전문가들이 말하는 ‘클라우드 보안 이슈와 구현방안’
클라우드는 대세다. 우리나라는 미국이나 일본 등 해외에 비해 클라우드 확산이 늦긴 했지만 이제 웬만한 기업들은 클라우드 서비스를 이용하고 있다.
정부에서 클라우드 활성화 정책을 시행하면서 이제 공공기관에서도 민간 클라우드 서비스를 이용할 수 있다. 보수적인 금융권에서도 비중요처리시스템에만 제한적으로만 허용했던 것에서 탈피해 내년부터는 개인신용정보, 고유식별정보를 처리하는 금융사 정보시스템도 클라우드를 사용할 수 있게 된다. 바야흐로 클라우드가 본격 확산되는 시대다.
많은 기업들이 데이터센터를 가상화해 프라이빗 클라우드 환경을 운영하고 있고, 또 퍼블릭 클라우드도 사용하고 있다. 하이브리드 클라우드 환경을 이용하고 있는 것. 나아가 여러 퍼블릭 클라우드 서비스를 사용하는 멀티클라우드 시대로 진입하고 있다. 그럼에도 불구하고 클라우드 보안에 대한 우려는 여전한 상황이다.
클라우드는 비용절감, 비즈니스 민첩성 향상과 같은 혜택을 제공하지만 보안 문제도 빠지지 않고 함께 얘기된다. 초창기에는 보안 문제 때문에 클라우드 서비스를, 특히 퍼블릭 클라우드를 사용하지 않으려는 경향도 있었다.
그러자 클라우드 서비스 제공업체들은 인프라에 있어서는 오히려 더 안전하다고 강변했다. 그렇다고 이들 업체들이 클라우드 보안을 모두 책임져주는 것은 아니다.
클라우드 서비스를 보다 안전하게 이용하기 위해 고려해야 할 보안 방안은 무엇일까.
지난 달 포티넷코리아가 개최한 ‘2018 포티넷 361° 시큐리티 컨퍼런스’에서는 클라우드 보안을 주제로 한 전문가 패널토의가 진행됐다. 이 날 나온 주요내용을 정리해봤다.
토론자로는 한국마이크로소프트 최주열 이사, 네이버비즈니스플랫폼(NBP) 장노륜 매니저, 메가존 최고기술책임자(CTO) 이수형 상무, 안랩 서비스사업부 권용 차장, 포티넷코리아 최광순 이사가 참여했다. 패널토의 사회는 바이라인네트워크 이유지 기자가 맡았다.
– 과연 클라우드 서비스는 자체적으로 운영관리하는 인프라 보다 더 안전한가.
최주열 이사 : 클라우드 서비스가 절대적으로 안전한다는 얘기는 온당치 않을 것이다. 누군가는 뚫으려 하고 상대 쪽에서는 막으려는 조치를 한다. 보안위협을 막을 수 있는 기반 기술과 더불어 각 국가나 지역에 타당한 현재 규제에 맞출 수 있는 제도적 보안장치를 바탕으로 보안을 강화해나갈 수 있다. 마이크로소프트를 비롯해 대부분의 퍼블릭 클라우드 서비스 업체들은 각국 정부나 산업의 표준 인증에 대한 준비가 돼 있다. 완벽한 서비스수준협약(SLA)은 쉽지 않기 때문에, 보완적 장치로 제도적 인증이 필요하다.
– 퍼블릭 클라우드 서비스 제공업체들이 채택하는 보안정책, ‘책임공유’ 모델이란.
장노륜 매니저 : 클라우드에는 클라우드 서비스 제공업체의 관리영역 아래에 있는 인프라, 고객 관리영역에 속하는 인스턴스, 데이터가 있다. 고객의 인스턴스와 데이터는 사업자가 볼 수 없다. 때문에 사업자 관리영역은 사업자가 관리하고, 고객 책임 하에 있는 인스턴스와 데이터를 잘 관리하는 것이 ‘책임공유’ 모델이다. 이 두 가지가 잘 공존해야만 보안이 잘 될 수 있다. 어느 한 부분이 소홀해진다면 보안의 벽은 약해질 수 있다.
– 클라우드 서비스를 이용하는 기업들, 보안 담당자들이 클라우드 보안을 구현하는데 있어 어려워하는 점은.
