클라우드, 기술과 환경이 급변하면서 보안 담당자들의 가시성은 점점 낮아지고
보이지 않는 걸 지킬 수는 없는데...각종 자산과 사용자는 점점 보이지 않게 돼
[보안뉴스 문가용 기자] 클라우드 컴퓨팅이 IT 서비스 배포를 위한 표준 기술로 자리를 꽤나 많이 차지하고 있다. 엔터프라이즈 스트래티지 그룹(Enterprise Strategy Group, ESG)이 발표한 ‘2019 공공 클라우드 트렌드(2019 Public Cloud Trends)’ 보고서에 의하면 지난 8년 동안 서비스형 인프라(IaaS)를 도입한 기업은 17%에서 58%로 증가했다고 한다. 심지어 ‘클라우드 우선’ 전략을 도입한 조직이 39%나 되고 있다.
[이미지 = iclickart]
클라우드가 혁신에 있어서는 꽤나 유용한 도구인 것은 맞다. 그러나 보안 담당자들에게 있어 클라우드는 악몽과 같다. 테두리라는 게 없어졌으니 그럴 만도 하다. 또한 클라우드가 아직 신기술이기 때문에 기술, 아키텍처, 사용처와 방법이 계속해서 변하고 있다는 것도 보안의 관점에서는 ‘마이너스 요소’다.
클라우드의 보안 문제라고 하는 것을 뿌리로 거슬러 올라가다보면 대부분 ‘가시성’에 기인한다는 것을 알 수 있다. 클라우드 보안 연맹(Cloud Security Alliance, CSA)의 최근 보고서에 의하면 공공 클라우드에 자산을 저장하고 있는 기업들의 3/4가 “가시성을 제대로 확보할 수 없는 것이 가장 큰 문제”라고 짚었다.
‘가시성’이 문제라는 건, 보지 못하는 부분이 많다는 뜻이다. 해결되지 않는 사각지대가 꽤나 있다는 건데, 이번 주 주말판에서는 클라우드 내 존재하는 주요 사각지대가 무엇인지 짚어보았다.
1. 비즈니스 매니지드 IT
얼마 전까지 보안의 큰 위협으로 꼽히던 요소 중에 ‘은둔의 IT(Shadows IT)’나 ‘나쁜 IT(Rogue IT)’라는 것이 있었다. 그런데 해외에서는 이 두 가지 용어가 점점 사라지고 있는 추세다. ‘비즈니스 매니지드 IT(Business-managed IT)’라는 말로 대체가 되었기 때문이다. 이는 ‘사업과 생산을 담당하는 직원들이 사용하는 IT 기술’을 말한다. 대부분 클라우드를 기반으로 하고 있는 애플리케이션이나 서비스의 형태로 제공된다.
문제는 많은 조직들에서 이 비즈니스 매니지드 IT를 혁신의 추진제와 같이 사용한다는 것이다. ‘2019년 하비 내시 KPMG CIO 조사(Harvey Nash/KPMG CIO Survey 2019)’에 의하면 2/3이 넘는 조직들이 ‘비즈니스 매니지드 IT’의 사용을 적극 권장하고 있다고 한다. ‘은둔의 IT’라는 말이 사라진 이유가 바로 여기에 있다. 그런 음침한 이름을 해서는 권장이 힘들기 때문이다. 게다가 비즈니스 매니지드 IT를 적극 활용한 조직이 그렇지 않은 조직을 경쟁에서 이길 확률이 52%나 된다고 한다.
그러니 비즈니스 매니지드 IT 혹은 前 ‘은둔의 IT’가 홍수처럼 쏟아져 들어오는 걸 막을 길이 없게 됐다. 은둔의 IT였을 땐 ‘막아서자’라는 말이 통했는데, 윗선에서 밀어주는 비즈니스 매니지드 IT가 되니 그런 교육을 할 수가 없게 됐다. 그러면서 클라우드 구조 내로 사각지대 그 자체인 것들이 우후죽순으로 생겨나기 시작했다. 이런 기업들은 혁신의 속도가 높은 만큼, 위험에 처할 가능성도 높아진다.
