클라우드로의 이동, 거부할 수 없는 흐름
가시성과 협업, 보안 담당자가 가장 먼저 생각해야 할 것
.jpg)
[보안뉴스 문가용] 나름 보안 분석가라는 타이틀을 가지고 있어 상담을 해야 할 일이 굉장히 많다. 최근 들어 모든 회의 및 상담 시간마다 반드시라고 해도 될 만큼 등장하는 주제가 있는데, 바로 클라우드다. 많은 기업들이 이미 클라우드로 옮겨갔거나 옮기는 중이거나 구체적인 계획을 세우고 있다.
사업 운영에 있어서 이런 현상은 당연하다. 클라우드는 유지비용이 저렴하면서 업무를 지속하게 해주기 때문이다. 그러나 세상에 공짜는 없는 법. 얻는 것만큼 잃는 것도 있기 마련인데 클라우드 체제는 기존의 네트워크 체제와는 달리 또 다른 리스크를 가지고 있다. 그리고 보안과 관련된 일을 하는 우리는 이런 리스크들을 최대한 줄이는 것이기 때문에 클라우드로의 ‘민족 대 이동’을 마음 편히 지켜볼 수만은 없다.
그래서 온갖 주의사항을 알려주고 이런 저런 제약을 걸 수밖에 없는데, 사실 ‘신기술! 놀라운 생산력!’이라며 와 하는 분위기에 초를 치는 이런 말들이 달가울 리가 없다. 게다가 지금은 보안 담당자가 무턱대고 태클을 걸 때는 아니다. 클라우드라는 말이 일반인들 사이에서도 너무나 흔하게 사용되고 있기 때문에 이미 옛날 기술이라는 느낌이 없지 않은데, 클라우드는 이제야 막 생장점이 터진 기술로 아무도 100% 확실히 모든 걸 다 이해하고 있다고 말 할 수 없다.
시점이 그러할진대 클라우드가 주는 리스크를 전부 이해하고 있는 사람도 굉장히 드문 게 사실이다. 그러니 ‘보안을 담당하는 사람으로서 나도 여전히 공부할 게 많다’는 태도를 유지하는 게 지금 시점에서의 지혜다. 그럼에도 이미 알려진 리스크들은 정리해서 숙지하는 편이 좋다. 크게 다음 네 가지를 꼽을 수 있겠다.
1) 예측 불가능한 폭발력 : 클라우드에는 온갖 민감하고 은밀하고 유료인 정보들이 득실대고 있다. 게다가 성능이 그렇게 떨어지지 않은 기기만 가지고 있으면 사실상 어디서고 접속이 가능하다. 도난 우려가 높은 것이 사실상 활짝 열린 공간에 널려 있는 것이나 다름없는 것이다. 그러므로 클라우드 시대로 옮겨간다는 건 데이터 자체의 보안을 생각할 수밖에 없게 만든다.
2) 제한된 가시성 : 우리가 익숙해온 사내 네트워크 환경을 떠날 때가 되었다. 이게 무슨 말이냐면 보안 담당자로서 ‘나와바리’를 떠나야 한다는 것이다. 어떤 기기가 사내 네트워크에 접속했는지, 어떤 사용자가 로그인을 했는지, 어떤 방식으로 감사를 받는지 훤히 꿰뚫고 있으려면 새로운 방식으로 가시성을 확보해야 한다. 그저 클라우드 업체에 모든 걸 일임해버리면 보안 담당자는 눈 뜬 장님이 되고 만다.
3) 약화된 탐지기능 : 위 2번과 관련된 내용이기도 한데 가시성이 떨어지면 결국 탐지기능이 약화될 수밖에 없다. 그 말인즉슨 2번을 해결하면 3번도 자동으로 어느 정도는 해결이 가능하다는 것.
4) 늦장 대응 : 2번과 3번을 어느 정도 해결했다고 해도 남아있는 게 있다. 바로 사건이 터졌을 때의 대응 속도다. 클라우드와 연결된 엔드포인트에 감염이 발생했을 경우, 그 엔드포인트를 격리시키는 등 피해 확산을 막기 위한 조치를 취해야 한다. 그런데 클라우드의 방대함과 자유로운 접속을 생각해보라. 엔드포인트가 다른 지방이나 나라에 있을 가능성도 높다. 즉 대처를 하려고 해도 물리적인 한계라는 게 갑자기 우리의 앞을 가로막는 것이다. 클라우드의 장점이 단점으로 이어지는 부분이다.
