[주말판] 2023년 클라우드 생태계를 위협할 7가지 치명적인 요소들

새해 결심이라도 한 듯, 여기 저기서 클라우드 도입에 관한 소식들이 들려오고 있다. 다들 이 새로운 환경을 숙지하고 익히느라 정신이 없는 듯하다. 그런데 그 학습 과정에 보안이 반드시 포함되어 있어야 한다. 여러 가지 위협들이 도사리고 있기 때문이다.

[보안뉴스 문정후 기자] 클라우드가 등장한 직후부터 ‘클라우드 보안’은 어느 조직에나 힘든 과제가 되었다. 사실 클라우드라는 것은 그 개념부터 위험하기 짝이 없다. 인터넷을 통해 제공되는 컴퓨팅 서비스들 위에 기업들의 아키텍처를 구축해 사용한다는 것이니 말이다. 저 멀리 있는 남의 회사 컴퓨터에 내 소중한 데이터와 각종 애플리케이션들을 옮겨 놓고 인터넷으로 연결해 쓴다는 건데, 이 얼마나 위험한 발상인가. 그런데도 클라우드는 빠르게 대세로 굳어가고 있다.

[이미지 = utoimage]

클라우드에 대한 의존도가 높아지면 높아질수록 보안 팀들에게는 어려움이 쌓인다. 이미 산적해 있는 보안 문제도 해결하지 못하고 있는데 말이다. “사용자와 일반 기업들이 클라우드에 익숙해지는 것만큼 공격자들도 클라우드를 점점 더 상세하게 이해하고 있습니다. 자신들의 목적에 맞게 활용하는 방법을 점점 더 터득하고 있는 것이죠.”

보안 업체 디그시큐리티(Dig Security)의 CEO 댄 벤자민(Dan Benjamin)은 “클라우드 보안 사고는 터질 수도 있고 아닐 수도 있는 그런 게 아니”라고 강조한다. “언제고 반드시 터지게 되어 있는 게 클라우드 보안 사고입니다. 현재 기업들은 평균 2000개의 클라우드 서비스를 사용하는 것으로 조사되고 있을 정도니까요. 그러니 모든 상황을 대비해서 보안 준비를 마쳐야 합니다. 즉, 사고의 예방과 후속 대처를 모두 신경 써야 한다는 뜻이죠.”

이번 주 주말판에서 본지는 기업들의 클라우드 보안 강화를 돕기 위해 여러 전문가들과 함께 7가지 주요 위협들을 선정해 보았다. 이 위협들을 위주로 대처 방안을 마련한다면 어느 정도 안정적으로 클라우드를 사용할 수 있을 것이다.

위협 1 : 서드파티 소프트웨어와 공급망의 위험
지난 12월 해커들은 자산 관리 및 추적 서비스 업체인 테키비티(Tequivity)가 사용하던 AWS 클라우드 서버를 침해하는 데 성공했다. 테키비티는 유명 카풀 서비스 업체인 우버(Uber)에 서드파티 솔루션을 제공하는 업체이기도 하다. 이 사건으로 7만 7천여 명의 우버 직원들의 민감한 정보들과 회사의 데이터 일부가 유출됐다. 우버는 별 다른 잘못을 하지 않았는데, 서드파티를 통해 클라우드 내 정보가 도난을 당한 것이다.

현대의 IT 환경에서 파트너사들이 정당한 계약을 맺고 우리 클라우드에 저장된 코드, 인프라, 애플리케이션에 접근하는 사례는 이제 매우 흔하다. 그러므로 원래 표적으로 삼고 있는 회사의 서드파티를 공략함으로써 그 회사의 정보를 곧장 가져올 수 있는 효과를 누릴 수 있게 된다.

