[2020 ICT 분야별 전망] 클라우드 보안①
상태바
[2020 ICT 분야별 전망] 클라우드 보안①
  • 김선애 기자
  • 승인 2019.12.11 09:20
  • 댓글 0
이 기사를 공유합니다

클라우드 보안 투자 ‘저조’…가시성 부족이 최대 난제
CSP·MSP 보안 서비스 사용해도 ‘보안 오너십’ 유지해야

[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

우리나라 클라우드 도입은 선진국에 비해 늦게 시작했지만, 보안위협은 결코 늦게 시작되지 않았다. 클라우드 보안 컨설팅을 수행한 전문가들이 한결같이 입을 모으는 것이, 거의 모든 클라우드 워크로드에서 불법 암호화폐 채굴 시도가 발견됐다는 것이다. 도커 컨테이너 취약점을 이용하거나 방치된 클라우드 계정을 이용해 클라우드 워크로드에 채굴 악성코드를 설치하고, 관리자가 근무하지 않는 밤이나 주말을 이용해 암호화폐를 채굴하고 공격자에게 전송하는 수법을 사용한다.

기업 93% “클라우드 보안 불안하다”

기업·기관의 클라우드 도입 속도는 갈수록 높아지고 있지만 보안 투자는 소극적이다. 지난 8월 본사에서 개최한 ‘클라우드 보안 & SECaaS 인사이트 2019’ 세미나 참가자를 대상으로 한 설문조사에서 53.7%의 응답자가 클라우드를 사용하고 있다고 답했다. 그러나 클라우드로 전환한 업무에 대한 보안 대책을 마련했는지 묻는 질문에 80.2%가 ‘어떤 보안 대책이 필요한지 검토하고 있다’고 답해 클라우드 도입 시 보안 대책을 충분히 마련하지 않은 것으로 나타났다.

다른 나라 기업·기관도 클라우드 보안이 미비하다는 것은 다르지 않다. 키사이트 익시아가 실시한 ‘클라우드 운영 조사’에서 93%의 응답자가 클라우드 보안에 불안을 느끼고 있다고 답했으며, 88%는 가시성 부족이 클라우드 전환에 영향을 미친다고 답했다.

클라우드 보안 전략을 세울 때 반드시 지켜야 할 원칙은 ‘보안 오너십’이다. 클라우드 보호를 위해 클라우드 사업자(CSP)의 보안 서비스나 매니지드 보안 서비스 사업자(MSSP)의 서비스를 이용할 수 있으며, 독립된 보안 솔루션 기업이 제공하는 보안 서비스를 사용할 수도 있다. 무엇을 선택하든, 보안에 대한 책임은 기업·기관이 스스로 가져야 한다. 어떤 한 벤더에 전적으로 의지하는 것은 지양하는 것이 좋다.

CSP, 보안 전략 강화해 신뢰 높여

클라우드 보안의 가장 큰 문제는 가시성이 떨어진다는 것이다. 사용자는 CSP가 클라우드 인프라를 안전하게 운영하고 있다고 믿고 있지만, CSP에 의한 장애가 자주 발생하고 있다. 사고에 의해 피해를 입었다 해도 사용자는 클라우드에 어떤 문제가 있는지 정확하게 알 수 없다.

CSP에 대한 신뢰에 문제를 제기하자 CSP는 자체 개발 보안 서비스를 적극 어필하면서 자사 클라우드의 안정성을 내세운다. 이들은 글로벌 서비스를 제공하면서 쌓은 위협 인텔리전스와 많은 보안 전문인력을 통한 위협 대응 능력이 뛰어나다고 강조한다.

▲GCP가 참여하고 있는 오픈타이탄 RoT와 기존 RoT 설계 구성요소 비교
▲GCP가 참여하고 있는 오픈타이탄 RoT와 기존 RoT 설계 구성요소 비교

AWS는 가드듀티를 포함해 다양한 보안 솔루션을 자체 개발해 제공하고 있으며, 마켓플레이스에서 보안 기업의 서비스를 판매하고 있다. 마이크로소프트는 금융보안원 금융 클라우드 안전성 평가를 완료하면서 보안에 대한 대비를 완료했다고 강조했다. MS는 이미 ‘CSA STAR’ 인증을 획득했으며, 금융보안원 인증을 추가해 금융기관도 안전하게 클라우드로 이전할 수 있도록 했다.

구글 클라우드 플랫폼(GCP)은 사용자가 직접 GCP에 대한 취약점 점검을 할 수 있도록 열어뒀다. 또한 데이터센터 상의 보안을 강화하기 위해 오픈소스 실리콘 RoT 프로젝트 ‘오픈타이탄’을 발표하기도 했다. 이 프로젝트는 영국 케임브리지의 비영리 회사 로우리스크 CIC가 관리하며, 실리콘 RoT 칩을 위한 투명한 고품질의 레퍼런스 디자인과 통합 가이드라인을 구축하는 것 을 목표로 한다.

MSP 보안 서비스, 맹신해선 안돼

CSP의 보안 서비스를 사용하면 해당 클라우드에 최적화된 보안 환경을 구축할 수 있지만, 다른 클라우드나 프라이빗·온프레미스 환경의 위협은 제어하지 못한다. 각각의 환경을 위한 보안·관리 솔루션을 별도로 구축하면 관리 포인트가 늘어나고 복잡성이 높아져 보안에 더 취약해진다.

MSP 보안 서비스를 이용하면 멀티 클라우드 전반의 보안 운영에 대한 지원을 받을 수 있어 관리인력이 충분하지 않은 환경에서도 안전하게 클라우드로 이전할 수 있다. 이 때문에 많은 기업들이 클라우드 운영의 많은 부분을 MSP에 의지하고 있다.

트렌드마이크로는 MSP의 보안 취약점을 악용한 공격이 늘어날 것이라고 경고했다. 공급망 공격이 소프트웨어 패치 위변조만으로 진행되는 것이 아니라, MSP에서 제공하는 서비스의 취약점을 이용해 공격할 것이라는 설명이다. MSP가 원격 접속하는 프로토콜의 취약점을 이용하는 등의 공격이 발생할 수 있다는 경고를 내렸다.

따라서 MSP를 선택할 때는 다양한 사이트에서 안전하게 클라우드를 운영해 본 경험이 풍부하게 축적된 기업을 택하는 것이 바람직하다. 지나치게 낮은 가격으로 서비스를 제공한다는 기업은 그만큼 보안 관리에 소홀하며, 위협에 노출될 가능성이 높다.

한편 멀티 클라우드의 최대 약점인 ‘부족한 가시성’을 해결하기 위한 방법으로, 키사이트 익시아는 모든 네트워크에서 보안·모니터링이 필요한 트래픽을 선별해 알맞은 솔루션으로 전달하는 ‘클라우드렌즈’를 제안한다. 이 솔루션은 특정 클라우드에 종속되지 않고 하이브리드 전체 환경에서 제약 없이 운영할 수 있으며, 필요에 따라 확장하거나 축소할 수 있어 운영 효율성을 높일 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.