앞에서 ‘클라우드를 최대한 더 이해한다’는 태도를 유지하는 게 지혜라고 말했는데, 사실 클라우드로의 변화가 야기하는 건 이것보다 조금 더 근본적이다. 거창하게 들릴 수 있는데, 단순히 새로운 걸 익히는 것을 넘어, ‘보안 담당’이라는 업무에 대한 개념적 및 철학적인 변화가 더 절실하다는 뜻이다. 어떤 변화를 말하는가, 라고 묻는다면 아직까지 정립되거나 합의된 것이 없기 때문에 개인적인 의견을 몇 가지 언급하는 것이 전부일 것이다. 보안이 현대 업무 환경의 빠른 변화를 제대로 수용하려면 다음 몇 가지를 기억하는 게 도움이 될 거라고 본다.
1) 가시성 : 다시 한 번 강조하지만 기존 네트워크에서 클라우드로 옮겨갈 때 가장 주의해야 할 건 ‘가시성 확보’다. 특히 데이터가 정확히 어디에 저장되어 있고, 어디로 옮겨가는지를 볼 수 있어야 한다. 클라우드로 옮겨갈 때 가시성을 확보하는 게 어렵다면, 계획을 미룰 것을 권한다. 가시성을 확실히 보장하는 업체를 찾든가 방법을 찾고 나서 이삿짐을 꾸려도 늦지 않다.
2) 접근성 : 클라우드에 접속할 때의 로그 데이터를 제공받을 수 있는지 여부도 중요하다. 엔드포인트에 어느 정도까지 접근할 수 있는지도 미리 알아봐야 한다. 이 둘만 잘 확인해도 탐지가 약화되는 걸 막을 수 있다. 또한 사건 발생 시 대응에도 도움이 된다.
3) 통제 : 클라우드를 사용하기로 하면 아이러니하게도 각각의 엔드포인트를 통제할 수 있는 수단을 마련해야 한다. 클라우드의 개방성과 그 안에 들어있는 정보의 민감성을 고려했을 때 이는 당연한 조치다. 다만 업무에 방해가 될 정도로 통제가 들어가서는 안 된다. 사실 여기엔 아직도 정답이 없다. 업무 활성화와 데이터 보호의 균형은 보안 담당자가 항상 해야 하는 고민이며, 사실 이 고민 때문에 월급을 받는다고 봐도 무방하다.
4) 동의 : 클라우드로 옮겨간다는 건 ‘협업’이 매우 중요해진다는 뜻이다. 사업 기능별로 다른 클라우드 계정을 사용하는 게 보통이기 때문에 부서 간 협업이라는 것도 좀 더 다양해지고, 클라우드를 보통 외주업체에 아웃소싱하기 때문에 해당 업체와의 업무 조율(특히 사고가 터졌을 때)이 중요해진다. 그래서 사고를 염두에 두고 계약을 꼼꼼하게 진행해야 한다. 보안 담당자들은 계약서 작성법도 공부해둘 필요가 있다.
클라우드를 필두로 속속들이 등장하고 있는 신기술들을 거부하기란 불가능에 가까운 때가 되었다. 이미 많은 이들이 강조했지만, 보안은 더 이상 ‘안 돼’라고 하는 부서가 아니라 ‘돼’라고 말해줄 방법을 고민해야 한다. 아이나 후배, 부하직원을 돌봐본 사람이라면 알겠지만 하지 말라고 하는 건 매우 쉬운데, 해도 된다고 하는 건 의외로 매우 어렵다. 뭔가가 허용되려면 미리 전제되어야 하는 것들이 많기 때문이다. 호수 위에서 우아한 백조가 물밑에선 허겁지겁 자맥질을 하고 있는 그림, 보안 담당자들이 기꺼이 받아들여야 할 때다.