보안 업체 벌칸사이버(Vulcan Cyber)의 수석 엔지니어인 마이크 파킨(Mike Parkin)은 "많은 기업들이 고객의 정보도 클라우드에 보관하고, 또 그 클라우드를 서드파티에 열어주고 있다”며, “서드파티의 클라우드 관리 실수가 고객을 위험하게 할 수 있다는 걸 기억해야 한다”고 강조했다. 보안 업체 솔보(Solvo)의 CEO인 쉬라 샴반(Shira Shamban)은 “서드파티와 관련이 있는 비정상 행위는 보안 솔루션이 탐지하지 않을 때가 많다”며 “보안 솔루션을 설치했다고 해서 안심하는 순간 오히려 위험해질 수 있다”고 설명을 덧붙였다.

위협 2 : 클라우드 랜섬웨어
랜섬웨어가 기업에 얼마나 큰 위협이 되는지 모르는 사람은 없다. 그렇지만 그 위협을 잘 안다고 해서 방어를 잘 하는 건 아니다. 그러니 공격자들은 계속해서 새로운 랜섬웨어를 만들어내고 있고, 급기야 클라우드 서비스를 노리는 데에까지 이르렀다. 클라우드용 랜섬웨어도 나오고, 클라우드를 협박하는 새로운 전술들도 등장하고 있는 것이다.

보안 전문가들은 클라우드 환경에서 일어날 수 있는 랜섬웨어 공격을 크게 3가지 종류로 나누고 있다. 클라우드 플랫폼과 싱크된 파일 공유 서비스들을 노리는 것, 피싱 공격으로 클라우드 기반 이메일 서비스들을 노려 계정을 탈취한 후 이를 바탕으로 더 많은 랜섬웨어를 퍼트리는 것, 아예 구글이나 아마존 등 클라우드 호스팅 업체들을 노리는 것이다.

벤자민은 “점점 더 많은 기업들이 인프라와 앱, 워크로드, 데이터를 클라우드로 옮기고 있다”며 “기업에서 가장 높은 가치를 가진 자산이 클라우드가 되어 가는 중”이라고 설명한다. “기업이 중요하다고 생각하는 건, 범죄자들에게도 가치가 높은 법이죠. 그걸 거머쥐고 협상 테이블에 앉게 되면 유리한 고지에 있게 되니까요. 랜섬웨어 공격자들이 클라우드를 눈여겨보는 이유입니다.”

기업들이 클라우드 랜섬웨어를 주의해야 하는 이유는 또 있다. 랜섬웨어 공격자들이 요구해야 하는 돈이나 복구에 들어가는 돈도 그렇지만, 고소된 후에 벌금을 내야하는 경우로 종종 이어지기 때문이다. 다시 예전으로 돌아가려면 적잖은 돈을 이중, 삼중으로 내야 한다. 그래서 랜섬웨어에 당하면 파산하는 경우도 없지 않다.

위협 3 : APT 공격자들
클라우드 환경이 가져다주는 이득은 어마어마하게 많다. 클라우드로 많은 기업들이 옮기는 데에는 이유가 있다. 그 중에서도 손꼽히는 장점은 ‘다이내믹’한 업무 환경을 제공한다는 것이다. 여기서 ‘다이내믹’이란 필요와 상황에 따라 자동으로 확장되는 특성을 말한다. 이런 클라우드의 강점은 피해자의 네트워크에 오랜 시간 머물러 있으려 하는 APT 그룹들에게도 안성맞춤으로 작용한다.

높은 기술력을 자랑하는 APT 단체들인 팬시베어(Fancy Bear), 코지베어(Cozy Bear), 가돌리늄(Gadolinium) 등은 이미 클라우드 인프라를 활용해 피해자 네트워크나 시스템에 오랜 시간 머무르는 것으로 잘 알려져 있다. 체류 시간을 길게 확보하면서 여러 가지 공격을 실시하기도 하는데, 여기에는 기초적인 무작위 대입 공격에서부터 컨테이너 이미지 침해, 클라우드 서비스를 C&C로 활용하기 등이 포함된다.

