지금 클라우드 보안 태세를 점검해야 하는 이유

요약

  • 가트너에 따르면 기업 내부에서 기인한 보안 위협에 대해 내년까지 발생하는 클라우드 보안 문제의 최소 99%는 기업 내부의 실수에서 비롯된다고 예측
  • 클라우드 애플리케이션과 서비스를 사용하는 클라우드 사용자 및 관리자를 노린 공격 및 방어 매우 중요
  • 서비스 내재적 보안 역량 강화를 위해 내장된 보안 서비스가 제공되는 클라우드 및 다양한 보안 제어, 위협 방지 기능이 제공되는지 고려

클라우드 컴퓨팅 시장은 수년째 성장하고 있다. 얼리어답터의 시장에서 스타트업의 대세로 자리잡았던 게 엔터프라이즈 시장으로 옮겨붙었다. 클라우드 인프라 서비스만 해도 연간 40%씩 성장할 정도다. 클라우드는 이제 기업 워크로드의 기본 아키텍처로 자리잡았다.

인프라의 보급과 함께 클라우드 보안도 함께 성장하고 있다. 클라우드를 사용하면 기업은 자체적으로 책임지던 IT 운영을 서비스 제공사에게 맡기게 되고, IT 전문성을 가진 클라우드 기업이 책임을 가져간 것처럼 여겨진다. 보안이란 운영 책임도 제공사로 넘어가고 기업의 부담은 줄어드는 듯 했다.

사실은 다르게 흘러갔다. 클라우드 이용이 보편화되면서 개별 기업의 보안 투자는 더 늘고 있다. 기업이 클라우드로 얻은 여유를 통해 보안에 더 주목하게 됐다기보다 클라우드를 노린 위협이 증가하면서 그만큼 보안 투자가 강제로 함께 늘었다고 보는게 타당하다.

미국만 해도 지난 2020년 보안 시장 규모는 연 5억9천500만 달러였다. 작년 8억4천100만달러로 늘었다. 전체 보안 분야 중 클라우드 영역은 가장 빠른 성장세를 보인다. 클라우드 보안 위협이 얼마나 커지는지 보여주는 반증이다.

클라우드 증가와 공격 대상의 확대

클라우드 컴퓨팅으로 전환으로 기업은 몇 가지 기본적인 보안 문제를 제거했을 수 있다. 하지만 하이브리드 클라우드의 출현으로 완전히 새로운 상황이 열렸다. 여기에는 직원의 서비스 액세스 보안, 데이터 암호화를 이용해 실수로 다른 클라우드 사용자에게 노출되지 않도록 하는 것, 애플리케이션과 클라우드 서비스 간 이동 시 데이터를 안전하게 유지하는 것 등이 포함된다. 클라우드 컴퓨팅의 사용이 새로운 영역으로 확장됨에 따라 위험이 증가했다는 점을 간과하면 안 된다.

많은 기업이 복수의 클라우드 서비스를 사용한다. IaaS뿐 아니라 다양한 플랫폼, 애플리케이션을 클라우드 서비스로 이용하고 있다. 기업의 통제 범위밖에 있는 인프라는 늘어났지만, 그 인프라를 이용하는 사용자는 늘었으므로 통제력은 오히려 약해졌다. 이는 제로트러스트란 보안 업계의 흐름을 만들어냈다. 밖에서 안으로 들어오는 길목만 잘 막으면 됐던 보안은 이제 어디서 들어올지 모르는 공격과 일상을 가장한 침투를 모두 막아내며, 복잡한 접근 환경을 통제해야 하는 상황이다.

최근 금융 서비스에서 소매업에 이르기까지 모든 산업의 기업들은 미션 크리티컬 워크로드를 클라우드로 이전하기 시작했다. 이에 데이터 침해 및 유출을 야기하는 취약한 방화벽 문제 해결은 최우선 과제다.

가트너에 따르면 클라우드와 관련된 2022년 중요 IT 보안 트렌드로 공격 영역이 더욱 확장되고 있다. 이에 기업들의 보안부문 투자에 따라 향후 글로벌 보안 시장은 2020년 약 168조원 규모에서 2024년 249조까지 성장할 것으로 전망하고 있다.