이수형 상무 : 많은 분들이 아마존웹서비스(AWS)를 사용하면 AWS의 인프라에서 모든 보안을 제공할 것이라고 생각한다. 이는 잘못된 추정이다.
클라우드 컨설팅은 마이그레이션(이전)부터 현재 고객이 가진 보안 취약점과 보안 프레임이 무엇인지에서 출발한다. 클라우드를 사용하기 전에 애플리케이션단 마이그레이션에 대한 재설계가 필요하다. 클라우드는 마법의 양탄자가 절대 아니다. 클라우드를 사용하기 위해서는 많은 공부가 필요하다. 데브옵스(DevOps)팀들은 지난 5년에서 10년 동안 많은 실수를 하고 교육을 통해 배워오고 있다. 보안팀은 약간 뒤처진 부분이 있다.
권용 차장 : 많은 분들이 기존(레거시) 환경에 적용해온 보안체계를 그대로 가상 환경에 똑같이 적용하려하는 점에서 어려운 점이 나타난다. 대개 서비스를 다 구성한 뒤에 보안관제서비스 업체나 보안 솔루션 업체에 연락을 한다. 이 경우 솔루션 가용성에 문제가 있다. 또 많은 보안 솔루션이 클라우드 제너레이션, 또는 클라우드 네이티브라고 이야기하지만 실제로 레거시 환경에서 제공되는 모든 기능을 지원하지 못한다. 클라우드 서비스를 잘 활용하려면 처음부터 클라우드와 보안 아키텍처를 함께 고려해 설계하고 구성해야 한다.
– 기존 온프레미스 환경에서 적용해온 보안체계를 그대로 클라우드에 적용하려는 접근방식은 문제인가.
이수형 상무 : 미국과 한국에서 서비스하고 있는 한 유명 스트리밍 회사와 일했다. 이 회사는 데브옵스와 보안을 분리하지 않는다. 시스템 자체를 디자인할 때부터 보안팀이 함께 참여한다. 애플리케이션 아키텍처를 디자인하지만 각각의 아키텍처와 파이프라인에서 필요한 보안을 함께 디자인한다. 이를 고려하는 것이 중요하다.
또 이 회사 담당자들은 다들 매일 코딩을 하고 있다. 개발자나 운영 담당자 뿐 아니라 보안 담당자들도 매일 코딩한다. 그래야 데브옵스가 구현되고 데브섹옵스(DevSecOps)가 구현될 수 있다. 보안팀이 운영팀, 개발팀과 자유롭게 이야기하게 되고 이같은 문화가 정착되면 자연스럽게 데브섹옵스가 가능해질 것 같다.
– 빠르게 돌아가는 데브옵스 환경에서 보안팀이 뒤처지지 않고 데브옵스팀과 보조를 맞추기 위해서는 어떻게 해야 하나.
이수형 상무 : 올 초 어느 자리에서 ‘데브섹옵스’를 얘기했더니 어느 보안담당자가 이런 얘기를 하더라. 지금 보안팀은 두 세 명뿐이고, 이들이 담당하고 있는 보안 솔루션이 20개 이상인데 어떻게 운영과 개발까지 해야 하느냐고.
데브섹옵스에서는 보안담당자가 개발해야 한다는 의미가 아니다. 개발팀이 개발하고 운영팀이 운영해야 한다. 다만 세 팀이 동일한 언어를 갖고 통신할 수 있어야 한다. 데브옵스를 구현할 경우 시스템 간, 서비스 간에 애플리케이션프로그래밍인터페이스(API)로 통신해야하는 마이크로서비스아키텍처를 구현해야 한다고 제시한다. 이는 팀과 부서, 조직 차원에서도 이뤄져야 한다. 보안팀도 마찬가지다. 보안 프로세스도 자동화하고 진행된 모든 것들이 정보(knowledge)로 남겨져야 하는 것이 우선이다.
– 클라우드 서비스 제공업체 보안담당자 입장에서 어려운 점이 있거나 경험담을 소개한다면.
