Home > 전체기사

클라우드 보안 전략을 수립할 때 반드시 기억해야 하는 것

  |  입력 : 2022-01-24 22:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 서비스는 점점 더 복잡해지고, 해커들은 점점 더 영악해지며, 인재들은 점점 더 고갈되어 가고 있다. 이러한 총체적 난국 때문에 클라우드 분야는 폭풍전야와 같은 분위기가 항시 유지되고 있다. 보안 전략이 필요하다.

[보안뉴스 문가용 기자] 클라우드 환경에서 발생하는 거의 모든 데이터 침해 사고는 환경 설정 오류와 이래저래 관련되어 있다. 한 때는 이런 실수가 쉴 새 없이 일어났고, 트위치, 우버, 임퍼바, 캐피탈원 등 규모가 크다 하는 기업들 역시 이런 실수 때문에 각종 피해를 입었다. 클라우드라는 기술이 아직은 마냥 익숙하다고 할 수 없다보니 막을 수 없는 수준으로 이런 사건들이 일어나고 있다.

[이미지 = utoimage]


반면 공격자들이 점점 클라우드를 공격 통로로 활용하는 경우가 늘어나고 있다는 것도 문제다. 공격 도구로서 공공 클라우드의 장점들이 계속해서 발굴되고 있고, 그러면서 활용도가 높아지고 있다. 사용자들 편에서의 실수들과 공격자들 편에서의 연구 활동이 시너지를 일으켜 ‘클라우드 퍼펙트 스톰’이 일어나기 직전의 상황이라고도 볼 수 있다. 이런 상황을 일으키고 있으며, 심지어 더 심각하게 만드는 요인들을 다음 세 가지로 간추려 본다.

1. 클라우드는 점점 더 복잡해지고 있다
AWS, 마이크로소프트 애저, 구글 클라우드와 같은 대형 클라우드 서비스들은 현재 무한 경쟁 체제에 돌입한 상황이다. 한창 성장 중에 있는 클라우드 시장에서 좋은 자리를 선점하려니 어쩔 수 없다. 그러다 보니 앞 다투어 새로운 서비스를 개발해 내놓고 있는데, 그래서 클라우드 인프라는 갈수럭 복잡해지고 있다. AWS만 하더라도 200종이 넘는 인프라 서비스를 제공한다. 그리고 각 인프라 서비스마다 고유의 설정 옵션들을 가지고 있다. 대부분의 기업들이 여러 개의 클라우드 서비스를 한꺼번에 사용하는 ‘멀티 클라우드’ 체제 하에 있다는 걸 생각해보면 클라우드 담당자들의 업무 난이도가 쉽게 상상이 간다.

기업들의 클라우드 환경에는 수십만 개의 자원들이 서로서로 얽히고설킨 채 여러 서비스의 여러 계정들과도 연결되어 있는 것이 보통이다. 그런데 각 계정들이 이러한 자원들을 같은 상황에서 같은 목적으로 사용하느냐? 전혀 그렇지 않다. 다른 맥락에서, 다른 중요도를 가지고, 다른 상황에서 활용된다. 그렇기 때문에 그 때 그 때 적용되어야 할 보안 정책과 규정이 다르다. 이 다름은 기계처럼 정확히 구분할 수 없고, 인간의 주관에 따라 결정해야 하는 게 보통이다.

클라우드 업체들은 보안이라는 측면에서도 계속해서 새로운 도구와 서비스를 내놓고 있지만, 아직 충분하지 않다. 클라우드 보안 전문가 스콧 파이퍼(Scott Piper)가 표현하듯, “사용자들은 아직 자신들이 클라우드를 활용하고 싶은 만큼 클라우드를 이해하고 있지는 못하다.” 원하는 바와 현실의 사용 능력 사이의 격차가 바로 클라우드 설정 오류의 비극이 나타나는 이유라는 게 그의 설명이다. 그리고 클라우드가 복잡해지면서 이 격차는 더 커지고 있다. 그래서 우리에게 남은 선택지는 두 가지다. 빠르게 흐름을 타되 리스크를 안고 가느냐, 리스크를 줄이면서 조금은 느리게 가느냐.

2. 해커들은 어느 새 클라우드 보안 전문가가 되었다
클라우드 환경이 점점 더 복잡해지면서 이득을 보는 건 해커들이다. 이들이라고 해서 클라우드에 대해 보다 더 높은 이해도를 가지고 있는 건 아니다. 다만 사용자들이 어느 부분에서 주로 실수를 저지르며 이를 어떻게 활용해야 하는지를 잘 이해하고 있다. 게다가 자동화 기술까지 도입하여 그러한 실수를 빠르게 찾아내고 정확하게 공격한다.

