베스핀글로벌 / 정현석 상무
비즈니스 세계에서 디지털트랜스포메이션(이하 ‘DT’)이 급속도로 확산되고 있다. 쿠팡, 우버, 에어비앤비와 같은 많은 디지털 네이티브 기업들이 시장에서 승승장구하면서 기존 기업들은 앞다퉈 생존을 위한 DT를 추진하고 있다. 특히 최근 신종 바이러스인 코로나19 발생 이후 전세계 비즈니스는 급격하게 지형 변화가 나타나고 있으며, 사람과의 접촉하지 않는 언텍트(Untact) 시대가 활짝 열리고 있다. 이러한 시대에서 비즈니스의 연속성을 보장하는 효과적인 수단으로 클라우드가 조명 받고 있다.
DT의 수단으로 클라우드 활용이 많아지고 있는 가운데 클라우드 보안 이슈가 많이 발생하고 있어 DT를 추진하는 기업들의 고민이 커지고 있다. 글로벌 보안 기업 맥아피에 따르면 “코로나 19가 본격적으로 확산되기 시작한 20년 3월부터 클라우드 서비스에 대한 공격이 630% 증가했는데, 공격자는 민감한 데이터를 식별하고, 잘못 구성된 클라우드를 악용해 침입하며, 클라우드 취약성을 이용해 데이터 수집 유출했다”고 발표했다.
하지만 공격이 많은 것이 꼭 보안에 취약하다는 것을 의미하지 않는다. 클라우드 서비스 역시 보안에 대한 철저한 준비가 ?되어 있고, 클라우드 사용자가 추가적인 제품을 활용하여 강력한 보안 환경을 만들 수 있다. 무엇보다 클라우드 인프라 보안은 클라우드 서비스 제공업자가 책임지기 때문에 기존 레가시 보안 환경보다 더욱 진보됐다고도 할 수 있다.
<그림1. 클라우드 보안 문제 (출처: ZDNET, IT조선)>
클라우드 서비스가 기존 레가시 시스템보다 보안에 취약하지 않다면, 그럼 왜 클라우드 서비스에서 보안 문제가 많이 발생하는 걸까?
클라우드는 기본적으로 프로그래밍 혹은 코드로 구성되어 있어 공격은 쉽고 방어는 어려운 구조를 가지고 있다. 즉 공격할 수 있는 루트가 다양하기 때문에 방어하기가 쉽지 않다는 것이다. 이런 상황에서 보안을 책임지고 있는 기업 보안 담당자가 클라우드에 대한 이해가 부족한 점이 최근 보안 사고의 주된 원인이다 말할 수 있다. 이를 증명하듯 ISC가 2020년에 사이버 보안 전문가를 대상으로 실시한 ‘클라우드 보안 리포트2020’에서 사이버보안 전문가 94%가 퍼블릭 클라우드 보안에 대해 우려하고 있다고 답했으며, 클라우드 보안 준비 상태에 대해 어떻게 평가하는가 라는 질문에 전체 응답자의 69%가 팀의 보안 준비 상태가 평균 이하라고 평가 했다. 또한 글로벌 리서치 기업인 가트너도 사용자에 대한 부족한 지식을 경고하면서 “클라우드의 침해의 99%는 사용자 실수에 의해 발생한다고” 말했으며, 글로벌 IT 기업인 IBM은 “클라우드 위협의 19%가 잘못된 설정에 의해 발생했다고” 분석한 내용을 발표했다. 이를 종합해 볼 때 최근 보안 사고의 주된 원인이 보안 담당자의 이해 부족에 따랐다는 것이 증명되었다고 할 수 있다.
<그림2. 클라우드 보안에 대한 이해 부족 (출처: 1) Gartner 2)Barracuda)>
클라우드 보안에 대한 이해가 부족할 경우 기존 보안 정책과 솔루션으로 클라우드를 보호할 수 있다고 생각하기 쉽다. ISC의 보고서에 따르면 “보안 전문가의 82%가 전통적인 솔루션은 작동하지 않거나 제한적인 기능만 사용할 수 있다”고 답했다. 이는 기존 레가시에서 사용하는 보안 정책과 기술로는 안되며, 클라우드 맞는 특화된 보안 정책과 기술이 새롭게 필요하다는 것을 의미한다.
