[창간기획⑪] 빛이 있으면 그림자도··· 클라우드 확산, 보안 위험도 커졌다

이종현 2022.05.20 08:32:50

- ‘다가오는 엔데믹, 비욘드 디지털(Beyond Digital)’ 
- 엔데믹 시대, 이 솔루션에 주목하라!

[디지털데일리 이종현기자] 클라우드 시장은 코로나19를 계기로 폭발적으로 성장했다. 사티아 나델라 마이크로소프트(MS) 최고경영자(CEO)는 2020년 “2개월 사이에 2년 동안 진행될 수준의 디지털 트랜스포메이션이 이뤄졌다”고 말했다. 그 중심에는 클라우드가 있다. 사회적 거리두기를 하는 가운데 기업들이 업무연속성(BCP)을 확보한 데는 클라우드의 영향이 크다.

하지만 클라우드가 긍정적인 효과만 제공한 것은 아니다. 대부분의 기업들이 준비되지 않은 상태에서 등 떠밀려 클라우드를 도입함에 따라 적지 않은 부작용이 나타나고 있다. 가장 큰 문제는 ‘보안’이다.

◆전통적인 경계 중심의 보안, 클라우드에서는 안 통한다

클라우드 환경에서의 보안은 전통적인 방식의 보안과는 사뭇 다르다.

기존에는 갖가지 보안 장비로 안전한 경계 내부에서, 허가받은 사람이, 승인된 디바이스를 통해 업무를 수행하는 ‘성곽 모델’의 보안이 주를 이뤘다. 기업은 직원이 일하는 근무처를 철저히 지킴으로써 대부분의 보안 문제를 해결할 수 있었다.

하지만 클라우드가 보편화된 현재, 보안 측면에서 물리적 공간은 더 이상 큰 의미를 지니지 않게 됐다. 클라우드를 이용할 경우 데이터는 사무실이 아니라 클라우드 데이터센터에 저장된다. 비대면 문화의 확산으로 재택·원격근무를 도입하는 비율이 크게 늘었고, 직원들은 개인의 PC로 안전이 검증되지 않은 네트워크를 통해 업무를 수행하고 있다.

이런 가운데 아무 것도 믿지 않는다는 ‘제로 트러스트(Zero Trust)’가 차세대 보안 방법론으로 대두됐다. 가령 사내 시스템에 접속하려는 사람이 있을 경우 그 사람은 직원이 맞는지, 시스템에 접근할 수 있는 권한이 부여돼 있는지, 사용하는 기기는 안전한지, 허용된 장소에서의 접속인지, 접근 이후 이상 행동은 하지 않는지 등 지속해서 검토하는 것이 골자다.

2020년부터 굵직한 보안 사고를 연달아 겪은 미국은 올해 1월 26일, 연방기관에 제로 트러스트 네트워크 액세스(ZTNA) 전략 및 목표를 2024년까지 완료하도록 하는 이행계획을 발표했다. 한국 역시 지난 4월 과학기술정보통신부(이하 과기정통부)가 제로 트러스트 관점에서 단계별 검증 조치 강화를 주문했다.

◆달라진 보안 환경, 보안도 서비스로

클라우드 환경에서 인증은 네트워크 보안을 대체할 핵심 요소로 떠오르고 있다. 불신뢰를 기반으로 계정(Identity)에 대한 추가 인증이나 계정별 권한 부여, 행위 모니터링 등을 제공하는 계정접근관리(IAM) 등이 대표적이다.

클라우드는 기존에 없던 새로운 개념이 아니다. 전통적인 보안 제품인 백신과 방화벽, 암호화, 침입방지시스템(IPS)는 물론이고 통합로그관리, 네트워크접근제어(NAC)나 엔드포인트 탐지 및 대응(EDR), 통합보안관제(SIEM), 데이터 유출방지(DLP), 보안 오케스트레이션 자동화 및 대응(SOAR), 위협 인텔리전스·헌팅 등도 여전히 유효하게 사용할 수 있다.

다만 이들 보안 제품의 형태는 다소 변하는 추세다. 기존 소프트웨어(SW)를 컴퓨터나 특정 장비에 설치하던 구축형 방식에서 클라우드 위에 SW를 둬 서비스 형태로 이용하는 서비스형 보안(SECaaS) 이용도 점차 많아지는 중이다. 보안기업들 다수가 자사의 보안 제품을 SECaaS로 전환하고 있다.