피해자의 환경에 침투하는 데 일단 성공한 해커들은 클라우드 아키텍처에 흔히 존재하는 오류들을 통해 공격 영역을 확장시킨다. 이 단계에서는 주로 아이덴티티 관련 오류들이나 공격 전술을 활용해 파고들어가며, 권한을 상승시킨다. 그럼으로써 횡적으로 움직일 수 있게 되며 각종 데이터를 빼돌릴 수 있게 된다. 트위치 해킹 사고의 경우, 공격자들은 클라우드 설정 오류를 통해 최초로 침투했고, 그 후 각종 취약점들을 익스플로잇 해서 정보들을 훔쳐갔다.

클라우드 API 제어와 관련된 영역이 공격을 받기 시작했다는 건, 막기에 너무 늦었다는 뜻이 된다. 이런 경우 이미 다크웹에 유출된 데이터가 돌아다니기 시작하거나(트위치 사례), 공격자가 SNS에서 자신의 공격 성공 사실을 자랑할 때(캐피탈 원 사례) 공격이 발생했다는 것을 깨닫는 게 부지기수다. 클라우드 경제 전문가인 코리 퀸(Corey Quinn)이 말하듯, “대부분의 기업들이 가지고 있는 최고의 침해 탐지 기술은 뉴욕타임즈”인 게 현실이다.

3. 클라우드 엔지니어링 인재 영입 전쟁
우리 편의 기술력과 이해도는 낮고 공격자의 그것은 매우 높다는 건 무슨 뜻일까? 바로 클라우드를 잘 이해하는 인재가 모자라고, 그만큼 필요하다는 뜻이 된다. 월스트리트저널에서 한 리쿠르트 전문가는 이렇게 말하기도 했었다. “클라우드 전문가들은 현재 대단히 높은 연봉을 제시 받고 있습니다. 그것도 한 번에 여러 군데에서 말이죠. 심지어 회사 주식과 같은 옵션을 제공받기도 합니다.”

클라우드로 이전하고 있거나 이미 이전해 있다면 클라우드 엔지니어를 영입하기 위한 전쟁이라는 것을 필수적으로 거쳐 가야 한다. 하지만 높은 연봉을 제시할 수 없다면 영입 전쟁에서 이기기가 쉽지 않을 것이다. 그렇다면 내부 인원 중 적절한 사람들을 반드시 클라우드 전문가로 교육시켜야 한다. 가트너의 분석가인 리디아 렁(Lydia Leong)은 “빅테크가 아니더라도 지구상의 모든 SI와 MSP 업체들 모두 클라우드 전문가를 필요로 한다”고 말한다.

퍼펙트 스톰을 어떻게 헤쳐가야 할까
제일 먼저는 현재의 환경과 보안 성숙도에 대한 완벽한 이해도를 갖추어야 한다. 클라우드와 관련된 보안 사고는 거의 항상 이 ‘가시성 문제’를 해결하지 못한 것에서부터 나타난다. 클라우드 아키텍처와 내부 자산에 어떤 취약점이 존재하는지 주기적으로 파악해 해결해야 한다. 임직원들이 앞장서서 이러한 내용의 보고서와 활동을 요구해야 한다.

그 다음으로는 안전한 아키텍처를 구축하되 설정 오류를 예방하는 데에 초점을 맞추어야 한다. 클라우드 보안은 아키텍처 및 프로세스 개념으로 접근해야 하는 것이다. 즉 구조적, 절차적으로 설정 오류의 확률을 크게 떨어트릴 수 있다는 걸 이해하고 접근하는 게 필요하다. 보다 쉽게 말하면 클라우드의 설정 오류는 전체 설계 단계에서의 오류라고도 볼 수 있다. 그러니 클라우드라는 아키텍처를 구축하는 부분과, 이를 활용하는 여러 방면을 통해 설정 오류를 막도록 고민해야 한다.

마지막으로 클라우드 보안은 유연해야 한다. 확장성 면에서 뛰어나야 한다는 뜻이다. 보안 정책을 코드로 작성해 자동화 기술을 통해 적용되도록 해야 한다. 이른 바 ‘코드로서의 정책(Policy as Code, PaC)’을 말한다. 다양하고 복잡해지는 사업 기능을 제대로 지원하기 위해서는 PaC가 반드시 적용되어야 한다. 그래야 보안 아키텍처를 확장하느라 뻗어가는 사업에 제동을 걸지 않아도 된다.

클라우드 보안은 프로세스와 아키텍처에서부터 고민되어야 하는 총합적인 개념으로, ‘코드로서의 정책’이라는 개념과 맞물려야 한다. 이것만 제대로 이해하고 클라우드 보안에 접근한다면 시행착오가 있을지언정 빠르게 올바른 방향으로 들어설 수 있을 것이다.

글 : 조시 스텔라(Josh Stella), CEO, Fugue
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)