.gif)
클라우드 내 자원의 평균 수명 매우 짧아...기존 보안의 속도로는 늦어
IT 기술 교육 때 정보보안 과정 필수적으로 들어가야
[보안뉴스 문가용 기자] 클라우드 자원의 평균 수명은 127분이다. 기존의 보안 전략들로는 이 빠른 변화에 대응할 수가 없다. 그런데 공공 클라우드에 있는 데이터베이스의 82%가 암호화 장치도 없이 운영되고 있다고 한다. 클라우드 보안 전문업체인 레드락(RedLock)의 보안 첩보 팀이 발표한 보고서인 “클라우드 기반구조 보안 트렌드”에 따른 내용이다.
.jpg)
[이미지 = iclickart]
레드락에서는 1백만 개가 넘는 클라우드 자원들을 분석했고, 이 과정에서 12 페타바이트 분량의 네트워크 트래픽을 처리했으며, 공공 클라우드 구조의 오류를 찾아내는 작업을 진행했다. 레드락은 480만 건의 기록들을 발견해냈는데, 여기에는 건강정보, 개인식별정보 등도 포함되어 있었다. 공공 클라우드를 조금 뒤지니 민감한 정보들을 캐낼 수 있었다는 뜻이다.
레드락의 CEO 바룬 바드워(Varun Badhwar)는 “우리가 공공 클라우드에서 그 많은 데이터를 얻어낼 수 있었던 건 암호화 장치가 하나도 되어있지 않았기 때문”이라고 설명한다. “요즘 같은 때에 공공 클라우드에서 데이터베이스를 운영하면서, 암호화도 적용하지 않았다는 건 ‘난 데이터에 아무런 신경 쓰고 있지 않으니 아무나 필요하면 가져가달라’고 말하는 꼴이죠.”
바룬은 암호화의 책임이 클라우드 사업자가 아니라 사용자에게 있다고 주장한다. “공공 클라우드 서비스 공급자들은 데이터센터 자체에 대한 보안 책임을 가지고 있지만, 클라우드 내 애플리케이션, 콘텐츠, 시스템, 네트워크 등은 사용자가 암호화를 해가면서 운영해야죠. 그런 게 다 회사 자산인데, 자산을 하나하나 생판 남인 클라우드 업체에게 보호해달라고 하는 것 자체가 말이 되지 않습니다.”
그말이 맞든 틀리든, 사용자들은 이 점을 잘 인지하지 못하고 있다. 실제 공공 클라우드에 있는 데이터베이스들 중 82%가 암호화 되어있지 않으니 말이다. 31%는 데이터센터 내로 들어오는 인터넷 트래픽을 허용하고 있기도 했다. 또 공공 클라우드 내 네트워크 트래픽의 51%는 디폴트 웹 포트(80번) 상에서 이뤄지고 있고, 공공 클라우드 내 자원 중 93%가 방화벽 규칙도 없이 운영되고 있다고 한다. 이 정도면 보안이 거의 고려되어 있지 않은 상태라고 봐도 무방할 정도.
“공공 클라우드에서 아무도 자신의 데이터베이스로 들어오지 못하게 하려면 네트워크, 환경설정, 사용자 층위들에 대한 통제를 할 수 있어야 합니다. 그래야 들어오기도 힘들고 뭔가를 빼내가기는 더 힘들어집니다. 아니, 이건 기본입니다. 아무도 집 대문 활짝 열어놓고 다니지 않는 것처럼 말입니다.” 바드워의 설명이다.
전통의 온프레미스 환경에서 클라우드로 살금살금 옮겨가는 기업들이 늘어나고 있다. 이는 온프레미스 환경에서 익숙해져 있던 보안 장치 및 정책들로부터 떠나고 있다는 이야기와도 같다. “특히 클라우드를 사용하는 개발자들이 클라우드를 너무 ‘편리하게만’ 사용하고 있습니다. 그들이 만드는 코드가 이전 온프레미스 환경에서 한 번 나오려면 얼마나 엄격한 검사를 받았습니까? 클라우드를 만나고서는 그런 관리 체계가 없어졌죠. 그러니 클라우드 자산 평균 수명이 127분인 겁니다.”
이 127분이란 시간은 보안에 있어 ‘새로운 영역’이다. “그 정도 시간이라면 클라우드 고객들이 보안에 대한 어떤 조치를 취하고 싶어도 취할 수가 없죠. 개발자들이 너무나 빠르게 자신들이 만든 코드를, 노출되다시피 한 클라우드 환경으로 내보내고 있습니다. 기존 보안 솔루션들 중 이 정도 속도에 대응할 수 있는 건 없습니다.”
개발자 육성 교육 과정에 정보보안이 없어왔기 때문에 이런 일이 발생하는 거라고 그는 설명한다. “이제 IT 관련 전문 기술을 배우는 사람이라면 정보보안 혹은 클라우드 보안을 기본으로 배워야 한다고 생각합니다. 이는 현재 학교에서 교육을 받고 있는 청소년들을 비롯해, 이미 현업에 있는 사람들도 전부 포함하는 말입니다.”