가트너는 기업 내부에서 기인한 보안 위협에 대해, 2023년까지 발생하는 클라우드 보안 문제의 최소 99%가 기업 내부의 실수에서 비롯될 것이라고 예측했다. 이러한 상황을 극복하려면 클라우드 사용자 및 관리자가 직접 클라우드 보안 서비스의 작동 원리를 이해하고, 이를 정확히 구성하며, 클라우드의 유지 관리 업무를 진행할 수 있어야 한다.

가트너의 올해 사이버보안 톱트렌드에서 공격 표면 확장이 1위를 차지한다. 다음으로 아이덴티티 시스템 방어, 디지털 공급망 리스크, 벤더 통합, 사이버시큐리티 메시 등의 순이다.

사용중인 클라우드 서비스가 안전한지 여부를 확인하는 건 의외로 어렵다. 클라우드 제공사마다 보안 모델과 기술세트가 약간씩 다르기 때문에 파악하기 복잡하다. 종종 사용자는 어려운 전문적 지식도 필요로 하게 되며, 애플리케이션과 데이터가 온프레미스, 클라우드 간을 오가며 전환돼 오류와 데이터 유출을 초래할 수 있다.

이 모든 게 기업의 위협 표면을 확장하고 자산을 보호하기 어렵게 만든다. 잘못 구성된 서비스는 보안 사고의 근본 원인 중 상위이며, 잘못된 암호, ID제어 같은 매우 기본적인 오류도 원인이다.

클라우드를 이용해 어디서나 로그인해 기업 워크로드를 이용하는 기능은 직원에겐 편리하다. 그러나 훔쳐낸 암호를 사용해 민감한 정보에 접근하려는 사이버 범죄자에게 이는 새로운 기회다. 해커가 클라우드 서비스를 악용해 랜섬웨어 공격과 악성코드 공격을 시작할 수도 있다.

사용자를 노린 공격, 통합적 방어 필요

클라우드 애플리케이션과 서비스를 사용하는 한 모든 사용자는 언제어디서나 기업의 주요 파일과 데이터에 접근할 수 있다. 이는 모든 기업 사용자가 해커의 주요 표적일 수 있다는 뜻이다. 많은 기업은 데이터 도난 이후 혹은 랜섬웨어 공격 발견 시점까지 클라우드 계정이 해커에게 약용됐다는 사실조차 깨닫지 못한다.

여러 계정에서 유사한 비밀번호를 쓰지 않는 것, 복잡한 암호를 사용하게 하는 것 등은 이제 계정관리의 기본이다. IT 및 정보 보안 팀은 관리자 권한이 정말로 필요한 사람에게만 제공되고 관리자 권한이 있는 모든 계정이 적절하게 보호돼 공격자가 높은 수준의 액세스 권한을 얻고 악용할 수 없도록 해야 한다. 예를 들어 비밀리에 비즈니스를 수행하는 데 사용할 수 있는 추가 계정을 생성한다거나, 일반 사용자가 자신의 권한을 높이거나, 새 계정을 만들 수 없다는 점도 중요하다.

기업이 많은 클라우드 서비스를 이용할수록 위협을 추적하기는 더 어렵다. 악의적인 사용자를 탐지하지 못한 상태로 기업 내부망으로 들어가는 게이트웨이를 열어둘 수 있다. IT부서는 사용중인 클라우드 서비스와 접근권한을 가진 사람을 추적하는데 필요한 도구를 보유해야 한다. 또한 클라우드 애플리케이션이 인터넷 상의 누구에게나 열려있도록 잘못 구성되지 않았는지 항상 점검해야 한다. 이런 공개 접근은 무차별 대입 공격 시도, 피싱, 도난된 자격증명 등을 사용해 클라우드 애플리케이션에 접근하는 등의 상황에서 활용된다.

이렇게 요구되는 사용자의 보안 전략에서 클라우드 서비스 자체의 역량을 살피는 게 중요하다. 확실히 클라우드 서비스 제공업체의 보안 역량이 고객보다 뛰어난 건 사실이다. 그러나 기술적 우월성 외에 클라우드 제공사의 서비스 및 이해 수준을 면밀히 조시하는 게 도움이 된다.

영국 NCSC(National Cyber Security Center)는 공급업체의 보안 상태를 판단하는데 도움을 주는 '클라우드 컴퓨팅 보안에 대한 일반 원칙'을 제공한다.

