보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

호스팅 서비스의 정체성 그 자체, 보안

입력 : 2023-10-26 13:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
원활한 온라인 서비스를 위해서는 적절한 호스팅 서비스 업체를 선정하는 것이 필수다. 선정에 필요한 기본적인 방법 중 하나는 보안에 대한 태도를 확인하는 것이다.

[보안뉴스 문가용 기자] 성경에는 한 왕의 이야기가 나온다. 잔치를 벌이기 위해 수많은 사람을 초대했지만 의복 검사를 엄격하게 실시해 실제 잔치에 들어갈 수 있는 사람들과 그렇지 못하는 사람들을 구별했다는 내용이다. 초대장을 발부 받은 것만으로는 자격이 충분치 않아 잔치가 벌어지고 있는 본식장에 입장하지 못하고, 요즘 말로 ‘입구컷’ 당할 수 있다는 이 오래된 교훈은 호스팅 서비스의 보안 문제와 깊이 연결되어 있다.

[이미지 = gettyimagesbank]


구글이나 해외 서점 사이트에서 hosting을 검색하면 IT 분야에서 흔히 생각하는 호스팅 서비스에 대한 자료들도 나오지만 의외로 친구나 지인들을 초대하여 대접하는 방법에 대한 지침서들도 적잖이 발견할 수 있다. host는 손님을 맞이하는 입장에 있는 ‘주인’을 뜻하며, hosting은 주인 행세, 즉 초대한 손님을 대접하는 행위를 뜻하기 때문이다. 손님을 맞이하여 잔치를 누리게 한다는 hosting의 기본 의미는, IT에서 말하는 호스팅 서비스의 근간에 고스란히 남아 있다. 이 이야기를 몇 가지 항목으로 나눠 풀어보고자 한다.

1. 누가 잔치에 초대되는가
다시 성경 이야기로 넘어가자면 잔치에 초대되는 사람은 ‘아무나’이다. 하지만 스스로 잔치를 열고 사람들을 초대할 수 있는 사람이면 특별히 왕의 초대에 응하지 않아도 되며, 실제 그런 내용이 이야기 속에 담겨져 있기도 하다. 스스로 잔치를 열 수 있다는 건 무슨 뜻일까? 많은 사람들이 머물 만한 공간과 많은 사람들이 먹을 만한 음식을 보유하고 있다는 것이다. 그렇기 때문에 넉넉한 거실이 딸린 집이 있고, 음식과 놀 것을 사는 데 적잖은 돈을 쓸 수 있는 사람이 잔치의 주인이 되는 것이 보통이다. 둘 중 하나라도 없으면 안 된다. (여기에 필요한 것이 하나 더 있는데, 이는 조금 더 뒤에 다루기로 한다.)

호스팅 서비스도 마찬가지라 누구나 호스팅 서비스를 이용할 수 있지만 스스로 웹사이트나 애플리케이션을 운영하는 데 필요한 파일과 데이터를 저장하고 항시 가동시킬 수 있는 공간과 자원을 충분히 보유하고 있다면 굳이 호스팅 서비스를 이용할 필요가 없다. 충분히 강력한 서버용 컴퓨터를 구매할 수 있고, 그 컴퓨터를 실내 온도 차이가 거의 없는 별도의 장소에서 24시간 켜둘 만한 자금적 여유(공간 임대 + 기온 유지 + 전기료)가 있으며, 만일의 사태에 금방 조치를 취할 수 있는 전문 인력을 채용해 월급을 줄 수 있다면 말이다.

이처럼 아주 대강 계산해도 호스팅 서비스를 자급자족 하고자 한다면 ‘억’ 소리 나는 돈이 든다. 이 돈을 감당할 수 있으면 호스팅 서비스가 필요 없고, 이것보다 조금 저렴하게 가고자 한다면 호스팅 서비스가 필요하다. 실제 호스팅 서비스를 고민 없이 선택하는 건 중소기업들과 그에 준하는 규모를 가진 조직들인 경우가 많다.

