보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[한국정보공학기술사 보안을 論하다-1] 클라우드 보안의 허와 실

입력 : 2024-06-26 17:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
누구나 당연히 알고 있는 불편한 진실은 “세상에 공짜는 없다는 것”
클라우드 전환 비용 뿐만 아니라 보안 강화 위한 보다 적극적인 투자 필요


<보안뉴스>에서는 문광석 기술사의 ‘클라우드 보안의 허와 실’ 편을 시작으로 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]

[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안

[이미지=gettyimagesbank]


[보안뉴스= 문광석 기술사/코리안리] 4차 산업혁명 이후 AI, 빅데이터, 블록체인 등 다양한 기술들이 시장을 지배하기 시작했다.

특히 AI는 산업의 기폭제로써, ChatGPT, Gemini 등 다양한 LLM(Large Language Model)과 더불어 Copilot, 갤럭시 S24의 번역 서비스와 같은 다양한 비즈니스 상품까지 최근 각 기업에서 앞다투어 AI를 활용한 서비스 출시를 경쟁하고 있다.

이러한 상황에서 많은 기업들은 Time to Market을 통한 시장 선점을 위해 강제적으로 Digital Transformation을 수행할 수밖에 없는 상황이 되었다. 이와 같은 신기술을 사용하기 위한 필수 불가결한 요소는 무엇일까? 바로 클라우드이다. 기업들이 자체적으로 모든 기술을 개발하지 않은 이상 외부의 여러 기술을 참조하는 Open Innovation을 많이 도입하고 있고, 이에 가장 효율적인 구조는 클라우드이기 때문이다. 이에 따라 클라우드는 기업에 선택이 아닌 필수가 되었다.

IT 분야 리서치 그룹인 Gartner에 따르면, 2024년 전 세계의 퍼블릭 클라우드 사용액을 6,788억 달러(약 896조 원)로 예상하며 이는 2023년의 사용 예상 액인 5,636억(약 744조 원)보다 20% 이상이 증가한 액수로 예상을 하고 있다.

이렇게 큰 규모의 클라우드 시장은 AWS, MS, Google과 같은 Global Cloud Vendor로부터 이끌어지고 있으며, 출시되는 기술들은 경이로운 수준이다. 별도의 Big Data의 전문적인 인프라 구조 구현 없이도 Data Warehousing부터 Data Lake까지 기술의 활용이 가능하며, 비즈니스 인텔리전스의 다양한 요구사항을 원하는 수준을 모두 맞추어 경영진에게 다양한 Insight를 제공하는 것도 바로 가능하게 되었다.

SaaS(Software as a Service) 방식인 M365(Teams, OneDrive 등) 같은 협업 도구를 통해서 기업 내부에 별도 구축 없이 문서편집, 일정관리, 메신저, 메일을 손쉽게 이용할 수 있으며, 보다 많은 기능이 필요한 경우 전산실 구축도 Terraform 등 다양한 IaaC(Infrastructure as a Code) 방식으로 단 몇 줄만으로 바로 구현이 가능한 시대가 온 것이다. 발 빠른 기업들은 다양한 비즈니스 요건을 맞추기 위해서 하나 이상의 다양한 클라우드를 사용하는 Multi Cloud를 활용해서 생산성을 높이고 있다.

그러나 간과하고 있는 가장 큰 문제는 이러한 효율이 좋은 클라우드를 이용해서 만든 전산실이나 협업도구 시스템도 주의를 쏟지 않는다면, 공격자들이 손쉽게 망가뜨리거나 유출할 수 있다는 사실이다.

구축과 사용이 편해진 만큼 그 과정 사이에 조그마한 공격이 더욱 더 큰 사고를 발생시킬 수 있다는 것이다. 예전에 물리적인 전산실을 구성한 경우, 공격자가 망치를 가지고 와서 다 부시지 않는 이상 직접적인 피해를 주기가 어렵던 구성이었는데 반해, 지금은 단순히 망에 침투해서 Infrastructure를 변경하는 코드 몇 줄을 수행함에 따라 완전히 파괴되는 수준도 가능하다는 것이다. 또한 기존에 정해진 네트워크 접점을 보호하는 Perimeter Defense 모델을 사용하여 외부 인터넷 접점을 최소화하는 구조도 클라우드를 통해 인지하지 못하고 있는 외부 접점 인터페이스도 늘어감에 따라 더 이상은 사용하기가 어려운 상황이다.

한 예로 외부에 노출된 인터페이스와 기업 전산실 문의 열쇠로 대변되는 Credential Key 노출 사고가 결합한 사고로, 마이크로소프트의 직원의 실수로 인해 GitHub에 공개된 Secret 정보(Shared Access Signature, 공유 접근 서명)를 통해 38TB의 주요 데이터가 노출된 사고가 존재했다. 글로벌의 최고 클라우드 주자 중에 한 기업인 마이크로소프트 사도 완벽히 모든 인터페이스를 막을 수는 없었다.