“클라우드를 확보해 놓고, 그것을 바탕으로 각종 공격을 손쉽고 효율적으로 실시하는 트렌드는 한 동안 공격자들 사이에서 보존될 것입니다. 클라우드가 일반 기업들에 제공하는 각종 이점들은, 고스란히 공격자들이 누릴 수 있는 이점이 되기도 합니다.” 파킨의 설명이다. “캠페인을 유연하게 확장하거나 축소할 수 있게 된다는 것 하나만으로도 APT 공격자들의 짐이 상당히 덜어지는 것이라고 보면 됩니다.” 샴반의 추가 설명이다.

클라우드라는 기술이 공격의 효율을 높이는 것만이 문제가 아니다. APT 단체들이 노릴 만한 것들이 점점 더 클라우드 환경에 많아지고 있다는 것도 문제다. “클라우드로의 이전 비율이 점점 높아지는 중이죠. 국가 기관들과 대기업들에서 이런 움직임은 더 많이 나타나고 있습니다. APT로서는 클라우드로 공격 무대를 옮겨가는 게 자연스러울 수밖에 없는 겁니다.”

파킨은 “공격자와 보안 전문가들 사이에서 늘 있어 왔던 ‘밀고 당기기’가 여전히 이어지고 있는 것일 뿐”이라고 해석한다. 클라우드에서의 위협은 늘 예견된 일이었다는 뜻이다. “한쪽이 기가막힌 방어법을 들고 나오면 다른 한쪽에서 기가막힌 공격법을 고안할 것이고, 이런 식의 게임이 올해 내내 이어질 겁니다.”

위협 4 : 멀티클라우드의 확산
현대 클라우드 환경은 한 가지 중요한 특성을 가지고 있다. 대부분의 회사나 조직들이 클라우드 서비스를 도입할 때 한 가지 클라우드를 중심으로 인프라를 꾸리지 않는다는 것이다. 이른 바 ‘멀티클라우드’ 체제를 도입한 쪽이 많다. 그 수치는 통계 자료마다 조금씩 다르게 나오는데, 플렉세라(Flexera)의 경우 92%의 기업들이 멀티클라우드 전략을 차용하고 있다고 하고, 누타닉스(Nutanix)는 64%라고 한다. 어느 쪽이든 절반을 훌쩍 뛰어넘는다고 볼 수 있다.

클라우드를 하나 이상 사용하는 기업이 많다는 건데, 이것 자체로 보안에 커다란 위협이 된다. 클라우드 하나도 대단히 복잡한 유형의 아키텍처인데, 그 복잡한 것이 중첩되고 중첩되니 문제가 어마어마하게 커지는 것이다. 이를 일각에서는 멀티클라우드 증식(multicloud sprawl)이라고 부르기도 하는데, 이 때문에 데이터가 돌아다니고 저장되는 영역이 훨씬 많아져 추적하고 관리하는 게 힘들어진다.

“단일 클라우드 상황에서도 데이터는 추적하고 관리하는 게 힘들어집니다. 클라우드 하나에 연결된 온갖 엔드포인트들을 상상해 보세요. 그런데 그런 클라우드가 여러 개로 늘어난다? 게다가 각 클라우드마다 보안 옵션과 방식이 전부 다릅니다. 보안 담당자 입장에서는 이게 열심히 노력한다고 해결되는, 그런 차원의 문제가 아닙니다.” 파킨의 설명이다.

벤자민도 “클라우드가 중첩되면 데이터에 관련된 상황을 제 때 파악하는 게 힘들어진다”며 파킨의 말에 동의한다. “클라우드와 클라우드를 넘나드는 데이터를 일일이 추적한다는 건 정말로 어려운 일입니다. 게다가 로깅 방식도 통일되지 않고, 데이터의 표준 포맷이라는 것도 아직 존재하지 않습니다. 데이터 보안의 관점에서 멀티클라우드 환경의 가시성을 확보한다는 건 불가능한 일이라고 봐도 무방합니다.”

