공유 책임 모델 이해를 통해 스택의 책임 유무를 가려내기

[보안뉴스 위아람 기자] 클라우드가 대세라는 말이 지겨울 정도로 세상은 급속도로 디지털 전환의 시대를 맞이하고 있다. <보안뉴스>가 2022년 보안 핫키워드로 ‘클라우드 확산에 따른 보안 위협’을 다룬 것도 그 일환이다.


[이미지=utoimage]

본지가 마련한 [클라우드 보안 따라잡기] 코너는 클라우드로의 전환이 급속도로 진행되는 상황에서 꼭 알아야 할 보안이슈를 다룬다. 이번 시간은 클라우드 보안의 본질적인 문제인 공유 책임 모델에 대해 살펴본다.

클라우드 보안이란 데이터, 애플리케이션, 인프라 서비스를 보호하기 위한 정책, 기술을 말한다. 보안 조치를 통해 사이버 보안 위협과 취약성으로부터 클라우드 컴퓨팅 환경을 보호할 수 있다.

기업은 온프레미스 환경이 현재의 원격근무 환경에 걸맞지 않아 클라우드로 마이그레이션하는 경향이 강해지고 있다. 또한, 디지털 변환 이니셔티브를 가속화하기 위해 노력 중이다. 해커들은 이러한 트렌드를 파고들어 공격을 시도할 기회를 만들어내고 있다.

보안 우선 문화 중시해야...공유책임 모델의 이해
기업은 디지털 방식으로 운영을 전환하는 과정에서 보안 문제를 뒤로 미뤄놓기도 한다. 이미 입증된 모범사례를 사용하지 않아 위험을 정확하게 평가하고 관리하는 것을 어렵게 만들기도 한다. 기업은 클라우드를 사용함에 있어 ‘보안 우선’ 문화를 중시해 적극적으로 육성하는 방안을 모색해야 한다.

클라우드 보안은 ‘공유 책임 모델’을 통해 클라우드 공급자와 고객 간에 의사소통을 진행한다. 클라우드 공유 보안 책임 모델은 서비스 공급자와 구독자 간에 해당하는 클라우드 보안 및 위험관리 구조다. 이 과정에서 중요한 것은 공유 책임 모델의 개념을 명확하게 이해하는 것이다.

안타깝게도 많은 경우 공유 책임 모델은 기업 내에서 간과되는 경향이 있다. 실제로 기업보안 책임자의 8%만이 SaaS(서비스로서의 소프트웨어) 보안과 클라우드 서비스 공급자 보안에서 자신의 역할을 완전히 이해하고 있다.

클라우드에서 사고가 발생할 경우 그 책임은 누구에게 있을까? 클라우드 서비스 공급자는 유형별 분류를 통해 책임에 대한 가이드를 제시한다. AWS(아마존웹서비스)는 IaaS(서비스로서의 인프라)의 경우 데이터와 애플리케이션, OS에서 발생하는 문제를 고객 책임으로 본다. 서버, 스토리지, 네트워크, 피지컬에서 발생하는 문제는 클라우드 서비스 공급자의 책임으로 본다. PaaS(서비스로서의 플랫폼), SaaS로 갈수록 클라우드 서비스 제공자의 책임이 늘어나는 경향이 있다.

기업들은 워크로드와 데이터를 클라우드로 이동할 때 다양한 클라우드 보안도구를 제공받는다. 이러한 도구 중 일부는 맞춤형 지침과 함께 제공되고 때로는 개별 서비스로 제공된다. 클라우드 사용자와 관리자는 클라우드 보안 서비스가 작동하는 방식, 올바르게 구성하는 방법, 클라우드 배포를 유지하는 방법을 알고 있어야 한다.

보안 책임과 신뢰 공유의 원칙...자동화 및 머신러닝 중요
클라우드를 사용하는 동안 보안 옵션이 부족하고 설정이 복잡하면 사용자가 설정하는 데 있어 실수를 저지르기 쉽다. 이러한 상황에서는 해커들이 설정 오류로 발생한 취약점을 공략해 클라우드 상에서 제공되는 서비스의 운영권한을 탈취하거나 데이터를 빼앗기는 등의 사고가 발생할 수 있다.

이러한 상황을 방지하기 위해서는 ‘보안 책임과 신뢰 공유의 원칙’을 지켜야 한다. 신뢰는 공유 보안 모델의 목표를 유지하기 위해 클라우드 파트너를 선택하는 데 있어 가장 중요한 요소다. 조직은 역할과 책임을 명확하게 이해하고 독립적인 타사 보안 감사 및 증명에 액세스할 수 있어야 한다.

또한, 자동화 및 머신러닝도 중요한 요소다. 기존의 엔터프라이즈 보안이 사람의 속도로 느리게 분석하고 대응하는 동안 클라우드에 대한 위협은 인공지능을 이용해 빠르게 움직이고 있다. 이 때문에 클라우드 환경의 최신 보안정책은 위협 감지 및 대응을 자동화할 필요가 있다. 지능형 위협에는 머신러닝을 통해 위협 예측, 예방, 탐지 및 대응에 새로운 수준의 정교함을 제공하는 보안 솔루션이 필요하다.

지속적인 규정 준수가 이뤄지지 않으면 보안 정책이 올바르게 적용될 수 없다. 규정 준수는 선택사항이 아니며 보안과 동일한 언어로 이뤄져 있지 않다. 조직은 구성 오류로 인해 보안사항을 위반하지 않고도 규정 준수를 위반할 수 있다. 기업은 클라우드 환경 전반에 걸쳐 포괄적인 규정 준수 데이터를 제공하는 관리 솔루션을 갖추는 것이 필수적이다.

기본으로 설정된 보안이 잘못되면 모든 보안 정책은 무위로 돌아간다. 보안 제어는 기업에서 유지하도록 요구하는 것이 아니라 클라우드 공급자가 기본적으로 활성화해야 한다. 데이터 암호화는 기본적으로 작동해야 한다. 클라우드 전반에 걸쳐 일관된 데이터 보호 제어 및 정책을 시행해야 한다.

‘꾸준한 모니터링’도 클라우드 보안 성공을 위해 필수적이다. 클라우드 구획에 대한 보안정책은 관리자가 안전한 워크로드를 지원할 수 있도록 설정하고 시행해야 한다. 클라우드 보안 상태에 대한 통합적 관찰은 잘못 구성된 리소스 및 안전하지 않은 활동을 감지하는 데 필수적이다.

클라우드 보안을 철저하게 엄수하기 위해서는 ‘업무 분리와 최소 권한 액세스 원칙’을 고수해야 한다. 업무 분리 및 최소 권한 액세스 원칙은 클라우드 환경에서 구현돼야 하는 보안 모범 사례다. 그렇게 하면 개인에게 과도한 관리 권한이 제공되지 않고 추가 승인 없이 민감한 데이터에 액세스할 수 없다.

디지털 혁신을 통해 재택근무가 일반화됨에 따라 클라우드 채택이 가속화되고 있다. 기업은 클라우드 환경 보안의 복잡성을 예상하고 탐색해야 한다. 전체 클라우드 스택에 자동으로 내장되도록 보안을 설계한 클라우드 공급자를 선택하는 것이 중요하다.

사용자는 클라우드 인프라, 데이터베이스, 애플리케이션, 기업보안과 개인정보보호 관행을 준수할 필요가 있다. 이러한 시도들을 통해 클라우드 사용자는 보안 분야에 있어 최고 수준의 안전성을 보장받을 수 있다.
[위아람 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>