베스핀글로벌 / 정현석 상무
코로나19 팬데믹 이후, 온라인을 통한 외부와 소통하는 방식의 언택트(Untact) 시대가 본격적으로 펼쳐져 민간기업 뿐만 아니라 공공부문에 이르기까지 디지털 전환의 요구가 더욱 커지고, 그 속도가 빨리지는 것을 우리는 경험하고 있다.
아이부터 어른에 이르기까지 온라인 수업과 재택근무는 더 이상 낯설고 새로운 것이 아닌 우리의 일상으로 자리잡았다. 또한 원격진료, 온라인쇼핑, 인터넷뱅킹, 인터넷 검색, SNS, OTT 서비스 등을 이용한 디지털 여가활동의 사용 비중은 코로나19 이전 대비 큰 폭으로 증가하였다. 교육, 근무, 금융, 소비, 여가활동 등 우리의 일상생활 전반이 아주 빠르게 디지털로 전환되고 있는 것이다.
이렇게 비즈니스와 사회전반에 디지털 트랜스포메이션이 가속화, 고도화되는 상황에서 기업이 더욱 주목하고 있는 기술적 역량은 무엇일까?
PwC가 발표한 ‘2022년 글로벌 CEO 설문조사’에 따르면 조사에 참여한 CEO 4446명중 49%가 올해 회사의 성정을 위협할 최대 글로벌 리스크로 ‘사이버 보안’을 꼽았다. 레드햇이 발표한 ’2022 글로벌 전망 보고서’에 따르면 IT 리더 및 의사 결정권자 1,341명중 46%는 2022년 최우선으로 투자할 IT 기술 분야를 'IT 보안'이라고 답했다. 이는 코로나19 장기화로 사이버 공간이 크게 확장됐지만 이에 걸맞은 보안 역량이 따라오지 못하면서 회사와 산업 자체에 위기가 올 수 있다는 우려가 작용한 결과이다.
실제 디지털 트랜스포메이션이 진행될수록, 즉 IT가 비즈니스의 중심이 될수록 사이버 공격과 피해는 폭발적으로 늘어나는 추세이다. 2020년 1월부터 4월까지 클라우드 서비스에 대한 공격이 기존보다 무려 630% 증가했으며, 2021년 IBM데이터유출비용 보고서에 따르면 국내 24개 대기업의 데이터 침해 비용으로 평균 51억원이 소요되었다고 한다.
사이버 위협이 더이상 우려가 아닌 현실로 나타나고 있는 지금, 안전하고 강력한 클라우드 보안 역량을 확보하기 위해 어떤 전략이 필요할지 베스핀글로벌의 보안 환경 구축 사례를 통해 함께 살펴보자.
Ⅰ. 클라우드 보안 위협 사례
클라우드 보안 전략을 구축하기 위해서는 먼저 클라우드 서비스에 대해 어떤 침해 사고가 발생하는지 알아야 한다. 다양한 유형의 사고가 있지만, 크게 2가지 유형으로 나눌 수 있다.
첫째는, 많은 사용자들이 기존의 모바일과 웹상에서 자주 사용하는 비밀번호를 클라우드에서 동일하게 적용하여 사용하는 경우가 많은데 이것을 노린 해커의 공격이 자주 일어나고 있다. 해커는 보안에 취약한 사이트를 탐지하고, 다양한 방법으로 사용자의 ID를 쉽게 얻어낸 후, 이 ID를 활용해 PW를 알아내기 위한 Brute Force공격을 한다. 이후 알아낸 PW를 통해 클라우드 환경에 접속해 비트코인을 채굴하거나 다른 기업을 공격하기 위한 거점으로 활용하기도 한다. 이러한 공격이 마치 나에게는 일어나지 않을 것 같지만, 실상은 굉장히 많이 일어나는 침해사고 중 하나이다. 이러한 위협은 MFA를 적용하거나 PW를 수시로 변경해주기만 해도 예방할 수 있는데, 클라우드 사용자들이 편의성 때문에 이런 부분을 놓치는 경우가 자주 생긴다.