글 : 조슈아 골드파브(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
가시성과 협업, 보안 담당자가 가장 먼저 생각해야 할 것
[보안뉴스 문가용] 나름 보안 분석가라는 타이틀을 가지고 있어 상담을 해야 할 일이 굉장히 많다. 최근 들어 모든 회의 및 상담 시간마다 반드시라고 해도 될 만큼 등장하는 주제가 있는데, 바로 클라우드다. 많은 기업들이 이미 클라우드로 옮겨갔거나 옮기는 중이거나 구체적인 계획을 세우고 있다.
사업 운영에 있어서 이런 현상은 당연하다. 클라우드는 유지비용이 저렴하면서 업무를 지속하게 해주기 때문이다. 그러나 세상에 공짜는 없는 법. 얻는 것만큼 잃는 것도 있기 마련인데 클라우드 체제는 기존의 네트워크 체제와는 달리 또 다른 리스크를 가지고 있다. 그리고 보안과 관련된 일을 하는 우리는 이런 리스크들을 최대한 줄이는 것이기 때문에 클라우드로의 ‘민족 대 이동’을 마음 편히 지켜볼 수만은 없다.
그래서 온갖 주의사항을 알려주고 이런 저런 제약을 걸 수밖에 없는데, 사실 ‘신기술! 놀라운 생산력!’이라며 와 하는 분위기에 초를 치는 이런 말들이 달가울 리가 없다. 게다가 지금은 보안 담당자가 무턱대고 태클을 걸 때는 아니다. 클라우드라는 말이 일반인들 사이에서도 너무나 흔하게 사용되고 있기 때문에 이미 옛날 기술이라는 느낌이 없지 않은데, 클라우드는 이제야 막 생장점이 터진 기술로 아무도 100% 확실히 모든 걸 다 이해하고 있다고 말 할 수 없다.
시점이 그러할진대 클라우드가 주는 리스크를 전부 이해하고 있는 사람도 굉장히 드문 게 사실이다. 그러니 ‘보안을 담당하는 사람으로서 나도 여전히 공부할 게 많다’는 태도를 유지하는 게 지금 시점에서의 지혜다. 그럼에도 이미 알려진 리스크들은 정리해서 숙지하는 편이 좋다. 크게 다음 네 가지를 꼽을 수 있겠다.
1) 예측 불가능한 폭발력 : 클라우드에는 온갖 민감하고 은밀하고 유료인 정보들이 득실대고 있다. 게다가 성능이 그렇게 떨어지지 않은 기기만 가지고 있으면 사실상 어디서고 접속이 가능하다. 도난 우려가 높은 것이 사실상 활짝 열린 공간에 널려 있는 것이나 다름없는 것이다. 그러므로 클라우드 시대로 옮겨간다는 건 데이터 자체의 보안을 생각할 수밖에 없게 만든다.
2) 제한된 가시성 : 우리가 익숙해온 사내 네트워크 환경을 떠날 때가 되었다. 이게 무슨 말이냐면 보안 담당자로서 ‘나와바리’를 떠나야 한다는 것이다. 어떤 기기가 사내 네트워크에 접속했는지, 어떤 사용자가 로그인을 했는지, 어떤 방식으로 감사를 받는지 훤히 꿰뚫고 있으려면 새로운 방식으로 가시성을 확보해야 한다. 그저 클라우드 업체에 모든 걸 일임해버리면 보안 담당자는 눈 뜬 장님이 되고 만다.
3) 약화된 탐지기능 : 위 2번과 관련된 내용이기도 한데 가시성이 떨어지면 결국 탐지기능이 약화될 수밖에 없다. 그 말인즉슨 2번을 해결하면 3번도 자동으로 어느 정도는 해결이 가능하다는 것.
4) 늦장 대응 : 2번과 3번을 어느 정도 해결했다고 해도 남아있는 게 있다. 바로 사건이 터졌을 때의 대응 속도다. 클라우드와 연결된 엔드포인트에 감염이 발생했을 경우, 그 엔드포인트를 격리시키는 등 피해 확산을 막기 위한 조치를 취해야 한다. 그런데 클라우드의 방대함과 자유로운 접속을 생각해보라. 엔드포인트가 다른 지방이나 나라에 있을 가능성도 높다. 즉 대처를 하려고 해도 물리적인 한계라는 게 갑자기 우리의 앞을 가로막는 것이다. 클라우드의 장점이 단점으로 이어지는 부분이다.
