“클라우드 서비스 도입은 경영자들에게는 어쩌면 희망, 개발자들에게는 큰 기회, 보안담당자에게는 먹구름.”

클라우드 서비스가 처음 등장한 이후 지금까지 최대 잇점과 혜택으로 비용절감과 신속한 서비스 개발·출시가 꼽혔다. 기업 경영진 입장에선 이게 현실화된다면 클라우드 서비스는 꽤 매력적이다.

개발자 입장에서도 클라우드서비스는 환영할만하다. 전통적인 온프레미스 환경에 비해 클라우드 서비스에서는 더 많은 기회와 자율성을 확보할 수 있다는 점에서다.

그렇다면 보안담당자에게 클라우드 서비스란? “먹구름이자 악몽같은 수준.” ‘배달의민족’으로 유명한 우아한형제들의 김동현 정보보안팀장의 말이다.

우아한형제들은 IT 환경의 대부분을 퍼블릭 클라우드 서비스로 이전했다. 아마존웹서비스(AWS)를 사용하고 있다.

김 팀장은 AWS를 운영하면서 얻은 실제 경험을 한국침해사고대응팀협의회가 6일 과학기술회관에서 개최한 ‘기업 정보보호 이슈전망 – CONCERT FORECAST 2019’ 세미나에서 공유했다. 발표 주제는 ‘클라우드 사용 환경에서 보안담당자의 어려운 점(pain point)’이었다.

퍼블릭 클라우드 서비스는 온프레미스 환경과는 크게 다르다. 일단 자산 투자(CAPEX) 방식이 아닌 자원을 사용하는만큼 비용(OPEX)을 과금하는 방식이다. 유연성과 민첩성은 높고 접근성도 뛰어나다. 누구나 언제 어디서나 접근 가능하고, 가시성을 확보하는 것은 온프레미스 환경보다 어렵다. 이 두가지는 보안성을 낮추는 요소이기도 하다.

김 팀장은 이같이 비교 설명하면서 “온프레미스 환경에서는 접근제어를 통해 특정자산에 누가 접근하고 있고 권한을 갖고 있는지 쉽게 알 수 있지만 클라우드는 권한부터 먼저 준다. 누가 권한을 갖고 있는지 파악도 어렵다. 접근성이 워낙 높아 회사내는 물론 언제 어디서나 누구나 접근할 수 있고 통제하기 힘들다”며 “관리가 잘 이뤄진다면 클라우드 보다는 온프레미스 환경이 보안성과 신뢰성 측면에서 더 높을 수 있다”고 말했다.

변동성 크고 접근성 높고 가시성 확보는 어렵고…클라우드 보안 걸림돌

보안담당자를 어렵게 하는 퍼블릭 클라우드 서비스의 특징으로 김 팀장은 ▲변동성 ▲가시성 ▲접근성 ▲전문성을 꼽았다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

변동성과 관련해 그는 “온프레미스 환경은 자산을 변경할 수 있는 권한이 주로 시스템엔지니어(SE)직무로 한정된다. 하지만 클라우드에서는 개발자에게도 부여된다. 누구나 변경할 수 있다고 할 수 있다”라면서 “클라우드에서는 기존에는 상상하지 못할 정도로 리소스 변화가 심하다”고 설명했다.

이어 “이처럼 변동성이 높은 환경에서 정보보호관리체계(ISMS)를 받아야 할 경우 위험평가를 시행해야 할텐데, 위험관리를 위한 자산식별은 어떻게 해야 하고, 자산목록은 어떻게 만들어야 할까?”라고 토로했다.

가시성을 확보하기가 어렵다는 문제도 크다. 일단 ‘TML(Too Much Log)’부터가 문제다.

AWS에서 제공되는 서비스는 엄청 많다. 클라우드 서비스 이용자들은 가능하면 다양한 서비스를 사용하길 원한다. 다양한 제품과 서비스를 사용하게 되면 그만큼 또 많은 이벤트와 로그가 생성된다.

우아한형제들의 경우 메인계정에서만 발생하는 이벤트가 하루 800만개에 달한다. 이같은 이벤트 홍수 속에서 사람이 중요한 위협을 식별하고 걸러내는데 현실적인 한계가 있을 수밖에 없다.

네트워크 트래픽에 대한 가시성 확보도 어렵다. 김 팀장은 “네트워크 트래픽을 보려 하면 기존 환경에서는 구성도 상에서 원하는 구간만 찍어서 간단하게 확인할 수 있었지만 클라우드상에서는 안된다”고 했다.

