시 확인해야 한다. 실제 범죄 수사를 위해 진행된 것이라면 국가간 수사 공조 시스템을 통해 협조할 수 있을지 몰라도, 갈등대상 국가에 피해를 입히기 위해 혹은 첩보전의 일환으로 수사를 빙자한 데이터 접근을 시도한다면 이를 막을 수 있는 방법이 필요하다.

중요/기밀 데이터라면 암호화하고 암호화 키, 마스터키를 조직이 직접 관리하는 것이 권고된다. 암호화된 데이터는 공격자나 수사기관이 가져갔다해도 키를 열지 못하면 데이터를 들여다보지 못한다. 강력한 암호로 보호되는 마스터키까지 관리하면 키 설정 오류로 암호화 데이터가 풀리는 사고도 막을 수 있다.

클라우드 네이티브 기술로만 운영되는 환경이 늘어나면서 보안도 클라우드 네이티브 방식으로 접근해야 할 필요성도 나온다. 전통적인 보안 기술과 VM에서 설계된 보안 기술은 컨테이너·서버리스 등 클라우드 네이티브 환경에서는 작동하지 않는다. 또 클라우드 네이티브는 온프레미스 IT와 접근 방식이 다르기 때문에 기존 보안 개념으로는 보호할 수 없다.

가트너는 “클라우드 보안을 위해서는 ‘클라우드 네이티브 사고 방식’이 필요하다고 강조한다. 마이크로서비스와 컨테이너, 불변 인프라를 사용하는 클라우드 네이티브를 위해 설계·개발된 보안 기술을 이용해야 한다”고 강조했다.