“클라우드 보안의 시작과 끝은 계정관리·접근제어”

이 기사는 바이라인플러스가 주최한 웨비나 ‘클라우드 네이티브 보안과 SASE(Secure Access Service Edge)’의 ‘보안을 고려한 클라우드 아키텍처 구성 방안’ 세션을 정리한 기사입니다.

클라우드 환경으로 변화하면서 가장 큰 우려는 보안이다.

위수복 안랩 클라우드서비스팀 팀장은 클라우드 보안에서 가장 중요한 것으로 접근제어를 꼽았다. 가트너 역시 ‘안전한 IaaS(Infrastructure as a Service)와 PaaS(Platform as a Service)를 위해 꼭 알아야 할 5가지’ 중에서 접근제어를 최우선으로 강조하고 있다.

위수복 팀장은 “민감한 데이터에 대한 최소 권한의 액세스를 유지해 계정 및 액세스 관리(Identity and Access Management, IAM) 권한을 확보하라”고 권장한다. 그는 “클라우드 보안의 시작과 끝은 계정 관리”라면서 “각 사용자 업무 특성에 맞는 권한을 부여하는 것이 중요하다”고 강조했다. 이를테면 개발자는 개발 시스템에만 접근할 수 있도록 하고, 운영자는 운영 시스템에만 접근할 수 있도록 각 업무와 역할에 맞도록 계정을 분리하고 각각에 딱 필요한 만큼의 권한만을 부여해야 한다는 것이다.

AWS 환경에서 접근을 통제하기 위해선 IAM을 사용하는 것이 좋다고 밝혔다. IAM은 보안주체와 각 보안주체의 접근 권한을 정의하고 권리하는 서비스. 다시 말해 누가 어떤 리소스들에 의해 어떤 일을 할 수 있는 권한을 갖는지를 정의하는 도구다. IAM에서 보안 주체는 IAM User와 IAM Role로 나눌 수 있다.

위 팀장은 “환경별로 어카운트를 분할하는 것은 초기 설정은 조금 복잡해도 관리 통제를 강화할 수 있으며 최대한 어카운트를 분할해서 관리할 뿐 아니라 각 어카운트 단위로 사용료를 관리할 수 있어 비용 측면에서도 장점이 있다”며 “가장 현실적인 방법”이라고 밝혔다. 만약 환경별로 VPC(Virtual Private Cloud)를 분할하게 된다면 초기 설정은 간단할 수 있어도 관리 통제가 약할 뿐 아니라 전담 개별 인력을 두어야 할 만큼 효율성이 떨어진다는 설명이다.

위 팀장은 안랩을 이러한 원칙을 기초로 고객사 환경과 현황을 면밀히 파악, 분석하고 이에 맞는 초기 아키텍처를 수립하고 있다고 설명했다.

글. 바이라인네트워크

<김윤경 선임기자> s914@byline.network