보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

아직 갈 길 먼 클라우드 보안의 현실

입력 : 2024-05-13 18:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
클라우드라는 기술이 나온 지도 적잖은 시간이 흘렀고, 그래서 우리는 이제 클라우드를 사용하는 것에 상당히 익숙해져 있다. 하지만 클라우드 보안은 여전히 불안하기 짝이 없다. 전혀 발전하지 않았다고 봐도 무방한 수준이기 때문이다.

[보안뉴스= 에리카 치코우스키 IT 칼럼니스트] 클라우드 보안이라는 개념도 어느 덧 꽤나 오랜 시간 고민되고 연구되었다. 여러 가지 기술과 전략들이 나왔으며, 지금도 나오고 있다. 클라우드가 막 등장해 너도 나도 간을 보던 시기의 그 혼란은 지나갔고, 이제는 조금 안정된 느낌이 난다. 그런데, 정말 그럴까? 우리는 클라우드를 능숙하게 사용하고 있으며, 클라우드의 모든 것을 알고 있을까? 클라우드 생태계에서 벌어지는 보안 사고들을 봤을 때 우리는 쉽게 ‘아니오’라고 답할 수 있다. 그것도 그냥 ‘아니오’가 아니고, 갈 길이 먼 ‘아니오’다.

[이미지 = gettyimagesbank]


올해 초 벤슨본(Vanson Bourne)이 조사한 바에 따르면 지난 한 해 발생한 침해 사고의 절반이 클라우드와 관련이 있었다고 한다. 그리고 클라우드 침해 사고 한 건당 기업이 입는 피해는 평균 410만 달러인 것으로 나타나기도 했다. 이게 클라우드의 현실이다. 지금 수준에서 우리는 클라우드 때문에 수백만 달러를 잃고 있고, 그럼에도 이 사안을 쉬쉬 감추며 ‘클라우드를 잘 활용하면 경쟁에서 앞서고 수익을 늘릴 수 있다’는 말만 되풀이하고 수용한다. 클라우드 보안의 현실에 대해 보안 업체 일루미오(Illumio)의 최고 보안 전도사 존 킨더바그(John Kindervag)가 상세한 의견을 다음과 같이 제공했다.

1. 클라우드로 옮긴다고 저절로 더 안전해지는 건 아니다
킨더버그는 “이상하게 요즘 많은 사람들이 ‘클라우드 인프라는 태생적으로 보안이 더 뛰어나다’고 믿고 있다”고 말한다. “클라우드이 태생적으로 더 안전한 공간이라는 개념은 오류가 가득한 것입니다. 오해가 너무 깊어요. 온프레미스나 클라우드나 결국 사용자와 기술 제공자가 어떻게 자기 역할을 충분히 수행하느냐에 따라 보안성은 완전히 달라집니다. 저절로 되는 보안이라는 건 어디에도 존재하지 않습니다.”

물론 클라우드라는 환경은 물리적 요소들로 구성된 환경보다 제어라는 측면에서 더 편리하고, 더 고도화 되어 있다. “하지만 실제 클라우드 플랫폼 운영 업체가 고객의 데이터를 속속 들여다볼 수는 없죠. 고객사가 클라우드에 어떤 데이터를 저장하고, 어떤 식으로 관리하는지, 어떤 정책을 가지고 있는지 다 알려고 든다면 그 클라우드 업체는 고객 데이터를 가져가려 한다는 오해를 받을 겁니다. 그렇기 때문에 플랫폼 업체가 할 수 있는 일에는 한계가 있고, 그렇기에 보안도 완벽할 수 없습니다. 데이터 관리 습관에 기인한 보안 사고는, 온프레미스에서 클라우드로 옮겨간다 하더라도 사라지지 않습니다.”

그래서 보안 업계가 꾸준히 강조해 온 게 ‘공동 책임’이라는 것이다. 클라우드 서비스 업체와 사용자 기업이 공동으로 보안을 책임져야 한다는 뜻이다. 하지만 킨더바그는 이 말을 좋아하지 않는다고 한다. “마치 보안에 대해 50:50으로 책임을 진다는 뜻 같아 보이잖아요. 완전히 비현실적인 얘기죠. 고객의 데이터에 클라우드 업체가 전혀 손을 댈 수가 없는 상황에서 무슨 수로 보안 책임의 절반이나 가져갈 수 있을까요? 클라우드 업체도 어느 정도 책임을 지면서 보안을 강화해야 하지만, 고객보다는 지분률이 훨씬 낮습니다. 이걸 클라우드 사용자들이 반드시 인지해야 합니다.”