또한, 최근 AWS 클라우드의 Credential을 찾아내 암호화폐를 채굴하는 일렉트라리크(Elektra-Leak)라는 형태의 클라우드를 타겟팅한 전문적인 사이버 공격도 늘고 있다.

그렇다면 클라우드는 과연 보안이 약해질 수밖에 없는 것인가? 꼭 그렇지는 않다.

가용성 공격의 대표주자인 DDoS(Distribute Denial of Service)를 살펴보면, 기업 자체에서 DDoS 대응을 위해 Anti-DDoS 장비, IPS 장비 등 다양한 장비를 구성하고 관제를 통해서 대응하는데 큰 비용을 쏟고 있다. 하지만 Global Cloud Vendor AWS 기준으로 생각을 해보면 AWS Shield Standard Service를 이용해서 DDoS 공격을 무료로 대응해 주고 있다.

그러나 중요한 것은 모든 것을 무료로 해주지 않는다는 것이다. AWS Shield Standard의 경우도 AWS의 회선이 영향이 가는 일부 OSI Layer 3과 Layer 4인 Syn, UDP Flooding 등을 차단해 주지만, 기업의 서버에 직접적인 타격을 주는 Layer 7의 다양한 Application의 DDoS 공격에 대한 차단이나 탐지 내역에 대한 보고서를 받기 위해서는 유료의 Advanced Service를 적용해야지만 이용이 가능하다. 당연하겠지만 기업의 자산을 지키기 위한 보안은 무료가 아니라는 것이다. 기본적인 Shield Standard도 AWS 네트워크 회선을 보호하기 위한 수단이지 기업이나 사용자를 위해서만 무료로 제공하는 것은 아니기 때문이다.

▲AWS Shield Service 대응 수준 비교[자료=AWS]


이와 같이 기업에서 클라우드를 사용하면서, 다양한 전문가와 함께 On-Premise 환경에서 직접 구축하지 않는 이상 사용하지 못했던 다양한 보안 서비스를 활용해서 기업의 보안 수준을 높이는 것도 가능하다.

직접 구현하지 않고도, 클라우드의 접근을 통제하여 여러 서비스와 연계하는 CASB(Cloud Access Security Broker)나 외부의 클라우드 보안서비스를 사용해서 기업의 보안 기능을 제공하는 SEcaaS(SEcurity as a Service) 등의 사용으로 보안 수준 향상이 가능해진 것이다. 예로, IDaaS(Identity as a Service)를 활용하여 기업에 존재하는 다양한 서비스를 연계한다면, 모든 접근 통제를 전문업체에 맡기면서 MFA(Multi Factor Authentication) 등을 활용할 수 있는 편리하면서도 안전한 접근제어 구성이 가능할 것이고, 다양한 클라우드를 활용한 SASE(Secure Access Service Edge)로 구현한 제로 트러스트 서비스를 통해서 다양한 조건에 따라 구성되는 보안 통제도 구성할 수 있게 되었다.

▲문광석 기술사

또한, 외부 클라우드 업체에 서비스 형태로 외부에 노출된 Credential 검색을 요청하거나, 사이버스쿼팅(사이트 이름을 비슷하게 하여 악의적 행동을 유도) 형태의 우리 회사를 따라 한 피싱 사이트를 차단하는 등의 업무를 일임할 수도 있다. 기업이 바쁘다면, 비용을 지불해서 전문적인 보안 활동을 시킬 수도 있는 세상에서 살고 있는 것이다.

여러분이 경영자들에게 자신 있게 얘기해야 할 시기가 온 것이다. 기업이 살아남기 위해서 클라우드로 전환하는 비용만 신경 쓸 것이 아니다. 만약, 그 클라우드를 보호하기 위해서 기존보다 더욱 적극적인 투자를 하지 않는다면 열심히 노력해서 기업의 자산을 만든 것이 아닌 외부의 해커들을 위한 놀이터를 만들게 될 것이다.

누구나 당연히 알고 있는 불편한 진실은 “세상에 공짜는 없다는 것”이다.
[글_ 문광석 기술사/코리안리]

필자 소개_
- 과학기술정보통신부 사이버보안전문단
- 한국정보공학기술사회 블루보드위원회 위원장
- 차세대 보안리더 양성프로그램(Best of Best) 보안컨설팅 멘토
- 국가직무능력표준(NCS) 학습모듈 정보보호분야 개발진
- 금융보안원 & 한국인터넷진흥원(KISA) 정보보안 강사, 교육과정 자문위원, 제안평가위원
- 키워드로 정리하는 정보보안 119, 삐뽀삐뽀 보안 119 저자
- 정보관리기술사, 정보시스템 수석감리원, ISMS-P 인증심사원, ISO27001 인증심사원, 개인정보영향평가원, K-Shield(최정예 사이버보안 전문가), AWS Security Specialty, CISSP, CEH, CPPG 등

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)