  • 데이터는 클라우드 내부 및 외부에서 네트워크로 이동할 때 변조 및 도청으로부터 보호돼야 한다.
  • 악의적이거나 손상된 서비스 고객은 다른 서비스나 데이터에 접근할 수 없어야 한다.
  • 서비스는 취약점 관리, 보호 모니터링, 구성 및 변경 관리를 사용해 공격을 방지, 탐지 또는 방지하기 위해 안전하게 운영 및 관리돼야 한다.
  • 서비스 제공업체 직원이 데이터 및 시스템에 접근할 경우 직원의 작업을 감사하고 제한하는 기술적 조치와 신뢰성에 대한 높은 수준의 확신이 필요하다.
  • 클라우드 서비스는 강력한 소프트웨어 개발 수명 주기를 포함해 보안 위협을 최소화하고 완화하는 방식으로 설계, 개발, 및 배포 돼야 한다. 외부 API, 웹 콘솔 및 명령줄 인터페이스를 포함해 서비스의 모든 외부 또는 덜 신뢰할 수 있는 인터페이스를 식별하고 적절하게 방어해야 힌다.
  • 보안 인시던트를 식별할 수 있어야 하고 인시던트가 발생한 방법과 시기를 찾는 데 필요한 정보가 있어야 한다.
  • 서비스는 감사 정보를 제공하고 공격 시도가 감지되면 보안 경고를 발행해야 한다.

서비스 내재적 보안 역량 강화한 클라우드 업체 골라야

내재적인 보안 투자에 집중하는 클라우드 회사가 늘고 있다. 대표적으로 오라클은 OCI 고객에게 기본적으로 내장된 보안 서비스를 제공해 고객의 관련 규정 준수와, 보안 위협과 우려를 해소하도록 돕는다. 동시에 보안 문제로 인한 시스템 가동 중단을 예방한다. 오라클은 자사 제품의 클라우드 보안 기능을 확장해 여러 개의 보안 레이어를 제공함으로써 고객이 새로운 위협과 보안규정 위반 사항을 신속하게 식별 및 억제할 수 있게 한다.

오라클 OCI 네트워크 방화벽(OCI Network Firewall)은 새로운 클라우드 네이티브 관리형 방화벽 서비스로 OCI 전반의 사이버 공격에 대비해 중앙화된 보안 기능을 제공한다. 이 기능은 글로벌 사이버 보안 분야의 선도 업체인 팔로알토 네트웍스의 VM 시리즈 차세대 방화벽((VM-Series NGFW) 기술을 활용해 실행된다. 이 방화벽은 사용자 정의 URL 필터링, IDS/IPS(침입 방지 및 감지), OCI에 호스팅 된 고객 워크로드에 대한 인바운드, 아웃바운드 및 측면 트래픽 TLS (전송 계층 보안) 검사 등 다양한 보안 제어, 위협 방지 및 완화 기능을 제공한다. OCI 네트워크 방화벽 사용 시 기업 고객은 방화벽 기능으로 신속하게 애플리케이션과 클라우드 환경을 운영 및 보호할 수 있고 클라우드 배포 업무까지도 보안 기능을 확대 적용할 수 있다. 또한, OCI 네트워크 방화벽은 턴키(turn-key) 방식으로 제공되어 고객이 추가적인 보안 인프라를 설치하고 관리할 필요 없이 바로 방화벽 기능을 사용할 수 있다.

오라클 위협 인텔리전스 서비스(Oracle Threat Intelligence Service)는 다양한 소스 전반의 위협 인텔리전스 데이터를 집계하고 이를 관리함으로써 오라클 클라우드 가드와 기타 OCI 서비스 내 위협을 감지하고 실행가능한 예방 조치를 안내한다. 오라클은 보안 전문 연구원과 고유의 원격 측정법(telemetry)을 비롯해 어뷰즈, 토르 엑시트 릴레이 등 오픈소스 피드 또는 크라우드스트라이크 같은 서드파티 파트너에게 얻은 인사이트를 제공한다.

오라클 클라우드 가드 위협 디텍터(Oracle Cloud Guard Threat Detector)는 잘못 구성된 리소스, 고객의 IT 환경 전반의 보안취약 활동, 악성 위협 활동 등을 식별한다. 해당 기능을 활용해 관리자는 클라우드 보안 문제를 분류 및 해결할 수 있는 가시성을 확보할 수 있다. 비일관적인 보안 기능들은 즉시 사용 가능한 클라우드 가드 보안 레시피를 통해 자동으로 교정되기 때문에 보안 운영 센터 역량을 효과적으로 확대할 수 있다.

