클라우드의 편리한 기능과 특성, 보안에 있어서는 악몽
클라우드 업체 핑계대지 말고 할 수 있는 것 찾아야

[보안뉴스 문가용] 클라우드를 도입하는 기업이 늘고 있다. IT 관련 일 처리가 빨라지고 현대의 업무 환경에서 IT 관련 일 아닌 것이 없기 때문에 이는 즉 사업의 운영 자체가 빨라진다는 뜻이 된다. 하지만 얻는 게 있으면 잃는 게 있는 법. 클라우드를 잘못 사용하면 커다란 보안 구멍을 머리에 지고 가는 꼴이 될 수도 있다. 클라우드로의 이주를 고려한 기업이라면 다음과 같은 질문을 스스로에게 던져볼 필요가 있다. “클라우드 서버 중 공격을 받고 있는 건 무엇이며, 추후에 공격당하고 있는 걸 어떻게 파악할 것인가?”
 



답을 내기 쉽지 않은 질문이다. 방화벽이나 침입 탐지 시스템과 같은 기존의 툴들은 사무실 공간 내에서는 그 기능을 잘 발휘했으나 클라우드처럼 경계가 딱히 없는 공간에선 무기력하기 짝이 없다. 클라우드라는 가상 인프라가 가진 유연성과 능동성은 사용자에게 놀라운 편의성을 제공하기는 하지만 보안 담당자에겐 지옥을 선사한다. 형태가 있는 듯 없는 듯, 존재하는 듯 아닌 듯한 이 공간 속을 들여다보는 게 어렵고, 그러니 클라우드 안에서 무슨 일이 일어나는지 속 시원히 알기가 어려운 것이다. 보이지 않으니 당연히 지킬 수가 없다. 당연하지 않은가.



그렇다고 클라우드 제공 업체를 믿을 수 있는가? 어느 정도는. 그러나 100%는 아니다. 클라우드 제공자들은 하이퍼바이저 층위 이상은 보호하지 않는 게 보통이다. 즉 흔히들 말하는 ‘보안’은 전부 사용자의 책임이 된다. 클라우드에서 윈도우 2000 서버를 돌리고 싶다고? 레드햇 리눅스 환경을 조성하고 싶다고? 당연히 할 수 있다. 다만 보안은 클라우드 제공 업체들의 몫이 아니라 사용자의 몫이라는 것만 기억하면 말이다.

이를 일컬어 ‘책임의 공유’라고 한다. 클라우드 제공 업체들이 좋아하는 말이고, 이들은 이 말을 널리 퍼트리고 있다. 유명한 클라우드인 아마존 웹 서비스(Amazon Web Services)는 이를 이렇게 표현한다. “아마존 웹 서비스는 클라우드의 보안을 담당하고, 클라우드 안의 보안은 고객들이 담당합니다. 고객들은 클라우드 내 콘텐츠, 플랫폼, 애플리케이션, 시스템, 네트워크를 보호하기 위한 자신만의 보안책을, 마치 회사 내 데이터센터 보호하듯이, 자유롭게 선택할 수 있습니다.”

뭐, 그럴 듯한 말이지만 많은 고객들이 혼란스러워 하는 부분이기도 하다. 그리고는 아마존이란 이름 값 때문인지 ‘별 일 없을 거야’라고 믿어버린다. 하지만 저 말은 곧 ‘너네 보안은 너네가 책임져야지’라는 뜻임을 간파하는 이들은 그리 많지 않다. 현실이 이렇다면 기존에 회사 내 데이터센터를 보호할 때나 클라우드를 사용할 때나 결국 어느 정도 사용자가 해야 할 보안의 임무가 있다는 뜻이 된다.

게다가 클라우드의 보안에 구멍이 났을 때의 결과는 굉장히 심각하다. 코드 스페이스(Code Spaces)라는 기업은 해커가 클라우드 네트워크에 침투한 것만으로 회사 문을 완전히 닫아야 했다. 해커가 네트워크를 점령하고 그것을 볼모로 돈을 요구했고, 코드 스페이스는 이를 거절했는데 이에 앙심을 품은 해커가 코드 스페이스의 모든 데이터를 삭제했기 때문이다. 삭제 버튼 하나로 기업 하나를 완전히 파괴한 것이다.