클라우드 보안의 가장 핵심적인 사안이 바로 이 가시성이라는 걸 생각했을 때, ‘멀티클라우드 체제로 옮기면 가시성을 확보하는 게 불가능해진다’는 설명 하나로 멀티클라우드의 문제가 무엇인지 이해할 수 있다. 멀티클라우드 체제를 이미 갖춘 기업들이라면 가시성 확보를 위한 싸움을 2023년 내내 이어가야 할 것이다. 모든 데이터를 관리하기 힘들 것이니 가장 중요한 데이터들만이라도 어디서부터 어떻게, 어떤 경로를 거쳐 어떤 목적으로 움직이고 편집되는지 파악할 수 있을 만한 방법을 마련하는 것이 좋다.

위협 5 : 셰도우 데이터
전형적인 온프레미스 환경에서 클라우드로 체제를 전환하는 과정에서 어느 정도 데이터가 엉키고 섞이는 건 충분히 있을 수 있는 일이다. 그러면서 데이터가 불필요하게 복제되거나 엉뚱한 곳에 저장된 채 아무런 관리도 받지 못하고 점점 잊혀져 갈 수 있다. 보안 전문가들은 이러한 데이터를 셰도우 데이터(shadow data), 다크 데이터(dark data) 혹은 고스트 데이터(ghost data)라고 부른다.

샴반은 “2023년부터는 이 셰도우 데이터에 대한 소식을 더 많이 듣게 될 것”이라고 장담한다. “우리 모두 지난 수년 동안 클라우드에 각종 데이터를 저장해 왔습니다. 그리고 그 클라우드라는 것도 점점 ‘클라우드 네이티브’ 데이터와 ‘클라우드 네이티브’ 애플리케이션들로 채워지고 있지요. 클라우드 안에서도 소리 없는 체제 전환이 이뤄지고 있는 것이고, 이 과정에서 어떤 데이터가 어떻게 중복되거나 사라지거나 잊혀질 지 모릅니다. 하지만 분명 그런 데이터들이 다수 생겨날 겁니다.”

파킨도 “클라우드 스토리지의 가격이 낮아지면서 클라우드에 저장되는 데이터가 빠르게 늘어나고 있다”며 “쉽게 저장되고 쉽게 유통되는 데이터는 어느 시점에나 손실될 가능성이 높다”고 덧붙인다. “데이터를 쉽게 저장한다는 건 데이터 관리라는 측면을 점점 가볍게 여기게 된다는 뜻입니다. 데이터 저장 공간을 구매하는 게 비싸다고 생각해보세요. 데이터를 얼마나 많이, 어디에 저장하느냐가 다 돈과 관련된 문제라 데이터를 중복시키는 것이나 불필요한 데이터를 보관하는 것에 민감할 수밖에 없습니다.”

위협 6 : 클라우드 내의 과도한 권한 허용
클라우드의 가장 좋은 점 중 하나는 IT 관리자들이 사용자들에게 권한을 편리하게 부여할 수 있다는 것이다. 그래서 특정 사용자가 어떤 서비스나 데이터에 접근할 수 있는지를 지정하여 접근 제어를 엄격하게 할 수 있게 된다. 전통의 네트워크 환경이었다면 물리적으로 사용 가능한 컴퓨터와 그렇지 않은 컴퓨터를 구분할 수 있었겠지만, 클라우드에서는 그런 구분이 전부 가상 기술로 이뤄지다보니 관리자가 어떤 사용자에게 어떤 권한을 허용하느냐가 매우 중요해진다.

이론 상 ‘권한을 관리자가 보다 쉽게 설정할 수 있다’는 건 클라우드 환경을 보다 안전하게 만드는 요소가 된다. 하지만 현실은 어떨까? 모든 사람이 모든 권한을 가지고 아무 자원에나 접근할 수 있는 혼돈의 상태에 더 가깝다. 물리적인 환경에 비유하자면(위에서도 잠깐 그랬으니까) 옆 자리 직원이 내 컴퓨터도 마구 켜서 사용하고, 심지어 사장님 방에도 자유롭게 드나드는 것과 비슷한 상황이다.