그는 국제적인 정보보안 교육 기관인 (ISC)2와 클라우드 보안 동맹(Cloud Security Alliance)에서 운영하는 CCSP(Certified Cloud Security Professional) 과정을 추천한다. “클라우드라는 것 자체도 이미 새로운 IT 기술의 영역입니다. 그리고 다가오는 미래이기도 하고요. 이를 보안의 관점에서 바라보고 관리할 수 있어야 클라우드가 약속한 가치를 다 누릴 수 있게 됩니다. 지금과 같은 추세로는 클라우드에서 사고만 날 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
IT 기술 교육 때 정보보안 과정 필수적으로 들어가야
[보안뉴스 문가용 기자] 클라우드 자원의 평균 수명은 127분이다. 기존의 보안 전략들로는 이 빠른 변화에 대응할 수가 없다. 그런데 공공 클라우드에 있는 데이터베이스의 82%가 암호화 장치도 없이 운영되고 있다고 한다. 클라우드 보안 전문업체인 레드락(RedLock)의 보안 첩보 팀이 발표한 보고서인 “클라우드 기반구조 보안 트렌드”에 따른 내용이다.
[이미지 = iclickart]
레드락에서는 1백만 개가 넘는 클라우드 자원들을 분석했고, 이 과정에서 12 페타바이트 분량의 네트워크 트래픽을 처리했으며, 공공 클라우드 구조의 오류를 찾아내는 작업을 진행했다. 레드락은 480만 건의 기록들을 발견해냈는데, 여기에는 건강정보, 개인식별정보 등도 포함되어 있었다. 공공 클라우드를 조금 뒤지니 민감한 정보들을 캐낼 수 있었다는 뜻이다.
레드락의 CEO 바룬 바드워(Varun Badhwar)는 “우리가 공공 클라우드에서 그 많은 데이터를 얻어낼 수 있었던 건 암호화 장치가 하나도 되어있지 않았기 때문”이라고 설명한다. “요즘 같은 때에 공공 클라우드에서 데이터베이스를 운영하면서, 암호화도 적용하지 않았다는 건 ‘난 데이터에 아무런 신경 쓰고 있지 않으니 아무나 필요하면 가져가달라’고 말하는 꼴이죠.”
바룬은 암호화의 책임이 클라우드 사업자가 아니라 사용자에게 있다고 주장한다. “공공 클라우드 서비스 공급자들은 데이터센터 자체에 대한 보안 책임을 가지고 있지만, 클라우드 내 애플리케이션, 콘텐츠, 시스템, 네트워크 등은 사용자가 암호화를 해가면서 운영해야죠. 그런 게 다 회사 자산인데, 자산을 하나하나 생판 남인 클라우드 업체에게 보호해달라고 하는 것 자체가 말이 되지 않습니다.”
그말이 맞든 틀리든, 사용자들은 이 점을 잘 인지하지 못하고 있다. 실제 공공 클라우드에 있는 데이터베이스들 중 82%가 암호화 되어있지 않으니 말이다. 31%는 데이터센터 내로 들어오는 인터넷 트래픽을 허용하고 있기도 했다. 또 공공 클라우드 내 네트워크 트래픽의 51%는 디폴트 웹 포트(80번) 상에서 이뤄지고 있고, 공공 클라우드 내 자원 중 93%가 방화벽 규칙도 없이 운영되고 있다고 한다. 이 정도면 보안이 거의 고려되어 있지 않은 상태라고 봐도 무방할 정도.
“공공 클라우드에서 아무도 자신의 데이터베이스로 들어오지 못하게 하려면 네트워크, 환경설정, 사용자 층위들에 대한 통제를 할 수 있어야 합니다. 그래야 들어오기도 힘들고 뭔가를 빼내가기는 더 힘들어집니다. 아니, 이건 기본입니다. 아무도 집 대문 활짝 열어놓고 다니지 않는 것처럼 말입니다.” 바드워의 설명이다.
전통의 온프레미스 환경에서 클라우드로 살금살금 옮겨가는 기업들이 늘어나고 있다. 이는 온프레미스 환경에서 익숙해져 있던 보안 장치 및 정책들로부터 떠나고 있다는 이야기와도 같다. “특히 클라우드를 사용하는 개발자들이 클라우드를 너무 ‘편리하게만’ 사용하고 있습니다. 그들이 만드는 코드가 이전 온프레미스 환경에서 한 번 나오려면 얼마나 엄격한 검사를 받았습니까? 클라우드를 만나고서는 그런 관리 체계가 없어졌죠. 그러니 클라우드 자산 평균 수명이 127분인 겁니다.”
이 127분이란 시간은 보안에 있어 ‘새로운 영역’이다. “그 정도 시간이라면 클라우드 고객들이 보안에 대한 어떤 조치를 취하고 싶어도 취할 수가 없죠. 개발자들이 너무나 빠르게 자신들이 만든 코드를, 노출되다시피 한 클라우드 환경으로 내보내고 있습니다. 기존 보안 솔루션들 중 이 정도 속도에 대응할 수 있는 건 없습니다.”
개발자 육성 교육 과정에 정보보안이 없어왔기 때문에 이런 일이 발생하는 거라고 그는 설명한다. “이제 IT 관련 전문 기술을 배우는 사람이라면 정보보안 혹은 클라우드 보안을 기본으로 배워야 한다고 생각합니다. 이는 현재 학교에서 교육을 받고 있는 청소년들을 비롯해, 이미 현업에 있는 사람들도 전부 포함하는 말입니다.”
그는 국제적인 정보보안 교육 기관인 (ISC)2와 클라우드 보안 동맹(Cloud Security Alliance)에서 운영하는 CCSP(Certified Cloud Security Professional) 과정을 추천한다. “클라우드라는 것 자체도 이미 새로운 IT 기술의 영역입니다. 그리고 다가오는 미래이기도 하고요. 이를 보안의 관점에서 바라보고 관리할 수 있어야 클라우드가 약속한 가치를 다 누릴 수 있게 됩니다. 지금과 같은 추세로는 클라우드에서 사고만 날 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