장노륜 매니저 : 사용자 고객들이 클라우드 서비스를 도입할 때 염려하거나 어려워하는 점은 두 가지다. 하나는 책임공유 모델 관련해 사업자가 관리하는 영역을 사용자가 투명하게 들여다볼 수 없다는 점이다. 예를 들어 IaaS 도입했는데 서버나 네트워크, 스토리지 레벨을 사용자가 온프레미스에서 장치를 운영하듯이 들여다볼 수 없기 때문에 사업자가 정말 잘하고 있는지, 믿고 써야되는지 염려한다. 두 번째는 온프레미스 환경에서 썼던 보안 아키텍처, 보안 방법론을 그대로 클라우드에 적용하려고 한다는 점이다. 사업자 의존성이 있기 때문에 이를 그대로 전환할 수 없다는 점에 염려한다.
기존 아키텍처를 클라우드상에 그대로 가져오는 것에 한계가 있긴 하지만 사업자들은 대체제를 많이 준비하고 있다. 마이그레이션 아키텍처 컨설팅 받거나 서비스를 도입할 때 대체제가 무엇이고 서비스 사업자가 제공할 수 있는 영역을 꼼꼼하게 따져 맞는 서비스를 선택하는 것이 중요하다.
최주열 이사 : 사용자 환경마다 나름 특화된 부분도 있지만 공통된 환경도 있다. 100% 기존에 사용하던 방식을 클라우드로 옮긴다는 것이 가능할 수도 있지만 중복투자, 중복된 기술을 도입하게 될 수 있다는 점을 고려해야 한다.
기업 규모가 작으면 작을수록 보안담당자는 소수이거나 없을 수도 있다. 이 경우 특정 벤더의 기술에 전적으로 의존하게 된다. 클라우드로 옮기는 것을 먼저 고민하는 것보다는 그 전에 기술 내재화 관점에서 발생할 수 있는 장점과 단점을 고려했으면 한다.
대부분의 클라우드 환경이 기본으로 마이그레이션 환경 지원도구를 제공한다. 국내에서만 사업하지 않고 해외 사업까지 하는 경우엔 각 국가와 대륙에서 요구하는 보안인증체계 다른 부분이 있다는 점도 고려해야 한다. 보안을 누군가에 의존한다는 것보다는 이미 선결돼 있는 인증 시스템 내에서 책임을 나눠지거나 일부분을 클라우드 사업자가 맡는다는 관점에서 보안 접근방식을 채택하는 것도 나쁘지 않을 것이다.
– 하이브리드 클라우드 서비스를 사용하는 것을 넘어 멀티클라우드 환경에서 보안의 어려움은 가중되는가.
장노륜 매니저 : 멀티클라우드를 채택시 나타나는 가장 큰 어려움도 기존의 온프레미스 환경의 보안정책을 똑같이 구축할 수 없다는 점이다. A사업자, B사업자가 제공하는 보안서비스가 다 다르다. 온프레미스에서 쓰던 것을 A사업자에 적용할 때, B사업자에 적용할 때 모두 달라진다. 사용자 입장에서 고려해야 할 사항이 많아진다. 서비스형 인프라(IaaS)도 그렇지만 IaaS 외에 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS)까지 동시에 여러 클라우드 사업자 서비스를 썼을 때 애플리케이션과 서비스까지 고려해야 할 사항이 많다. 클라우드를 선택할 때 내가 지원받을 수 있는 정책과 기능을 짚어봐야 한다.
이수형 상무 : 앞서 언급한 스트리밍 업체의 경우, 가상머신(VM) 기반으로 서비스를 하고 있다가 도커 컨테이너 오케스트레이션 솔루션이 올라오면서 개발자가 코드 개발한 후 커밋하게 되면 운영팀에서 이를 가상머신으로 올릴 것인지, 컨테이너로 올릴 것인지 결정한다. 이와 함께 보안 태그도 같이 붙는다. 요구되는 보안레벨이 다 다름에도 구현한다.
컨테이너는 멀티클라우드에 쉽게 접근할 수 있는 방법이다. 혹시 모를 상황에 대비해 클릭 한 번으로 전환할 수 있도록 대비해놓은 것이다. 이 역시도 사람이 클릭하는 것이 아니라 서비스 품질이 떨어지기 시작하면 자동으로 VM이나 컨테이너를 늘려 자동으로 서비스 품질을 유지한다. 하나의 클라우드 서비스뿐 아니라 멀티클라우드 서비스까지 같이 테스트가 진행된다. 이 부분을 고려해볼 필요가 있다.