하지만 실제 상황은 어떨까? 자원이 충분한 대기업들도 호스팅 서비스를 적잖이 이용한다. 이 글 서두에서 말한 ‘입구컷’과 관련된 문제 때문이다. ‘잔치를 베풀어 사람들을 초대했다면 다 환영해야 하는 거 아닌가?’라는 의문이 들 수 있는데 잘 생각해보라. 잔치를 베푼 사람에게는 두 가지 상반된 책임이 있다. 하나는 초대된 사람들이 환영받고 있다는 느낌을 갖게 하는 것이고(그러므로 두 팔 벌려 초대에 응한 사람들을 받아들여야 한다), 다른 하나는 초대된 사람들이 안전하다는 느낌을 갖게 하는 것(그러므로 위험해 보이는 사람들은 아무리 초대장을 들고 있다 하더라도 입구에서 막아야 한다)이다. 사소한 위험의 가능성 혹은 불쾌의 가능성이라고 하더라도 주인은 손님을 위해 대신 처리해줄 수 있어야 한다. 사람들로 가득하게 하겠다며 총 들고 칼 든 사람들까지 입장시켜서야 그 잔치가 잔치일 수 있을까.

호스팅 서비스를 제공한다는 회사들의 기본은 공간과 자원이라고 했지만 여기에 더해 ‘보안’ 역시 필수 덕목이다. 우리가 가고 싶은 잔치는 ‘안전한’ 잔치인 것이 너무나 당연하다. 너무 당연해서 굳이 ‘안전한’이라는 수식어를 잔치 앞에 붙이지 않을 뿐이다.

“우리집에서 생일 파티를 할꺼야. 너도 왔으면 좋겠어.”
“응, 그래, 고마워.”
이런 자연스러운 대화의 흐름 속에 우리는 우리도 모르게 ‘안전’이라는 개념을 전제로 깔고 있음을 기억하자. 우리가 나누는 대화는 실상 이것이다.
“우리집에서 ‘안전하게’ 생일 파티를 할꺼야. 너도 왔으면 좋겠어.”
“응, 그래. ‘안전한 파티로 초대해줘서’ 고마워.”
IT의 호스팅이든 생일 파티의 호스팅이든 ‘안전’은 호스팅이라는 것의 정체성 그 자체다. 공간과 자원이 있어도 보안 문제 때문에 호스팅 서비스를 선택하는 조직들이 많아지는 이유다.

2. 각종 사건 사례들 속에 숨겨진 비밀
안전, 다시 말해 ‘보안’이 호스팅 서비스의 기본 중 기본이 된다는 건 요 근래 더욱 강조되고 있다. 사이버 공격, 그것도 호스팅 서비스를 노리는 사이버 공격이 빠르게 증가하고 있기 때문이다. 가장 유명한 것 중 하나는 2016년 10월 21일 딘(Dyn)이라는 호스팅 업체에서 일어난 사건이다. 그 날, 이름을 대면 어지간한 사람들은 알만한 유명 회사의 유명 웹사이트들이 일제히 마비됐었다. 에어비앤비, 아마존, BBC, CNN, 컴캐스트, EA, 깃허브, HBO, 뉴욕타임즈, 로블록스, 스포티파이, 텀블러, 비자, 월스트리트저널, 엑스박스 등 얼른 생각나는 것만 적어도 이 정도였다.

10년이면 강산도 변하고, 사이버 공간에서는 천지가 개벽하는데 언제적 이야기를 가지고 오냐고? 조금 더 최근인 2021년 세계에서 제일 크다고 하는 고대디(GoDaddy)라는 호스팅 업체에서 일어난 사건이라면 어떨까? 2021년 11월 23일 고대디는 자사에서 데이터 침해 사건이 일어난 것을 인지하고 유관 기관에 알렸다. 조사해 보니 그 해 9월과 11월에 해커들이 여러 차례 침투했었던 사실이 밝혀졌다. 승인을 받지 않은 외부 세력이(즉 초대장도 없고 입구컷을 당했어야 마땅한 손님이) 함부로 들어와 관리자 인증 정보를 가져갔다고 고대디는 고객들에게 고지했다. 여러 고객사들의 웹사이트나 애플리케이션을 대신 호스팅해주고 있는 고대디에서 관리자 인증 정보가 새나갔다는 건 공격자들이 고객사의 웹사이트와 애플리케이션을 마음대로 조작하고 변경하고 삭제할 수 있다는 뜻이다. 그리고 이 사건은, 사건이 대대적으로 알려진 한참 후에도 계속해서 추가 피해자가 발굴되는 등 꼬리가 매우 긴 건으로 남겨져 있다. 어쩌면 아직도 우리는 피해자를 다 찾지 못했을 수 있다.