이토록 치명적일 수 있는 클라우드 보안의 가장 큰 문제점은 도대체 그 안을 제대로 볼 수가 없다는 것이다. 흔히들 말하는 ‘가시성’의 확보가 어렵다는 것. 그러므로 클라우드 보안의 가장 큰 쟁점은 바로 이 가시성 확보다. 이를 더 어렵게 만드는 건 바로 하나 이상의 클라우드를 사용하는 기업들 자신의 행태다. 퍼블릭 클라우드, 사설 클라우드 가리지 않고 그때 그때 업무나 사업에 따라 클라우드를 늘려가면 늘려갈수록 가시성 확보는 요원해진다.

그렇다면 어떻게 해야 가시성을 확보할 수 있는 걸까? 일단 먼저 클라우드 업체가 말하듯이 좋든 싫든 보안이 나의 책임이라는 걸 인정해야 한다. 그런 마음가짐으로 다음 다섯 가지 실천사항을 실행해보면 어느 정도 도움이 될 것이다.

지속적인 가시성 : 먼저 클라우드의 인프라, 앱, 데이터, 사용자 등의 요소를 빠삭하게 꿰고 있어야 한다. 현대 클라우드가 가지고 있는 특성인 자동화, 유연함, 즉시성 때문에 가시성을 확보하기란 매우 어려운데, 그 클라우드를 구성하는 요소들을 알아감으로써 어느 정도는 그 안에서 일어나고 있는 일들을 파악하고 이해하는 게 가능하다. 이런 이해가 늘어나면 늘어날수록 공격의 경로도 줄어들고 리스크도 완화하는 게 가능해진다.

상대적인 가시성 : 전체를 들여다볼 수 있는 가시성이 허락되지 않는다면 특정 상황에 부합하는 가시성을 확보하는 것도 한 방법이다. 즉, 이미 알고 있거나 잘 알려진 취약점이 의심된다면 해당 취약점에 대한 가시성만 확보해서 클라우드를 검사할 수 있다는 것이다. 이를 잘 활용하는 것이 의외로 쏠쏠하다.

강력한 접근 제어 : 사실 클라우드건 아니건 최근 일어난 유출사고를 들여다보면 대부분 접근 제어가 빈약해서 일어난 것이 대부분이었다. 특히 애슐리 메디슨의 경우, 해커가 내부인이나 외주업체 직원일 가능성이 높은 것으로 의심되는데 이는 애초에 데이터 혹은 높은 권한을 가진 계정에 접근하기 쉽게 회사에서 통제하고 있었기 때문이다. 누가 어떤 데이터에 접근할 수 있는지 회사 차원에서 정하고 계속해서 주시하고 있어야 한다.

데이터 보호 : 이 역시 빠트리기 쉬운 기본 중의 기본이다. 데이터를 보호한다는 건 데이터가 사용되지 않고 가만히 있을 때나 여기저기 옮겨 다니며 사용되고 있을 때 모두를 말한다. 보통 데이터 손실 방지 기법을 사용하는데, 이는 해킹이 일어났을 때 데이터가 네트워크 바깥으로 빠져나가지 못하게 한다. 그러므로 효과적이다

유출 관리 : 모든 것을 완벽히 방어할 수 있는 시스템이나 보안 업체는 없다. 그걸 받아들여야 한다. 언젠가 해킹 사고는 반드시 일어난다. 그러므로 그런 경우에 대비해 미리미리 계획을 짜두어야 피해를 최소화시킬 수 있다. 빠르게 대처하면 할수록 사이버 공격 대부분은 피해규모를 넓히지 못하고 사그라진다. 실제 해킹이 일어났을 때 어떻게 해야 하는지 세세한 계획을 짜두는 것도 좋다.
글 : 앤디 니에토(Andy Nieto)
Copyrighted 2015. UBM-Tech. 117153:0515BC [국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>