2. 클라우드 환경설정
‘서비스형 인프라(IaaS)’와 클라우드 데이터 저장소의 설정 실수 때문에 수많은 데이터가 외부로 노출되는 일이 수년 전부터 비일비재하다. 해커들이 외부에서부터 공격해 빼내가는 데이터보다, 클라우드 관리를 못해서 내주는 데이터가 훨씬 더 많을 정도다.
흔한 환경설정 오류는 다음과 같다.
1) 클라우드 서비스 업체가 제공하는 보안 디폴트 옵션을 해제한다.
2) 추측하기 쉬운 디폴트 비밀번호를 바꾸지 않고 그대로 사용한다.
3) 특정 서비스들에 대한 접근 금지 옵션을 해제하고 전체 공개로 바꾼다.
4) 전체 공개로 해놓고 작업을 마친 뒤, 다시 비공개로 하는 것을 잊는다.
이런 실수 때문에 노출되는 정보는 어마어마한 양이고, 이런 사고는 늘 헤드라인을 장식한다. 사이버 범죄자들 중 이렇게 노출된 서버를 전문적으로 찾아내는 부류도 존재한다. 공격에 당한 게 아니라 이런 실수로 데이터가 유출된 경우 기업의 명성과 고객의 신뢰는 더 크게 떨어진다. 최근 발표된 ‘2019년 클라우드 보안 보고서(2019 Cloud Security Report)’에 의하면 조직의 40%가 환경설정 오류를 가장 큰 골칫거리로 꼽았다.
3. 하이브리드 아키텍처
CSA의 보고서에 의하면 조직들 중 55% 정도가 복잡한 클라우드 컴퓨팅 환경에서 업무를 진행하고 있다. 여기서 말하는 ‘복잡한’ 클라우드 컴퓨팅 환경이란 ‘온프레미스’ 반, ‘클라우드’ 반 섞인 하이브리드 체제를 말한다. 하이브리드 체제의 장점은, 거대한 조직이 클라우드 체제로 부드럽게 옮겨갈 수 있게 해준다는 것이다. 이는 클라우드에 대한 거부감을 완화시켜주는 거대한 장점이다.
그러나 ‘하이브리드’를 ‘복잡하다’고 표현하는 건 보안 담당자 입장에서 굉장히 적절하다. 복잡할수록 보안이 어려워지는데, 하이브리드 체제가 가시성이란 측면에서 큰 어려움을 제공하기 때문이다. 이런 복잡한 구조 속에서, 전체 아키텍처를 가로지르며 자산을 추적하고, 관계자들의 행위를 모니터링하는 건 난이도가 대단히 높은 작업이다. 방화벽 전문 업체 파이어몬(Firemon)이 올해 발표한 자료에 의하면 80%의 조직들이 하이브리드 환경 내에서 보안을 강화하는 게 어렵다고 답했었다.
4. 멀티클라우드
CSA의 보고서에 의하면 앞으로 멀티클라우드 환경이 대세가 될 것이라고 한다. 즉 아마존, 마이크로소프트, IBM, 구글 등 다양한 업체의 클라우드 서비스를 복합적으로 사용하기 시작한 조직들이 급증했다는 것이다. 클라우드 사용 조직들 중 66%가 이미 멀티클라우드 환경을 유지하고 있고, 36%가 멀티클라우드이면서 하이브리드 아키텍처를 활용하고 있다고 한다.
이 때문에 보안은 더욱 힘들어진다. 보안 업체 시큐로시스(Securosis)의 분석가인 리치 모굴(Rich Mogull)은 “클라우드 환경과 아키텍처마다 보안 모델과 제어 방법이 다 다르고, 그에 대한 상세한 설명서조차 없는 경우가 많다”고 설명한다. “호환성은 당연히 제로에 가깝습니다. 클라우드가 일원화 되지 않는 순간 보안의 어려움은 치솟습니다.”