<그림1. 클라우드 공격 유형>
둘째는 다크웹이라는 사이트를 통한 침해이다. 다크웹은 해커들이 탈취한 기업의 정보를 사고 파는 곳으로 이곳에 정말 많은 클라우드 계정정보가 올라와 아주 저렴하게 거래된다. 얼마전에는 국내 어느 대기업의 데이터가 올라오기도 했다. 공격자는 다크웹에서 클라우드 계정 정보를 구매하여 Github 같은 곳에서 구매한 인증정보를 활용해 다른 정보를 탐색하고, 클라우드 주요자원에 접근하여 고객의 데이터를 탈취하거나, 2차 공격을 위해 권한을 상승 또는 취약점을 스캔하여 무차별 공격을 감행한다. 이때 미사용 계정을 삭제하고, 주요 크리덴션 정보는 암호화하여 보관하는 방식을 하면 지킬 수 있는 공격이다.
Ⅱ. 클라우드 보안 피해 사례
이러한 사이버 공격을 받게 되면 어떤 피해를 입을까? 크게 4가지로 나타난다.
첫째, 가장 많은 사례는 랜섬웨어 공격을 통해 기업의 데이터를 암호화하여 돈을 요구하는 것이다. 보통 1million~10miilon 정도 규모가 많다. 둘째, 클라우드 자원을 활용하여 비트코인을 수집하는 경우로 보통 기업에서 알게 되기까지 수천만원에서 수억 원까지 손해를 본다. 셋째, 기업의 데이터를 탈취하여 파는 경우로, 많은 기업의 데이터 해커들 사이에서 거래되는 사이트에서 판매가 되고 있다. 그리고 마지막은 다른 기업공격을 위한 서버로도 활용된다. 얼마전에 공격으로 활용되었던 해커의 서버를 분석한 적이 있었는데, 놀랍게도 그 서버안에는 수많은 기업의 데이터가 담겨 있었다.
최근 들어 국내도 많은 피해 사례가 접수되고 있다. 그러나 사이버 공격자를 검거하는 일은 굉장히 어렵고, 기업의 주요한 IT 자산이 한번에 무너질 수 있는, 위험도가 높은 일이기 때문에 예방하는 것이 최우선이다.
Ⅲ. 클라우드 보안 환경의 특징
그렇다면 클라우드 보안 사고의 주요 원인은 무엇일까? 놀랍게도 클라우드 보안 사고의 99%는 사용자 실수에 의해 발생한다. 즉, 잘못된 설정이나 미숙한 관리체계로 침해 위험도가 올라가는 것이다. 가장 큰 이유는 기업과 기관이 자사가 사용하는 클라우드 환경에서의 보안에 대한 이해도가 부족하기 때문이다. 클라우드 환경 자체가 전통적 보안 솔루션을 적용하기에 굉장히 복잡한 구조를 가지고 있는데, 이에 대한 이해가 충분하지 않아 기존 보안 솔루션과 정책으로 클라우드 서비스를 보호할 수 있다고 생각하는 것이다.
클라우드는 기술이 완전히 다르다. 네트워크, 서버, 스토리지 등의 리소스를 구동하고 사용하는 방식이 완전히 다르다. 매년 새로운 기술이 봇물처럼 쏟아진다는 것도 특징이다. 현재 클라우드에서 새롭게 나오는 많은 기술은 레거시 환경에서는 존재도 하지 않았다. 그러니 당연히 보안에 대한 준비도 안 되어 있었을 것이다. 또한 책임공유모델이 존재한다. 즉, AWS와 같은 CSP에서 책임지는 보안 영역이 있고, 사용 기업에서 책임지는 영역이 존재한다. 생각보다 많은 사용자들이 클라우드 보안은 그저 CSP에서 제공해 준다고만 생각하는데, 절대 그렇지 않다는 점을 알고 있어야 한다. 그리고 인증 권한 수준이 다르다. 이것이 클라우드 보안을 복잡하게 하는 요소인데, 예전에는 사람에 대한 권한만 통제했다면 클라우드에서는 사람뿐만 아니라, 리소스, API, 등에 대한 권한도 통제해줘야 하기 때문에 굉장히 복잡하다.
결론적으로, 클라우드 보안은 레거시 보안과 완전히 다르다는 것이다. 그래서 기존 보안 컴플라이언스, 기술, 거버넌스, 역량으로는 해결이 불가능하다. 이제 클라우드 사고의 99%가 사용자 실수에서 발생한다는 점을 이해할 수 있을 것이다.