파킨은 “관리자가 필요한 사람에게만 필요한 만큼의 권한을 늘 허용해 줄 수 있어야 하지만, 사실 이걸 매일 설정하고 바꾼다는 건 어려운 일”이라고 말한다. 샴반은 “또한 클라우드 내 접근 권한 문제를 그리 중요하게 여기지 않는 문화도 지적되어야 한다”는 입장이다. “권한을 설정하는 게 어려워서 하지 않는 관리자보다 권한 설정의 필요를 못 느껴서 하지 않는 관리자가 더 많을 겁니다. 클라우드가 제대로 불편 없이 작동하는 게 가장 중요한 게 현재 사용자들의 심리이니까요. 권한 설정이 막혀서 누가 불편하다고 호소라도 하면 그게 더 큰일처럼 느껴지는 것이죠.”

보다 철저히 관리하라고 편리한 권한 설정을 가능하게 했더니, 관리자들은 오히려 권한을 남발하는 형국이 보안에 도움이 될 리가 없다. 공격자들에게 이런 현상은 관리자 계정 크리덴셜을 확보하지 않더라도 괜찮다는 뜻이 된다. 권한 상승 공격을 할 필요가 줄어든다. 관리자들이 알아서 직원들의 권한을 상승시켜 주고 있다는 건 공격자들을 대신해 권한 상승 공격을 해주는 것과 다름이 없다. 그러므로 클라우드를 진지하게 사용하려는 업체라면 반드시 권한 허용 문제부터 해결해야 한다.

위협 7 : 인간적인 실수와 설정 오류
인간은 완벽과 거리가 먼 존재이며, 따라서 실수라는 변수가 항상 따라붙는다. 보안이라는 세계에서 이는 익히 알려진 내용이다. 특히 클라우드와 관련된 보안 사고 중 가장 많은 비율을 차지하고 있는 것은 다름 아니라 설정 오류와 같은 ‘실수’라고 할 수 있다. 수년 째 이어지고 있는 ‘실수 때문에 벌어진 데이터 유출 사고’는 줄어들 기미를 보이지 않고 있다.

설정을 잘못하는 것만이 문제가 아니다. 비밀번호를 새롭게 바꾸지 않는 것과 단순하게 만드는 것, 키 저장소를 부실하게 관리하는 것 모두 불완전한 인간의 본성 때문에 생기는 일들이라고 볼 수 있다. 공격자들은 이런 지점들을 잘 이해하고 있으며, 꼼꼼히 찾아내 노리기 일쑤다.

이 상황을 악화시키는 건 클라우드의 구축과 활용이 꽤나 쉽다는 사실이다. 실수 많은 인간이 쉽게 뚝딱뚝딱 만져서 클라우드의 신기한 장점들을 누릴 수 있게 되니, 다른 측면을 잘 생각하지 못하게 된다. “보안에 대해 잘 몰라도 클라우드는 얼마든지 사용할 수 있습니다. 심지어 큰 성과를 낼 수도 있어요. 그러니 점점 보안은 무시될 수밖에 없습니다. 그래서 우리는 온갖 사례들이 있음에도 반복해서 실수하고, 똑같은 잘못을 저지릅니다.” 벤자민의 설명이다.

파킨은 “실수가 우리의 본능과 같은 것이라 줄이는 게 쉽지 않다”고 말한다. “언제 누가 어떤 상황에서 실수하게 될지 아무도 예측할 수 없습니다. 그런 실수가 어떤 파괴력을 갖게 될지도 모르고요. 그렇기 때문에 우리는 끊임없이 교육을 병행할 수밖에 없습니다. 실제로 장기적인 교육을 받은 사람일수록 교육 받은 분야에서 실수할 가능성이 낮습니다. 보안 솔루션이 아무로 기술적으로 발전해봐야, 그것만 가지고는 사용자의 실수까지 극복이 되지 않습니다. 보안의 중요한 한 축이 교육일 수밖에 없는 이유입니다.”

글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)