이 두 건에는 비밀이 하나 있다. 이 외에도 수많은 호스팅 서비스 관련 사건 사고에서도 발견할 수 있는 비밀이다. 그건 바로 호스팅 서비스가 사이버 보안 사고에 연루되면 수없이 많은 웹사이트나 애플리케이션들이 ‘한꺼번에’ 마비된다거나 느려지는 영향을 받는다는 것이다. 딘의 사건에서도 한 순간에 수많은 사이트들이 접속 불가 상태가 됐고, 고대디 사건에서도 정보 유출 및 여러 피해 사례들이 수많은 회사들에서 발견됐다. 이 단일 사건으로 이런 저런 피해를 입은 웹사이트가 120만 개가 넘는다고 하니 이 ‘한꺼번에’가 보통 ‘한꺼번에’가 아니다.

한 번 공격으로 수많은 사이트에 피해를 주거나 접속할 수 있게 된다는 건 공격자 입장에서 표현하자면 ‘공격의 가성비가 좋다’는 뜻이 된다. 이 대목에서 한 가지 알아두면 좋을 게 있는데 사이버 공격자들은 자린고비와 같아서 가성비에 미쳐 있다는 것이다. 이들은 무엇을 하든 최소한의 노력으로 최대의 효과를 거두고 싶어 안달인 부류들이다. 한 번 공격으로 120만 사이트에 영향을 줄 수 있다면, 그것만큼 가성비가 훌륭한 게 없다. 위 유명한 사건들은 물론 그 사이사이에 벌어진 각종 호스팅 서비스 해킹 사고를 통해 공격자들은 ‘호스팅 업체는 가성비 좋은 공격 대상’이라는 걸 충분히 학습했다. 이런 좋은 먹잇감을 두고 다른 걸 공격할 이유가 없을 정도다. 호스팅 업체들은 규모를 막론하고 지금 공격자들의 불즈아이 한 가운데에 정확히 들어가 있다. 잔치는 이대로 끝나려는가.

3. 해킹, 잔치를 끝냈다?
다행인 건 잔치의 주인들인 호스팅 업체들이 스스로가 얼마나 위험한 상황에 처해 있는지를 인지하고 있다는 것이다. 그리고 자기 자신은 물론 고객들을 보호하기 위해 여러 가지 보안 장치들을 도입하고 있다. 사용자들은 호스팅 서비스를 물색하는 과정에서 여러 업체들과 상담을 하게 되는데, 요 몇 년 간 보안을 이야기 하지 않는 업체는 하나도 없을 정도다. 잔치 호스트로서 손님들을 환영하는 것은 잘해 왔으니, 이제 부적절한 손님들을 끊어내는 역할도 수행하겠다는 태도가 겸비된 것이다. 그러면서 호스팅 업계가 전반적으로 더 안전해져가는 과정 중에 있다. 완벽하냐고 묻는다면, 그건 또 다른 문제니 논외로 치자.

호스팅 업체가 안전해져가는 중에 있다는 건 ‘아직 호스팅 업체가 불안하다’는 뜻이 아니다. 해킹 공격으로부터 100% 안전한 조직은 세계 어디에도 존재하지 않는다. 호스팅 업체도 하나의 기업이니 100% 안전할 수는 없다. 그러므로 우리 모두는 해킹 공격 앞에 평등하고, 거기에는 호스팅 업체들도 끼어있다. 다만 더 많은 해커들의 관심을 받고 있는 만큼 더 많이 보안에 신경을 써야 할 뿐이다. 즉 당장 호스팅 업체를 선택해 서비스를 시작해야 하는 고객 입장에서 봐야 할 건 ‘완벽함’보다 ‘태도’다. 보안에 얼마나 신경을 쓰고 있으며, 보안을 얼마나 진지하게 여기고 있는지를 살피는 게 관건이다. 진실된 태도가 선행되면 결과는 따라오기 마련이다.