클라우드 자체를 보호하는 것 역시 필요하다. 가트너가 제시한 것은 클라우드 및 애플리케이션(앱)에 대한 가시성과 데이터 보호, 거버넌스를 제공하는 클라우드 액세스 보안 브로커(CASB), 외부 위협으로부터 클라우드 환경을 보호하는 클라우드 보안 형상관리(CSPM), 클라우드 내부의 워크로드를 보호하는 클라우드 워크로드 보호 플랫폼(CWPP) 등이다.

최근에는 CWPP의 워크로드 보안, CSPM의 클라우드의 컨피규레이션(Configuration) 보안을 중심으로 계정 등 보안까지 통합한 CNAPP라는 개념도 등장했다. 개발 단계에서부터 실제 워크로드가 동작하는 모든 영역에 대해 보안 접근을 하는 방식이다.

ZTNA나 제로 트러스트 엣지(ZTE), 시큐어 액세스 서비스 엣지(SASE)도 클라우드가 대두됨에 따라 주목받았다. 모두 원격에서 시스템에 안전하게 접근할 수 있도록 하기 위한 기술이다.

IT 시스템 전반에 대한 가시성 역시 클라우드 보안을 위한 핵심 요소 중 하나다. 기업들 대다수가 온프레미스, 퍼블릭, 프라이빗 등 여러 형태의 IT 환경을 병행해 사용하는 하이브리드 클라우드를 채택하고 있다. IT 시스템이 점차 복잡해지는 가운데, 각 영역에 대한 모니터링이 필요하다.


◆클라우드 보안의 시작, ‘책임공유모델’에 대한 이해 선행돼야

클라우드는 인프라부터 플랫폼, 소프트웨어 등 광범위한 영역을 아우르는 단어다. 자연히 클라우드를 위한 보안 제품이나 전략 등도 다양하다. 이중에서도 대부분의 전문가들이 입을 모아 가장 중요하다고 말하는 것은 클라우드 서비스 사업자(CSP)의 ‘책임공유모델’에 대한 이해다.

클라우드는 기본적으로 정보기술(IT) 인프라를 클라우드 서비스 사업자(CSP)에게 빌려 쓰는 형태다. 내 집이 아닌 펜션이나 호텔을 빌려 쓰는 구조라고 생각할 수 있다.

만약 호텔에 도둑이 들어 물건을 훔친다면 그 책임은 누구에게 있을까. 기본적인 경비의 책임은 호텔에게 있다. 하지만 만약 문을 잠그지 않고 활짝 열어뒀다가 물건이 분실된다면, 그때도 호텔에게 책임이 있을까? 경우에 따라 호텔에게도 책임을 물 수 있겠지만 문을 닫아두지 않은 본인에게도 책임도 있다.

클라우드 역시 호텔의 경우와 마찬가지다. 클라우드 사업자는 고객에게 인프라를 제공한다. 만약 데이터센터에 정전이 발생하거나, 장비의 노후화 등의 이유로 장애가 발생한다면 클라우드 사업자가 책임을 진다. 하지만 암호화를 하지 않았거나, 아이디/패스워드 관리를 소홀히 하는 등의 경우는 클라우드를 이용하는 사람이 지게 된다.

지난 몇년간 클라우드를 도입한 기업들 다수가 보안 사고를 경험했다. 대부분이 기업이 지켜야 하는 보안 수칙을 준수하지 않아 생긴 일이다. 이중인증 등을 적용하지 않고 아이디 패스워드로만 시스템에 접속할 수 있도록 설정했다가 데이터가 유출된 사례도 적지 않다.

클라우드를 이용하는 이들에게는 불행히도, 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS) 등 본인이 어떤 형태의 클라우드를 이용하느냐에 따라 이 책임공유의 범위도 달라진다. 클라우드도 생소한데, 세부적인 영역에 따라 책임소재도 달라져 복잡하다.

전문가들은 이와 같은 피해를 막기 위해 선행돼야 하는 것은 클라우드 도입 과정에서 안전하게 도입했는지, 또 자사의 클라우드 환경이 안전한지에 대한 검토를 면밀히 해야 한다고 강조한다. 클라우드를 안전하게 관리하려면 어떻게 설정해야 하는지, 본인의 기업 환경에서 어떤 보안 제품이 필요한지 등을 살피는 것이야 말로 클라우드 보안의 출발점이다.