2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>
다각화되는 클라우드 보안
‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(클라우드 발전법)’이 본격 시행되면서 클라우드 시장에 대한 기대가 매우 높아졌다. 우리나라 클라우드 시장을 공략하기 위해 세계적인 클라우드 서비스 기업 아마존이 한국에 리전을 만들면서 적극적인 투자의지를 밝혔으며, 오라클, IBM도 클라우드 중심의 사업전략을 연일 발표하면서 집중적인 투자를 진행하고 있다.
국내 클라우드 사업을 준비하는 기업들도 클라우드 발전법 시행에 맞춰 개화된 클라우드 시장을 선점하기 위한 노력을 경주하고 있으며, 한국 정부와 기업에게 특화된 클라우드 서비스를 제공한다는 계획이다.
클라우드 활성화와 함께 보안위협도 대두된다. 클라우드는 시간, 장소, 사용하는 단말과 네트워크 환경에 상관없이 업무 시스템에 접속할 수 있기 때문에 사용자 인증, 단말의 무결성, 네트워크 안전성, 송수신 데이터의 암호화 등이 중요한 요구사항으로 꼽힌다.
정부는 공공 클라우드의 안전성을 보장하기 위한 ‘클라우드 품질·성능 기준 및 정보보호 기준’을 마련하고 업계 의견수렵과 관계부처 협의, 규제심사를 거쳐 4월부터 시행할 예정이다.
“왕국으로의 열쇠는 클라우드에 있다”
클라우드 활성화를 위해 보안 규제를 먼저 규정한 것은, 클라우드의 보안위협이 그만큼 높기 때문이다. 블루코트는 클라우드 보안에 대해 ‘왕국으로의 열쇠는 클라우드에 있다. 클라우드 안의 보물과 클라우드에 진입하는 도둑들이 늘어난다’는 표현으로 클라우드 보안의 중요성을 역설했다. 기업은 중요한 정보를 회사 내부가 아니라 클라우드에 보관하려고 하는 경향을 보이고 있으며, 공격자들은 사회공학 기법을 이용해 가짜 클라우드로 유인해 로그인 정보를 탈취하고 주요 정보를 빼내는 시도를 하고 있다.
클라우드 인프라에 대한 보안위협도 심각하다. 2015년 발견된 베놈(Venom) 취약점은 가상머신을 탈출해 호스트뿐만 아니라 같은 시스템 상에 있는 다른 가상머신에 임의의 코드를 실행할 수 있게 한다. 가상화 솔루션의 임의코드 실행 취약점도 2015년 발견된 바 있다.
사이버 범죄자들이 클라우드를 공격기지로 삼는다는 것도 심각한 문제다. 사이버 범죄에 이용되는 C&C 서버는 대부분 클라우드에 있으며, 데이터를 탈취해 여러 클라우드 스토리지에 분산 저장해 특정 서버로 일정 규모 이상의 데이터 유출을 감시하는 모니터링 시스템을 무력화한다.
또한 공격이 끝나거나 사법당국의 추적을 당할 때 클라우드 서비스 이용을 종료하는 것만으로 침투 증거를 깨끗하게 삭제하고 숨어버릴 수 있다.
클라우드 사업자들은 고객의 정보를 보호해야 하기 때문에 고객 데이터를 마음대로 들여다보거나 수사당국에제공하지 못하지만, 도덕적·윤리적 관점에서 범죄에 악용되는 것으로 의심되는 행위를 모니터링 하는 방법에 대한 논의가 진행되고 있다.