- 클라우드 보안 정책
베스핀글로벌에서는 매년 ISO27001, 27701, 27017, 207018, ISMS를 취득하고 있는데, 이러한 국제적인 컴플라이언스들이 클라우드의 보안 항목을 잘 반영하지 못하고 있다. 최근 개정된 국내의 대표적인 ISMS 인증조차도 클라우드를 잘 반영하지 못하는 점은 굉장히 아쉽다. 그렇기 때문에 기업에서는 기존 컴플라이언스뿐만 아니라 클라우드 모범사례, 예를 들어 CIS Benchmark 등을 이용하여 새롭게 정책을 만들어야 하는 어려움이 있다. 그래서인지 대부분의 업체에서는 클라우드 보안 정책이 없으며, 있다 하더라도 굉장히 기본적인 것이 사실이다. 하지만 클라우드 보안에 있어서 정책은 가장 중요하기 때문에 가장 먼저 확립하여야 한다. - 클라우드 보안 방식
기존 데이터센터의 보안은 경계형 보안으로서 벽을 쌓는 방식으로 구축했다. 하지만 클라우드 서비스는 공항처럼 누구나 그 안에 들어올 수 있기 때문에 벽을 만들 수가 없다. 그래서 인증과 권한 그리고 추적할 수 있는 모니터링 환경을 구축하는 것이 굉장히 중요하다. - 네트워크 보안 방식
기존 네트워크 보안은 경계 중심의 보안으로 신뢰구간과 비신뢰구간을 구분하는 방식을 썼다. 그래서 망분리라는 개념도 있다. 하지만 클라우드는 모든 것이 안전하지 않다는 제로 트러스트 네트워크 원칙을 기반으로 모든 곳을 비신뢰구간으로 여겨야 한다. 더불어 클라우드는 기본적으로 퍼블릭 망에 존재하기 때문에 망에 대한 기준이 완전히 달라져야 하고 그에 맞는 네트워크 보안을 구축한다. - 계정 보안 방식
클라우드에서의 계정은 굉장히 중요하다. 한 기업이 여러 개의 클라우드를 활용한다면 중요성은 더해지는데, 어떤 사람이 어떤 클라우드에 들어갈 수 있고, 그 클라우드 안에서 어떤 행동을 할 수 있는지에 대한 관리가 잘 되어야 한다. 또한 클라우드 보안에서 권한은 굉장히 막강하기 때문에 하나의 계정이 뚫리면 모든 보안 체계가 한 번에 무너지는 상황을 막기 위해서 보안 인증체계를 잘 가져가야 한다. 기본적으로 MFA를 도입하여 계정이 뚫리는 상황에 대비해야 하는 것이다. - 개발 보안 방식
최근 비즈니스 혁신을 위해서 개발속도를 높이고자 DevOps 개념을 많이 도입하는데, 클라우드는 개발-스테이징-운영 환경이 모두 클라우드에 있기 때문에 소프트웨어 개발 라이프 사이클에서부터 일찍 보안점검을 진행하는 Shift Left 보안이 중요하다.
<그림2. 클라우드 보안의 다른 점>
- 데이터 보호 방안
매년 수 백 개씩 생겨나는 신기술에 대한 보안이 필요하고 퍼블릭 망인 클라우드 안에서 개인정보, 민감정보를 관리하기 위한 데이터 보호 방안이 필요하다. 또한 최근에는 CSP에서 제공하는 클라우드 네이티브 보안 서비스와 3rd party 보안 제품에서 중에서 선택하는 것을 너무 어려워하는데, 현재는 어떠한 보안 방식도 완벽하지 않기 때문에 이를 적절하게 조합하여 사용하는 방법을 찾아야 한다(최근 중요 제품의 순위가 바뀌고 있다). - 보안 관제
기존에는 네트워크 중심의 보안관제 시스템을 운영했는데 이는 클라우드 사용행위에 대한 모니터링, 클라우드 리소스에 대한 관제, 관리형 서비스에 대한 모니터링이 안되기 때문에 클라우드형 보안 관제를 다시 구축해야 한다. - 보안 인력의 역량
클라우드 보안은 보안기술 뿐만 아니라 전반적인 클라우드와 신기술에 대한 지식이 필요하고 모든 보안 기술을 Code로 관리할 수 있는 역량이 필요하다. 때문에 보안 인력은 이러한 기술을 습득하기 위한 노력을 해야 한다. 또한 클라우드 보안 지식은 굉장히 넓기 때문에 클라우드 보안 전문 업체와 집단지성을 구축하여 완벽한 보안 체계 마련할 필요가 있다.
이처럼 클라우드 보안은 완전히 기존 레거시 환성과 다르고 매우 복잡하다. 그렇기 때문에 Security Transformation 필요한 것이다.
<그림3. 클라우드 보안의 다른 점 2>