그는 “(AWS에서는) 시큐리티그룹이 방화벽 역할을 대신하는데 적절성을 검토해보면 사람이 할 수 없다. 또 클라우드 환경에서는 보고 싶은 것에 대한 포맷과 양이 너무 난해하고 많아서 온프레미스 환경처럼 한다는 것 자체가 불가능하다”고 덧붙였다.

‘언제 어디서나’ 접근할 수 있다는 클라우드의 특징 역시 보안을 어렵게 만드는 요인이다.

김 팀장은 “애니타임(Anytime), 애니웨어(Anywhere), 디폴트(Default) 0.0.0.0이라고 할 수 있다. 이는 방화벽에서 인바운드 애니(Any)로 오픈된다는 것이고, 보안팀 모르게 개발자들이 외부에서 언제든 서비스 인스턴스를 빈번하게 사용(생성, 삭제, 중지, 변경 등)할 수 있다는 의미”라면서 “온프레미스 환경에서는 인터넷과 연결되는 방화벽만 잘 관리해도 일정수준의 보안관리가 가능했지만 클라우드는 어디를 관리해야 하는 것인지 고민된다”고 지적했다.

(이용자, 서비스제공자, 보안업체)의 클라우드 보안 전문성, 아직은 부족

김 팀장은 변동성, 가시성, 접근성 문제로 인한 보안 어려움의 근본 원인이 전문성 부족에 있다고 진단하기도 했다.

대개 회사 내부에 클라우드 전문가가 없거나 부족할 경우, 매니지드서비스(MSP)를 통해 서비스를 받는 방법이 있지만 현재까지는 원하는 수준의 서비스를 보장할 수 없는 상황이다.

클라우드 환경에서 보안성은 물론 신뢰성에 있어서도 “생각보다는 낮다”고 평가했다. 클라우드 서비스 제공업체들이 클라우드는 신뢰성이 높다고 제시하고 있고 또 흔히들 그렇게 여기고 있지만, 기대수준에는 못 미친다는 얘기다.

AWS 등 퍼블릭 클라우드 서비스 장애가 발생했던 사례 가운데 상당부분은 해당 사업자들의 실수 등으로 발생한 탓이 크다. 김 팀장은 “서비스사업자들의 휴먼에러로 일으킨 장애가 대부분이었던 것을 보면 이들의 전문성에 대한 신뢰도 역시 굉장히 높다고 볼 수 없다. 또 서비스 제공업체들이 저지르는 실수는 이용하는 기업이 통제할 수 없다는 문제도 있다. 때문에 대응시간이 온프레미스 환경보다 오히려 길어지기도 한다”고 지적했다.

클라우드에 적합한 보안 솔루션과 서비스 측면에서도 아직까지 기대수준에 오르지는 못했다는 진단이다. 김 팀장은 “클라우드 보안 전문 솔루션과 서비스의 경우, 외산 보안 제품들이 많지만 국내 서비스 지원이 어렵다. 우리나라에서 기술지원을 받을 수 있냐고 물어보면 긍정 답변을 받기 어렵다”고 했다.

비용 또한 쉽지 않은 문제다. 클라우드 보안서비스도 사용량에 따른 과금체계다. 그는 “하루 800만 이벤트를 발생하는 기업은 엄청난 비용을 지불해야 하기 때문에 비용부담이 크다. 경영진을 설득하기도 어려울 것”이란 우려를 나타냈다.

새로운 보안 패러다임으로 전환

이같은 현실적인 장벽을 넘어서기 위해 우아한형제들은 기존과는 다른 접근방법을 시도하고 있다. 기존 보안 접근방식인 계정·접근권한 관리와 제어, 방화벽 정책관리 등 접근제어(Access Control)와는 달리 모니터링과 대응(Monitoring&Response) 중심의 클라우드 보안체계를 구축하는데 주력하고 있다.

김 팀장은 “기존처럼 접근통제에 집중하는 대신에 실제 사용자와 외부 이용자, 공격자들의 행위를 모니터링, 탐지하고 빠른 시간 내에 최대한 빠르게 대응하는 체계를 구축해 기존까지 달성해온 보안수준에 근접하기 위해 패러다임을 바꿔 접근하고 있다”고 소개했다.

또 “이 방식이 모든 기업에 해답이 될 수는 없겠지만, 패러다임은 변화할 수밖에 없다”라면서 기존처럼 접근통제 방식을 고수한다면 일하는 속도가 굉장히 느려질 것이고, 지금처럼 서비스를 다양하게 변화시켜나가기 어려울 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network