– 클라우드 서비스를 이용할 때 기업들이 가시성과 통제력을 잃어버린다는 우려가 있다. 이에 대한 방안은.
최광순 이사 : 클라우드 보안을 따져보면, 클라우드 플랫폼에서의 보안, 클라우드 플랫폼 위에서 제공되는 서비스단의 애플리케이션과 데이터 보안으로 구분해볼 수 있다. 가트너 보고서에 보면, 2020년까지 클라우드 보안 사고가 난다면 그 원인의 99%가 고객의 실수일 것이라고 전망돼 있다. 이는 클라우드 플랫폼은 99% 안전하다고 볼 수 있다는 것이다. 서비스나 데이터, 애플리케이션이 안전하지 않다는 전제에서 시작해야 한다.
SaaS 애플리케이션은 클라우드 보안에 있어 넘버원 이슈다. 사용자들이 직접 액세스하기 때문에 클라우드접근보안중개(CASB)와 같은 서비스가 필요하다. CASB는 API를 통해 가시성을 확보할 수 있도록 해준다. 사용자 행위나 컴플라이언스 준수 여부를 모니터링하고, 로컬에서 사용하고 있는 ATP, 데이터유출방지(DLP) 등 다양한 솔루션을 그대로 적용할 수 있게 한다.
포티넷도 ‘포티CASB’ 솔루션을 갖고 있고, 시중에 여러 CASB가 제공되고 있다. CASB를 도입할 때에는 사용하고자 하는 지원하는 SaaS가 무엇인지 따져봐야 한다.
– 클라우드 서비스 제공업체들이 자체적으로, 또는 보안업체들과 애플리케이션단 보안을 강화하기 위해 제공하고 있는 기술방안은.
최주열 이사 : 보통 물리적 서버가 다운타임을 갖게 되는 가장 큰 원인은 팬이다. 그 다음은 하드디스크, 전원공급장치다. 이 세 요건을 뺀 나머지 가장 큰 이유는 사람의 실수다.
마이크로소프트 애저의 경우, 스토리지는 99.99%, VM은 99.95%를 SLA로 정하고 그에 상응하는 비용상계도 명시돼 있다. 하지만 뚫린 이후에 무슨 일이 벌어질 경우, 로컬에서 사용하는 파워포인트, 엑셀에서 유출된 경우 클라우드 사업자가 책임져주지는 않는다. 다만 이를 미리 미연에 방지하라고 마이크로소프트는 RCA(Root-Cause Analysis)를 제시하고 있다.
대형 네트워크 공격이나 특정 경로를 장악한 공격이 발생할 경우 대부분 사건이 발생하기 전이나 발생하고 있는 중간에 RCA 리포트가 나간다. 문제는 그 때 기업에서 패치하지 않는다는 것이다. 사업자는 적시에 리포트를 제공하기 때문에 고객이 이를 받아들여줘야 한다. 휴먼에러를 방지하기 위한 것이다. RCA는 여타의 클라우드 서비스 제공업체들도 제공할 것이다.
– 클라우드에서의 보안위협은 외부의 공격보다는 기업 관리자, 내부의 실수로 인한 위협이 더 큰 것인가.
이수형 상무 : 데브섹옵스를 잘 운영하고 있는 그 스트리밍 회사도 작년에 큰 보안 문제가 발생했다. 보유하고 있던 콘텐츠를 해커가 미리 가져가 일정 금액을 제공하지 않으면 이를 공개하겠다고 협박했다. 이는 데브섹옵스 프로세스의 문제가 아니었다.
이 회사는 굉장히 많은 회사들과 일을 한다. 내가 가진 보안 레벨이 많은 자회사나 파트너사들도 갖고 있을 것이라고 추정하는 것은 문제다. 해커가 들어와 콘텐츠를 훔쳐갈 수도 있지만, 더 중요한 것은 내 기업과 자회사·파트너가 같은 보안수준을 유지하는 것이다. 강력한 보안접근방식, 보안정책을 운영하는데 있어 보안담당자 분들이 고민이 많은 것 같다.