4. 잔치의 주인, 행동으로 진실을 말한다
그렇다고 호스팅 업체의 유려한 말솜씨에 놀아나면 안 된다. 진실된 태도를 말로 포장하기란 너무나 간단하다. 그래서 우리는 업체들의 실제 행동과 성취된 것들에 주목해야 한다. 가장 먼저는 SSL과 TLS 인증서가 호스팅 서비스에 무료로 포함되어 있는지 확인하는 것이다. SSL과 TLS는 데이터가 망을 통해 움직이고 있을 때 중간에 끼어든 누군가가 함부로 내용을 볼 수 없도록 암호화 해 주는 장치다. 데이터를 대신 저장하고 가동시킴으로써 웹사이트와 애플리케이션이 안정적으로 돌아가도록 하는 호스팅 업체라면 이 부분을 기본 중 기본으로 여겨야 한다. 돈 안내면 이런 기본적인 암호화 장치를 서비스하지 않는다고 상담하는 업체라면 뒤도 돌아보지 말고 떠나라.

그 다음은 서버들이 잔뜩 마련되어 있는 데이터센터라는 공간이 실질적으로 어떻게 관리되는지 확인하는 것이 중요하다. 데이터센터를 직접 공개하지 않는 업체들도 상당수 있어서 눈으로 점검하기가 어려울 수 있는데, 그럴 때는 사진이나 영상 자료라도 요청하는 것이 좋다. ‘보안’은 단순히 ‘해킹 공격을 차단한다’는 내용만 포함하고 있는 개념이 아니다. 데이터의 흐름(즉 서비스)이 중단되는 것을 방지하는 것도 보안의 중요한 임무다. 데이터센터는 고성능 컴퓨터가 한꺼번에 운영되는 장소다. 온도와 습도, 먼지에 민감해 직원들도 함부로 출입하지 못하는 게 보통이다. 게다가 요즘 기후 변화가 심각해 홍수나 산사태, 산불에까지 대비한 최적의 위치를 찾는 게 중요하다. 이른 바 빅테크들이 침수 가능성 있는 지하나, 산불 위험이 있는 산 근처에서 데이터센터를 철수시키고 있는데, 물론 돈이 많아 가능한 이야기이기도 하지만 보안을 중요하게 생각하고 있는 태도를 보여주는 것이기도 하다.

데이터센터는 비밀 구역인 경우가 많아 고객이 직접 방문하기 어려울 수 있다. 그렇더라도 자꾸 요청하고, 사진 자료 같은 걸 요구하는 건 중요하다. 고객이 데이터센터 관리에 많은 관심을 가지고 있다는 걸 호스팅 업체가 알아채야 하기 때문이다. 소비자의 요청에 응하지 않을 기업은 그리 많지 않다. A가 안 된다면 B라도 제시할 수밖에 없다. 열리지 않더라도 자꾸 두드려 ‘내 데이터의 물리적 안전’을 꾀하는 건 소비자가 발휘할 수 있는 몇 안 되는 권한이기도 하다.

‘서비스가 꾸준히 가동되도록 하는 것도 보안’이라는 맥락에서 점검해야 할 건 디도스 공격에 대하여 어떤 방어 장치를 가지고 있는가, 이다. 위에서 사례로 든 딘 해킹 사건에서 딘이 받은 공격이 바로 디도스 공격이다. 디도스는 그 자체로 정보가 탈취된다거나 삭제된다거나 하는 심각한 일로 번지지는 않는다. 랜섬웨어처럼 파괴적이지도 않다. 잠시 서버가 멈추고 서비스가 제공되지 않을 뿐이다. 그래서 많은 보안 전문가들조차 디도스 공격을 가볍게 생각하는 경우가 많고, 보안 아키텍처를 구성할 때도 디도스를 별 거 아닌 것처럼 여기는 경우가 종종 있다. 디도스 공격에 특히 노출되지 않은 기업이라면 그래도 된다. 호스팅 업체는 아니다.