2. 클라우드의 네이티브 보안 장치들은 하이브리드 체제에서 힘을 발휘하지 못한다
이렇게 말하면 ‘클라우드 업체들이 약속하는 보안 장치들은 무엇인가?’라는 의문이 생길 수 있다. 실제로 클라우드 플랫폼들은 지난 수년 동안 각자의 강력한 보안 도구들을 장착해 왔다. 그러면서 클라우드 생태계는 이전보다 더욱 강력해진 것도 사실이다. 고객들은 이 도구들을 이용해 좀 더 분명한 가시성을 확보하고, 좀 더 계정들을 명확하게 관리하게 해 주며, 좀 더 실수 없이 설정을 하게 한다.

“하지만 클라우드 플랫폼마다 그러한 도구들의 수준이 다릅니다. ‘클라우드도 보안 도구를 가지고 있다’고 퉁쳐서 말하기에는 품질이 균일하지 않다는 것이죠. 더 큰 문제는 이 도구들이 온프레미스에서는 무용지물이 된다는 겁니다. 그러므로 하이브리드 체제를 유지하는 수많은 사용자 기업들의 안전을 보장하지 못합니다.”

하이브리드 클라우드만이 문제인 것도 아니다. 멀티클라우드도 문제가 된다. 한 플랫폼에서 잘 작동하는 보안 도구가, 다른 플랫폼에서까지 호환되는 경우는 거의 없기 때문이다. 클라우드 업체들이 연합하여 모든 플랫폼과 호환이 되는 보안 도구를 만들지 않는 이상 지금의 클라우드 보안 도구들은 큰 쓸모를 찾지 못할 것이라는 게 킨더바그의 의견이다.

“제가 지난 수년 동안 만난 고개들 모두가 멀티클라우드나 하이브리드 클라우드 체제를 유지하고 있었습니다. 미래에는 어떻게 될지 모르지만 지금은 멀티클라우드와 하이브리드 클라우드가 대세입니다. 단 하나의 플랫폼에 기업의 모든 IT 인프라와 데이터를 둔다는 건 거대한 리스크를 짊어지는 것이기 때문입니다. 싱글 클라우드가 대세가 되려면 좀 더 많은 시간이 필요할 것이고, 심지어 그런 미래가 있을런지도 지금은 확실하지 않습니다. 그러므로 지금의 클라우드 네이티브 보안 도구들은 현실적으로 유용하다고 하기 힘듭니다.”

3. 보고 식별하는 건 사실 보안이 아니다
클라우드 보안에서 가장 많이 강조하는 것 중 하나가 가시성과 아이덴티티 관리다. 킨더버그는 둘 다 너무나 중요한 개념이고, 어느 것 하나 간과할 수 없는 게 분명하긴 하지만, 그 두 가지에만 지나치게 집중하는 건 위험하다고 말한다. “클라우드 보안에 있어서 계정 관리, 즉 아이덴티티 관리의 중요성이 지나치게 비대칭적으로 강조되고 있습니다. 아이덴티티들이 어떤 상황에서 접속을 시도하는지, 어떤 권한을 가지고 있는지, 어떤 비밀번호로 보호되는지 등을 파악하고 관리하는 건 대단히 중요한 일이 맞습니다. 하지만 클라우드 보안의 일부 요소일 뿐이지 전부는 아닙니다.”

그러면서 킨더바그는 가시성 문제도 지적한다. “보여야 지킬 수 있다는 건 너무나 당연한 말입니다. 사실이 그렇죠. 보이지 않는 걸 지키라는 건, 마치 클라우드 플랫폼 업체들에 데이터 열람 권한을 하나도 주지 않으면서 100% 보안 책임을 지라는 것과 같습니다. 그러므로 가시성을 확보한다는 건 대단히 중요한 일입니다. 하지만 ‘보인다’는 것만으로는 문제가 해결되지 않습니다. 문제가 보이면 그것을 해결하는 데에까지 일이 진행되어야 하지요. 그런데 우리는 가시성을 너무나 강조한 나머지, 보고 식별하는 것만으로 안심하려고 합니다. 가시성만 지나치게 강조하다 보니 생기는 현상입니다.”