모굴은 “멀티클라우드나 하이브리드 클라우드 체제에서의 보안 문제를 강연 몇 주 듣고 해결할 수 있다고 소개하는 사람들이 있는데, 이런 사람들은 둘 중 하나”라고 말한다. “거짓말쟁이 사기꾼이거나 클라우드에 대해 무지한 사람이죠. 한 개의 클라우드 환경에 구축된 보안 체제를 전부 이해하는 데에도 수년의 경험이 필요한 게 현실입니다.”
5. 컨테이너와 컨테이너 오케스트레이션
워크로드를 컨테이너에 분산시키고, 그 분산된 컨테이너를 오케스트레이션 기술로 통합하는 기술과 작업 프로세스의 인기가 하늘 높은 줄 모르고 올라가고 있다. 유연성과 확장성이란 측면에서 필적할 기술이 없기 때문이다. 특히 지속적 통합(CI)과 지속적 배포(CD)가 소프트웨어 개발의 가장 중요한 개념이 되면서 컨테이너만큼 적절한 기술은 현존하지 않는다는 인식이 뿌리를 내릴 정도가 되었다.
그러면서 큐버네티스(Kubernetes)라는 플랫폼이 시장의 강자로 자리를 잡아가고 있다. 하지만 새로운 플랫폼들은 늘 새로운 문제를 들고 나타난다. 큐버네티스에서도 환경설정 오류 문제와 취약점들이 하나 둘 드러나기 시작했다. 모든 신기술이 겪는 자연스러운 현상이다. 다만 보안 전문가들이 큐버네티스 기술을 이해하는 속도보다 더 빠르게 이런 약점들이 나오기 시작했다는 것이 문제다.
그렇기 때문에 큐버네티스도 점점 편리한 플랫폼에서 불안한 사각지대로 변해가고 있다. 보안 업체 스택록스(StackRox)에 의하면 “컨테이너 환경 보안 전략을 구축한다는 측면에서 40%의 조직들이 기초 단계 혹은 시작 단계에 머물러 있다”고 한다. 19%는 아예 전략이 없는 상태다.
6. 다크 데이터(dark data)
다크 데이터란 분류가 되지 않거나 관리되지 않는 데이터를 말한다. 이는 현대 기업들 모두에 있어 거대한 문제로 남아있다. 온프레미스 환경이나 클라우드 환경이나 하이브리드 클라우드 환경이나 마찬가지다. 다크 데이터는 조직 입장에서 인지하지도 못하고 있는 자산일 때가 많은데, 인지하지 못하는 걸 보호할 수는 없는 노릇이기 때문에 다크 데이터를 최대한 빨리 알아내고 관리 체제 아래 편입시키는 것이 우선이다.
시장 조사 기관인 밴슨본(Vanson Bourne)에 의하면 다크 데이터는 공공 클라우드 환경에서 특히나 치명적인 문제가 될 수 있다고 한다. “공공 클라우드 데이터를 항목화 하여 보관하는 경우가 절반도 되지 않기 때문입니다.”
7. 포렌식과 위협 사냥
포렌식과 위협 사냥에 사용되는 텔레메트리가 클라우드의 가장 큰 사각지대로 작용하는 경우도 많다. 제일 먼저는 여러 클라우드 자원들로부터 ‘올바른 정보’를 입수하는 데에 어려움이 있다. 이 부분을 해결했다고 하더라도, 그 수많은 올바른 정보들을 통합하고 하나의 의미로 엮어내는 건 그 자체로 악몽과 같다고 한다. 사건에 대응해야 하고, 최대한 빨리 위협을 찾아내 없애야 하는 전문가들에게 있어 이런 상황은 그 자체로 사각지대가 된다.
산스 인스티튜트(SANS Institute)가 조사한 바에 의하면 클라우드 서비스로부터 포렌식에 사용할 만한 정보를 수집하는 건 굉장히 ‘짜증스러운 일’이라고 절반 이상의 조직들이 답했다고 한다. 공공 클라우드 환경에서 사건 대응 툴이 제대로 접목되고 있다고 말한 조직은 1/3도 되지 않았다.