오라클 시큐리티 존(Oracle Security Zones)은 고객 정의 정책 세트 및 클라우드 가드를 통한 통합 보안 태세 모니터링을 지원함으로써 기존의 오라클 시큐리티 존 기능을 확장했다. 고객은 보안영역 정책 세트를 직접 생성해 보안 태세를 약화할 수 있는 활동들을 예방할 수 있다. 시큐리티 존의 정책을 다양한 클라우드 인프라 유형에 적용해 클라우드 리소스를 안전하게 보관하고 잘못된 보안 구성을 예방할 수 있다. 이에 더해 사용자는 직접 보안영역 정책세트를 맞춤식으로 정의해 각 기업에 적합한 정책을 결정할 수 있다. OCI는 시큐리티 존 정책을 통합 플랫폼 기능으로 강화함으로써, 서로 인접한 영역의OCI 시큐리티 서비스들도 지원한다. 또한, 시스템 접근·계정권한관리(IAM) 승인 기능은 인적 개입이 필요한 반면, 시큐리티 존 정책은 리소스의 보안 가드레일 역할을 하며 적합한 구성을 직접 정의한다.

오라클 클라우드 가드 퓨전 애플리케이션 디텍터(Oracle Cloud Guard Fusion Applications Detector)는 기존의 오라클 클라우드 가드의 역할을 OCI용 클라우드 보안 태세 관리 이상으로 확대한다. 해당 기능을 통해 고객은 오라클 퓨전 클라우드 애플리케이션의 모니터링까지 진행 가능하며 전반적인 보안 정책을 통합적으로 확인할 수 있다. 또한, 사전 구성 및 사용자 정의 구성이 가능하고 잠재적인 애플리케이션 보안 위협 모니터링을 위한 '레시피'도 제공한다. 애플리케이션 디텍터는 사용자 권한과 관련된 주요 구성요소가 변경되는 경우 경보 알림을 내보내는데, 데이터의 추가, 삭제 및 변경과 더불어 사용자 신원과 역할별 기능 권한 변경, 민감 정보 변경 등과 같이 주요 데이터 접근 권한에 영향을 미치는 변경 사항 발생 시 알림을 제공한다. 해당 기능은 현재 오라클 퓨전 클라우드 HCM 및 오라클 퓨전 클라우드 ERP를 대상으로 우선 제공되고 있다.

나의 회사는 얼마나 대비하고 있나 점검할 때

향후 디지털 전환을 고려하는 기업이라면, 자사의 클라우드 보안 기술이 외부의 위협에 대해 얼마나 준비되어 있는지 점검하고 보안 태세를 갖춰야 한다.

많은 기업이 클라우드 이용으로 사이버 보안 관리의 부담을 클라우드 업체로 넘길 수 있다고 착각한다. 클라우드를 이용한다는 건 기존의 기업 사이버보안 관리에 클라우드를 새로 추가했다는 의미로 받아들여져야 한다.

기업의 조직은 클라우드 환경을 완전히 이해라지 못하며, 전문지식과 기술의 부족으로 클라우드 운영을 보호하는데 필요한 보안 역량을 식별하고 구별하기 어렵다.

클라우드에 대한 사이버 보안 전략이 있다고 해도 여정의 끝은 아니다. 클라우드 서비스를 처음 사용하기 시작할 때와 마찬가지로 이를 무시하고 최고를 바랄 수 없다. 사이버 보안은 항상 진화하고 새로운 위협이 나타난다. 네트워크와 사용자를 가능한 한 안전하고 안전하게 유지하는 데 도움이 되는 새로운 전략을 적용해야 한다. 그 새로운 전략을 항시 고민하는 클라우드를 선택하는 것도 기업의 몫이다.

** 기사 : 지디넷코리아 김우용 기자

** 기사 정리: ㈜한국능률협회미디어 이동언 기자

** 전체 기사는 최고 경영자를 위한 경영정보 지식 충전소, Chief Executive 에서 확인하실 수 있습니다

Share this Page

Latest News

기사 요약 프린트