– 사람의 실수나 부주의로 인한 보안 문제를 보안기술뿐 아니라 보안관제서비스를 통해서도 보완할 수 있을 것이다. 클라우드 보안관제서비스 필요성과 효과는.
권용 차장 : 보안관제서비스의 필요성은 차에 비유할 수 있다. 차만 좋다고 운전을 잘하는 것은 아니다. 운전자의 기술과 경험이 중요하다. 보안관제서비스는 전문성을 제공한다. 보안담당자의 수는 적은데 관리해야 하는 보안제품 수는 많고, 공격은 계속 새롭게 바뀐다. 관제서비스 입장에서 고객이 늘면서 관제인력만 늘릴 수 없어 정책을 자동화하거나 오케스트레이션 툴을 이용해 다양한 정보를 한 번에 받아 분석가들이 티켓 처리 시간을 계속 효율화시키는 방안을 계속 고민하고 있다.
장노륜 매니저 : 네이버 클라우드 플랫폼도 시큐리티 모니터링 서비스를 제공하고 있다. 한 가지 어려운 점은 서비스 받는 고객들은 사업자들이 A부터 Z까지 다 해줄 것으로 기대한다는 것에 있다. 하지만 판단의 결정권은 고객들에게 있다. 보안관제서비스를 제공할 때 서비스 업체는 공격 발생시 ‘공격이라고 90% 이상 판단된다, 이 공격을 막을까요’ 라는 리포트를 고객에게 제공한다. 유효한 공격인지 판단해 ‘막아 달라’ 또는 ‘예외해 달라’는 요청은 고객이 해야 한다.
– 이것만은 꼭 기억하자!
최주열 이사 : 퍼블릭 클라우드 서비스 업체 입장에서 ‘믿고 맡겨라’ 라는 말씀을 드리고 싶다. 결국 언젠가는 기업의 환경에 기술 내재화를 해야 한다. 보안에 가장 우선되는 문제는 일단 믿고 맡기고, 그 사이에 또 다른 기술을 내재화 시키고, 그 다음 단계로 나아갔으면 한다.
장노륜 매니저 : 전통적인 IT아웃소싱할 때 서면계약서 검토를 거친다. SLA를 검토한다. 퍼블릭 클라우드를 쓰면서는 계약과정을 거치지 않는다. 이 부분을 많이 간과한다. 이용약관 동의는 계약과 동일한 행위다. 이 안에 사용자 고객분들이 받을 수 있는 서비스 범위, 사업자 면책범위 모두 나열돼 있기 때문에 이용약관을 꼼꼼히 살펴보길 권고한다.
이수형 상무 : 자동화를 강조했다. 보안팀에서는 자동화가 생소할 수 있지만, 이는 꼭 혼자서 해결하지 않아도 가능하다. 국외산 클라우드 서비스 제공업체들, 파트너인 메가존도 이 부분을 많이 고민하고 있다. 절대 혼자서 싸운다고 생각하지 말고 도움드릴 수 있으니 함께 했으면 한다.
권용 차장 : 일단 많이 써봤으면 좋겠다. 6개월 전에 미팅하고 다시 만났는데 클라우드에 대한 이해도에 변화가 없는 경우를 많이 봤다. 보안 솔루션 역시 인라인, 에이전트 형태 모두 다르다. 레거시 환경에서 제공되던 보안 기능도 다 지원되지 않는 기능이 있고, 클라우드 서비스에서 대체 가능한 방법도 있다. 경험해보는 것이 중요하다.
최광순 이사 : 퍼블릭 클라우드를 도입한다면 업무 워크로드를 마이그레이션하게 된다. 이 경우 공격면이 증가한다. 이 모든 것을 커버해줄 수 있는 클라우드 보안업체에 컨설팅을 받는 것이 중요하다. 포티넷은 마이크로소프트 애저, 구글, 알리바바, 오라클, IBM, 네이버까지 모든 클라우드 플랫폼을 지원한다. 제품들도 다양하게 구비돼 있기 때문에 적절히 고려할 필요가 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
![[주간 리포트] 국내 기업의 정보보호 현황](https://byline.network/wp-content/uploads/2020/12/cyber-security-2851245_640.jpg)