[국제부 문가용 기자(globoan@boannews.com)]
보이지 않는 걸 지킬 수는 없는데...각종 자산과 사용자는 점점 보이지 않게 돼
[보안뉴스 문가용 기자] 클라우드 컴퓨팅이 IT 서비스 배포를 위한 표준 기술로 자리를 꽤나 많이 차지하고 있다. 엔터프라이즈 스트래티지 그룹(Enterprise Strategy Group, ESG)이 발표한 ‘2019 공공 클라우드 트렌드(2019 Public Cloud Trends)’ 보고서에 의하면 지난 8년 동안 서비스형 인프라(IaaS)를 도입한 기업은 17%에서 58%로 증가했다고 한다. 심지어 ‘클라우드 우선’ 전략을 도입한 조직이 39%나 되고 있다.
[이미지 = iclickart]
클라우드가 혁신에 있어서는 꽤나 유용한 도구인 것은 맞다. 그러나 보안 담당자들에게 있어 클라우드는 악몽과 같다. 테두리라는 게 없어졌으니 그럴 만도 하다. 또한 클라우드가 아직 신기술이기 때문에 기술, 아키텍처, 사용처와 방법이 계속해서 변하고 있다는 것도 보안의 관점에서는 ‘마이너스 요소’다.
클라우드의 보안 문제라고 하는 것을 뿌리로 거슬러 올라가다보면 대부분 ‘가시성’에 기인한다는 것을 알 수 있다. 클라우드 보안 연맹(Cloud Security Alliance, CSA)의 최근 보고서에 의하면 공공 클라우드에 자산을 저장하고 있는 기업들의 3/4가 “가시성을 제대로 확보할 수 없는 것이 가장 큰 문제”라고 짚었다.
‘가시성’이 문제라는 건, 보지 못하는 부분이 많다는 뜻이다. 해결되지 않는 사각지대가 꽤나 있다는 건데, 이번 주 주말판에서는 클라우드 내 존재하는 주요 사각지대가 무엇인지 짚어보았다.
1. 비즈니스 매니지드 IT
얼마 전까지 보안의 큰 위협으로 꼽히던 요소 중에 ‘은둔의 IT(Shadows IT)’나 ‘나쁜 IT(Rogue IT)’라는 것이 있었다. 그런데 해외에서는 이 두 가지 용어가 점점 사라지고 있는 추세다. ‘비즈니스 매니지드 IT(Business-managed IT)’라는 말로 대체가 되었기 때문이다. 이는 ‘사업과 생산을 담당하는 직원들이 사용하는 IT 기술’을 말한다. 대부분 클라우드를 기반으로 하고 있는 애플리케이션이나 서비스의 형태로 제공된다.
문제는 많은 조직들에서 이 비즈니스 매니지드 IT를 혁신의 추진제와 같이 사용한다는 것이다. ‘2019년 하비 내시 KPMG CIO 조사(Harvey Nash/KPMG CIO Survey 2019)’에 의하면 2/3이 넘는 조직들이 ‘비즈니스 매니지드 IT’의 사용을 적극 권장하고 있다고 한다. ‘은둔의 IT’라는 말이 사라진 이유가 바로 여기에 있다. 그런 음침한 이름을 해서는 권장이 힘들기 때문이다. 게다가 비즈니스 매니지드 IT를 적극 활용한 조직이 그렇지 않은 조직을 경쟁에서 이길 확률이 52%나 된다고 한다.
그러니 비즈니스 매니지드 IT 혹은 前 ‘은둔의 IT’가 홍수처럼 쏟아져 들어오는 걸 막을 길이 없게 됐다. 은둔의 IT였을 땐 ‘막아서자’라는 말이 통했는데, 윗선에서 밀어주는 비즈니스 매니지드 IT가 되니 그런 교육을 할 수가 없게 됐다. 그러면서 클라우드 구조 내로 사각지대 그 자체인 것들이 우후죽순으로 생겨나기 시작했다. 이런 기업들은 혁신의 속도가 높은 만큼, 위험에 처할 가능성도 높아진다.