4. 무엇을 보호해야 하는지를 잘 모르고 있다
많은 기업들이 ‘데이터를 보호한다’는 개념을 지나치게 추상적으로 간직하고 있다고 킨더바그는 지적한다. 즉 무엇을 보호해야 할지를 모른다는 것이다. “지적재산을 보호해야 한다는 건 알고 있습니다. 개인정보를 지켜야 한다는 것도 알고 있습니다. 하지만 그 데이터들이 어디에 어떤 식으로 보관되어 있는지, 어떤 프로세스로 활용되는지는 모르고 있습니다. 그러니 엉뚱한 곳에 보안 예산을 쓰고, 중요한 곳을 간과하는 등의 실수가 나오는 겁니다. 중요한 데이터가 저장되는 지점, 그 데이터가 지나가는 경로의 취약점들을 이해해야 그 데이터를 실제로 보호할 수 있습니다.”

킨더바그는 놀랄 정도로 많은 사용자 기업들이 클라우드의 무엇을 보호해야 하는지를 명확히 이해하지 못하고 있다고 지적한다. “클라우드에 무엇이 있는지, 클라우드가 어떻게 연결되어 있는지, 클라우드가 연계된 망이 어떤 식으로 구성되어 있는지, 데이터가 그 사이로 어떻게 이동하는지를 대강만 알고 있어요. 그러니 무엇을 보호해야 하는지도 잘 이해하지 못하고 있습니다. 클라우드에 대한 개념이 아직 다 잡히지 않은 겁니다. 클라우드 가시성이 중요하다고 하는데, 그 이전에 클라우드에 대한 개념이 부족하니 가시성도 다 확보할 수 없는 것이기도 합니다.”

이는 보안 그 자체를 약화시키는 것이기도 하지만, 보안과 관련된 비용도 쓸데 없이 높이는 결과를 낳는다고 킨더바그는 경고한다. “또한 보안 예산을 높여도 해킹 사고를 막지 못하는 것과도 관련이 있지요. 우리는 무엇을 보호할 것인가에 대한 질문에 보다 명확하고 구체적인 답을 찾아야 할 필요가 있습니다. 이건 그 어떤 보안 대행 업체나 클라우드 서비스도 대신 답해줄 수 없습니다.”

5. 클라우드 보안을 강화하기 위한 인센티브가 부족하다
클라우드 서비스 제공자들은 그 동안 데브옵스와 효율적인 개발을 위한 훌륭한 도구들을 개발해 제공해 왔다. 이 도구들은 속도, 확장성, 유연성이라는 측면에서 높은 만족감을 준다. 여기에 보안이라는 요소가 섞인다면, 안전한 앱들을 개발하는 것도 가능하다. 하지만 킨더바그는 “개발자들이 굳이 그래야 할 이유가 없다”고 말한다. “안전까지 고려하면 속도가 떨어지거든요. 속도가 떨어지면 경쟁력이 약화되고요. 안전해지면 좋다는 걸 개발자들도 모르지 않습니다. 하지만 그랬을 때의 이득이 개발 단계에서는 체감되지 않습니다.”

클라우드 생태계에서 각종 개발 프로젝트를 진행하는 사람들은 속도에만 신경 쓰는 게 현실이라고 킨더바그는 설명한다. “사석에서 클라우드 개발 프로젝트 책임자들을 만나곤 하는데요, 공식석상이 아닌 곳이라 그런지 그들의 솔직한 마음을 들을 수 있습니다. 정말 수많은 사람들이 이렇게 말합니다. ‘보안? 신경 쓸 새가 어딨어요.’라고 말이죠. 왜 신경 쓰지 않냐고 물어보면 ‘보안 강화해봐야 실적이 쌓이지 않고 인사 평가가 좋아지는 것도 아니니까’라고 답합니다. 대신 보안 신경 쓰느라 개발 출시가 늦어지기라도 하면 점수가 크게 깎이죠.”

킨더바그는 이것이 비단 클라우드 생태계만의 문제는 아닐 거라고 말한다. “수많은 기업 수장들이 보안의 중요성을 이해하는 것처럼 인터뷰하고 말합니다. 하지만 그들이 회사로 돌아가서 하는 일을 보면 그들의 말이 허황된 것임을 알 수 있죠. 기업 수장으로서 그들이 보안 강화에 대한 인센티브를 조직적으로 만들어내느냐 하면 그렇지 않거든요. 출시일을 앞당긴 사람에게는 보너스를 주고, 근속 기간이 긴 사람들에게도 보너스를 주지만, 보안 실천 사항을 꼼꼼히 지킨 사람에게 뭘 더 주는 건 없습니다. 보안 강화의 이유를 아무도 만들어내지 않고 있는 겁니다.”

글 : 에리카 치코우스키(Ericka Chickowski), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)