앞에서 ‘클라우드를 최대한 더 이해한다’는 태도를 유지하는 게 지혜라고 말했는데, 사실 클라우드로의 변화가 야기하는 건 이것보다 조금 더 근본적이다. 거창하게 들릴 수 있는데, 단순히 새로운 걸 익히는 것을 넘어, ‘보안 담당’이라는 업무에 대한 개념적 및 철학적인 변화가 더 절실하다는 뜻이다. 어떤 변화를 말하는가, 라고 묻는다면 아직까지 정립되거나 합의된 것이 없기 때문에 개인적인 의견을 몇 가지 언급하는 것이 전부일 것이다. 보안이 현대 업무 환경의 빠른 변화를 제대로 수용하려면 다음 몇 가지를 기억하는 게 도움이 될 거라고 본다.
1) 가시성 : 다시 한 번 강조하지만 기존 네트워크에서 클라우드로 옮겨갈 때 가장 주의해야 할 건 ‘가시성 확보’다. 특히 데이터가 정확히 어디에 저장되어 있고, 어디로 옮겨가는지를 볼 수 있어야 한다. 클라우드로 옮겨갈 때 가시성을 확보하는 게 어렵다면, 계획을 미룰 것을 권한다. 가시성을 확실히 보장하는 업체를 찾든가 방법을 찾고 나서 이삿짐을 꾸려도 늦지 않다.
2) 접근성 : 클라우드에 접속할 때의 로그 데이터를 제공받을 수 있는지 여부도 중요하다. 엔드포인트에 어느 정도까지 접근할 수 있는지도 미리 알아봐야 한다. 이 둘만 잘 확인해도 탐지가 약화되는 걸 막을 수 있다. 또한 사건 발생 시 대응에도 도움이 된다.
3) 통제 : 클라우드를 사용하기로 하면 아이러니하게도 각각의 엔드포인트를 통제할 수 있는 수단을 마련해야 한다. 클라우드의 개방성과 그 안에 들어있는 정보의 민감성을 고려했을 때 이는 당연한 조치다. 다만 업무에 방해가 될 정도로 통제가 들어가서는 안 된다. 사실 여기엔 아직도 정답이 없다. 업무 활성화와 데이터 보호의 균형은 보안 담당자가 항상 해야 하는 고민이며, 사실 이 고민 때문에 월급을 받는다고 봐도 무방하다.
4) 동의 : 클라우드로 옮겨간다는 건 ‘협업’이 매우 중요해진다는 뜻이다. 사업 기능별로 다른 클라우드 계정을 사용하는 게 보통이기 때문에 부서 간 협업이라는 것도 좀 더 다양해지고, 클라우드를 보통 외주업체에 아웃소싱하기 때문에 해당 업체와의 업무 조율(특히 사고가 터졌을 때)이 중요해진다. 그래서 사고를 염두에 두고 계약을 꼼꼼하게 진행해야 한다. 보안 담당자들은 계약서 작성법도 공부해둘 필요가 있다.
클라우드를 필두로 속속들이 등장하고 있는 신기술들을 거부하기란 불가능에 가까운 때가 되었다. 이미 많은 이들이 강조했지만, 보안은 더 이상 ‘안 돼’라고 하는 부서가 아니라 ‘돼’라고 말해줄 방법을 고민해야 한다. 아이나 후배, 부하직원을 돌봐본 사람이라면 알겠지만 하지 말라고 하는 건 매우 쉬운데, 해도 된다고 하는 건 의외로 매우 어렵다. 뭔가가 허용되려면 미리 전제되어야 하는 것들이 많기 때문이다. 호수 위에서 우아한 백조가 물밑에선 허겁지겁 자맥질을 하고 있는 그림, 보안 담당자들이 기꺼이 받아들여야 할 때다.
글 : 조슈아 골드파브(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