2. 클라우드 환경설정
‘서비스형 인프라(IaaS)’와 클라우드 데이터 저장소의 설정 실수 때문에 수많은 데이터가 외부로 노출되는 일이 수년 전부터 비일비재하다. 해커들이 외부에서부터 공격해 빼내가는 데이터보다, 클라우드 관리를 못해서 내주는 데이터가 훨씬 더 많을 정도다.
흔한 환경설정 오류는 다음과 같다.
1) 클라우드 서비스 업체가 제공하는 보안 디폴트 옵션을 해제한다.
2) 추측하기 쉬운 디폴트 비밀번호를 바꾸지 않고 그대로 사용한다.
3) 특정 서비스들에 대한 접근 금지 옵션을 해제하고 전체 공개로 바꾼다.
4) 전체 공개로 해놓고 작업을 마친 뒤, 다시 비공개로 하는 것을 잊는다.
이런 실수 때문에 노출되는 정보는 어마어마한 양이고, 이런 사고는 늘 헤드라인을 장식한다. 사이버 범죄자들 중 이렇게 노출된 서버를 전문적으로 찾아내는 부류도 존재한다. 공격에 당한 게 아니라 이런 실수로 데이터가 유출된 경우 기업의 명성과 고객의 신뢰는 더 크게 떨어진다. 최근 발표된 ‘2019년 클라우드 보안 보고서(2019 Cloud Security Report)’에 의하면 조직의 40%가 환경설정 오류를 가장 큰 골칫거리로 꼽았다.
3. 하이브리드 아키텍처
CSA의 보고서에 의하면 조직들 중 55% 정도가 복잡한 클라우드 컴퓨팅 환경에서 업무를 진행하고 있다. 여기서 말하는 ‘복잡한’ 클라우드 컴퓨팅 환경이란 ‘온프레미스’ 반, ‘클라우드’ 반 섞인 하이브리드 체제를 말한다. 하이브리드 체제의 장점은, 거대한 조직이 클라우드 체제로 부드럽게 옮겨갈 수 있게 해준다는 것이다. 이는 클라우드에 대한 거부감을 완화시켜주는 거대한 장점이다.
그러나 ‘하이브리드’를 ‘복잡하다’고 표현하는 건 보안 담당자 입장에서 굉장히 적절하다. 복잡할수록 보안이 어려워지는데, 하이브리드 체제가 가시성이란 측면에서 큰 어려움을 제공하기 때문이다. 이런 복잡한 구조 속에서, 전체 아키텍처를 가로지르며 자산을 추적하고, 관계자들의 행위를 모니터링하는 건 난이도가 대단히 높은 작업이다. 방화벽 전문 업체 파이어몬(Firemon)이 올해 발표한 자료에 의하면 80%의 조직들이 하이브리드 환경 내에서 보안을 강화하는 게 어렵다고 답했었다.
4. 멀티클라우드
CSA의 보고서에 의하면 앞으로 멀티클라우드 환경이 대세가 될 것이라고 한다. 즉 아마존, 마이크로소프트, IBM, 구글 등 다양한 업체의 클라우드 서비스를 복합적으로 사용하기 시작한 조직들이 급증했다는 것이다. 클라우드 사용 조직들 중 66%가 이미 멀티클라우드 환경을 유지하고 있고, 36%가 멀티클라우드이면서 하이브리드 아키텍처를 활용하고 있다고 한다.
이 때문에 보안은 더욱 힘들어진다. 보안 업체 시큐로시스(Securosis)의 분석가인 리치 모굴(Rich Mogull)은 “클라우드 환경과 아키텍처마다 보안 모델과 제어 방법이 다 다르고, 그에 대한 상세한 설명서조차 없는 경우가 많다”고 설명한다. “호환성은 당연히 제로에 가깝습니다. 클라우드가 일원화 되지 않는 순간 보안의 어려움은 치솟습니다.”