호스팅 업체에 호스팅을 맡기는 기업들은 서비스의 안정성을 기대하고 있다. 2주에 한 번씩 호스팅 업체가 주기적으로 멈추는 바람에 우리 회사 웹사이트가 규칙적으로 마비되는 상황에서 ‘이런 저런 사정으로 2주에 한 번씩 잠깐 서비스를 못하니 고객들께서 양해 바랍니다’라고 공지하면서 사업을 이어갈 곳은 하나도 없다. 주기적이기는커녕 단 한 번이라도 마비를 경험하면 호스팅 업체를 변경하려 하는 것이 고객들의 심리다. 호스팅 서비스를 제공하는 입장에서 디도스는 매우 심각한 사건이다.

그 다음 중요한 건 서버의 대문을 얼마나 튼튼하게 걸어잠그고 있느냐를 확인하는 것이다. 물리적인 자물쇠를 확인하는 것도 좋겠지만 여기서는 방화벽을 말한다. 현대 정보 보안에서 방화벽이라는 존재는 더 이상 안전 장치로서의 역할을 다 하지 못하는 것처럼 이야기 될 때가 많다. 사실이다. 네트워크가 워낙 방대하게 분산되어 있기 때문에 해커들이 침투할 만한 통로가 여기 저기 뚫려 있고, 따라서 문지기 개념의 방화벽은 예전의 위용을 자랑하지 못한다. 벽이 전부 사라진 상황에서 덩그러니 홀로 서 있는 문 앞을 지키고 있어봐야 집에 들어오려는 자들을 얼마나 막을 수 있을까.

그럼에도 방화벽은 여전히 ‘필수 요소’다. 앞서 호스팅 서비스가 해커들의 ‘불즈아이’에 들어가 있다고 했었다. 해커 흉내만 겨우 내는 어중이떠중이들도 전부 찔러본다는 뜻이다. 이들은 어려운 길로 돌고 돌아 침투하는 방법을 모른다. 분산된 네트워크나 중앙화 된 네트워크나 이들에게는 차이가 없다. 찔러서 통하면 좋은 거고, 아니면 마는 것이다. 호숫가에서 장난삼아 해보는 물수제비 놀이나 다름이 없다. 그런데 어떤 개구리는 이런 장난에 허무하게 맞아 죽는다. 보안에 대한 태도가 진지한 호스팅 업체라면 적어도 이런 가벼운 장난질에 뚫려서는 안 된다. 첨단 교육을 마친 해커가 작정하고 수개월 연구해 해킹을 성공시키는 것을 막지 못할 수는 있어도, 이제 막 해커가 되어보겠다고 나선 아마추어의 사소한 움직임에 무너지면서 ‘우리에게는 고객의 안전이 가장 중요하다’고 말하는 게 적잖이 민망하다.

방화벽을 두면서 ‘입구’를 철저히 보호하려는 호스팅 업체라면 당연히 입구 안쪽에 있는 것들의 안전에도 관심을 두게 되어 있다. 그런 곳이라면 네트워크를 항시 모니터링하고 멀웨어를 탐지해 삭제하는 기능을 구축하고 있는 게 보통이다. 뿐만 아니라 모니터링하고 조치를 취했을 때의 결과를 고객들에게 투명하게 소통하는 것도 중요하다.

무소식이 희소식이라고 하지만 호스팅 업체에 적용되는 말은 아니다. 적어도 요즘처럼 보안 사고로 시끄러운 때는 더 그렇다. 조용히 호스팅 업체로서의 본연을 다 하며 아무 일도 일어나지 않게 해주는 것만으로는 충분치 않다는 것이다. 어떤 점검을 언제 했으며, 그래서 어떤 결과가 나왔고, 어떤 조치를 취했는지 고객들과 주기적으로 소통하는 것이 중요하다. ‘내 침묵을 안전의 표시로 이해해줘’라고 했을 때 넙죽 받아들이는 고객은 거의 멸종 상태이고, 고객사들도 이런 소통을 호스팅 업체에 요청해야 한다. 이런 면에서 열려 있는 회사가 나중에 심각한 사고가 발생했을 때 진가를 발휘할 가능성이 높다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대