모굴은 “멀티클라우드나 하이브리드 클라우드 체제에서의 보안 문제를 강연 몇 주 듣고 해결할 수 있다고 소개하는 사람들이 있는데, 이런 사람들은 둘 중 하나”라고 말한다. “거짓말쟁이 사기꾼이거나 클라우드에 대해 무지한 사람이죠. 한 개의 클라우드 환경에 구축된 보안 체제를 전부 이해하는 데에도 수년의 경험이 필요한 게 현실입니다.”
5. 컨테이너와 컨테이너 오케스트레이션
워크로드를 컨테이너에 분산시키고, 그 분산된 컨테이너를 오케스트레이션 기술로 통합하는 기술과 작업 프로세스의 인기가 하늘 높은 줄 모르고 올라가고 있다. 유연성과 확장성이란 측면에서 필적할 기술이 없기 때문이다. 특히 지속적 통합(CI)과 지속적 배포(CD)가 소프트웨어 개발의 가장 중요한 개념이 되면서 컨테이너만큼 적절한 기술은 현존하지 않는다는 인식이 뿌리를 내릴 정도가 되었다.
그러면서 큐버네티스(Kubernetes)라는 플랫폼이 시장의 강자로 자리를 잡아가고 있다. 하지만 새로운 플랫폼들은 늘 새로운 문제를 들고 나타난다. 큐버네티스에서도 환경설정 오류 문제와 취약점들이 하나 둘 드러나기 시작했다. 모든 신기술이 겪는 자연스러운 현상이다. 다만 보안 전문가들이 큐버네티스 기술을 이해하는 속도보다 더 빠르게 이런 약점들이 나오기 시작했다는 것이 문제다.
그렇기 때문에 큐버네티스도 점점 편리한 플랫폼에서 불안한 사각지대로 변해가고 있다. 보안 업체 스택록스(StackRox)에 의하면 “컨테이너 환경 보안 전략을 구축한다는 측면에서 40%의 조직들이 기초 단계 혹은 시작 단계에 머물러 있다”고 한다. 19%는 아예 전략이 없는 상태다.
6. 다크 데이터(dark data)
다크 데이터란 분류가 되지 않거나 관리되지 않는 데이터를 말한다. 이는 현대 기업들 모두에 있어 거대한 문제로 남아있다. 온프레미스 환경이나 클라우드 환경이나 하이브리드 클라우드 환경이나 마찬가지다. 다크 데이터는 조직 입장에서 인지하지도 못하고 있는 자산일 때가 많은데, 인지하지 못하는 걸 보호할 수는 없는 노릇이기 때문에 다크 데이터를 최대한 빨리 알아내고 관리 체제 아래 편입시키는 것이 우선이다.
시장 조사 기관인 밴슨본(Vanson Bourne)에 의하면 다크 데이터는 공공 클라우드 환경에서 특히나 치명적인 문제가 될 수 있다고 한다. “공공 클라우드 데이터를 항목화 하여 보관하는 경우가 절반도 되지 않기 때문입니다.”
7. 포렌식과 위협 사냥
포렌식과 위협 사냥에 사용되는 텔레메트리가 클라우드의 가장 큰 사각지대로 작용하는 경우도 많다. 제일 먼저는 여러 클라우드 자원들로부터 ‘올바른 정보’를 입수하는 데에 어려움이 있다. 이 부분을 해결했다고 하더라도, 그 수많은 올바른 정보들을 통합하고 하나의 의미로 엮어내는 건 그 자체로 악몽과 같다고 한다. 사건에 대응해야 하고, 최대한 빨리 위협을 찾아내 없애야 하는 전문가들에게 있어 이런 상황은 그 자체로 사각지대가 된다.
산스 인스티튜트(SANS Institute)가 조사한 바에 의하면 클라우드 서비스로부터 포렌식에 사용할 만한 정보를 수집하는 건 굉장히 ‘짜증스러운 일’이라고 절반 이상의 조직들이 답했다고 한다. 공공 클라우드 환경에서 사건 대응 툴이 제대로 접목되고 있다고 말한 조직은 1/3도 되지 않았다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