<그림3. 데이터 유출 비용 (출처: 2021 IBM 데이터 유출 비용 보고서)>
결론적으로 최근 클라우드 보안 사고에 대한 주된 원인은 다음 네 가지로 정리할 수 있다. 첫번째는 앞서 이야기 했던 클라우드 보안에 대한 이해 부족이다. 즉 기업 보안 담당자는 클라우드 클라우드 인프라, 클라우드 기술, 관련 법규 등 클라우드에 대한 이해와 책임공유모델에 대한 이해가 부족하다. 둘째로 클라우드 보안 정책 부족이다. 클라우드에 대한 보안 컴플라이언스가 반영된 주기적 점검기준, 보안성 심의 등을 위한 회사의 보안 정책, 가이드, 체크리스트가 아직 마련되지 않았다. 셋째로 클라우드 환경에서의 기술적, 관리적 보안 방안 부재이다. 즉, 클라우드 환경에서의 보안 위협과 필요 보안 기능을 인지하고 이에 대응할 최적의 보안 솔루션/서비스에 대한 준비가 필요하다. 넷째로 새로운 클라우드 기술에 대한 보안 방안 부재이다. 클라우드 서비스는 매년 수백 개 이상의 신규 서비스가 나온다. 컨테이너, 서버리스 등 새로운 클라우드 기술의 지속적인 등장으로 보안의 영역이 확장 되고 새로운 보안 기술이 필요하다. 앞서 설명한 네 가지 문제점을 정리하면, 대부분의 기업은 클라우드 보안에 대한 준비가 전혀 안되어 있다고 정의할 수 있다.
<그림4. 클라우드 보안 Pain Point (출처: 베스핀글로벌)>
그렇다면 클라우드 보안에 대해서 무엇부터 시작해야 할까?
가장 먼저 클라우드 보안에 대한 이해부터 시작해야 한다. 필자는 본 아티클을 통해서 클라우드 보안이 기존 보안과 어떤 차이가 있는지 설명하고자 한다.
<그림5. 기존 보안 vs 클라우드 보안 (출처: 클라우드 보안-황치하, 양지언)>
기존 방식의 보안은 기본적으로 벽을 만들어 외부 침입을 통제하는 모델이다. 왕을 보호하기 위해 성을 쌓은 것처럼 우선 허가되지 않은 사람 혹은 시스템이 내부에 들어오지 못하게 막는 것으로부터 시작한다. 내부 시스템은 완전히 외부와 분리하여 운영을 하고, 일부 외부 통신이 필요한 시스템만 외부와의 연동을 허용한다.
반면 클라우드 서비스에는 벽이 없다. 호텔 혹은 공항처럼 언제 어디서부터 누구나 서비스 안으로 들어올 수 있다. 많은 사람이 다양한 곳으로부터 들어오는 구조라서 성벽과 같은 벽을 만들어 관리하는 것이 불가능하기 때문에 사람에 대한 인증, 권한 그리고 추적 등의 보안 기능이 중요하다.
또한 클라우드 보안에서는 책임공유모델이 존재한다. 기존 레가시 환경에서는 서비스를 위한 하드웨어, 인프라, 어플리케이션, 데이터 등에 대한 오너십이 모두 사용자에게 있어서 기업자체에서 전체 시스템에 대한 보안 대책을 마련했다. 하지만 클라우드 환경에서는 책임공유모델에 따라 클라우드 서비스 사업자와 사용자간에 역할이 나누어 진다. 클라우드 서비스 사업자는 하드웨어, 네트워크, 시스템 등에 대한 보안을 책임을 가지고,? 클라우드 사용자는 권한 및 인증, 데이터 보안, 어플리케이션, 클라우드 자원에 대한 보안을 책임져야 하는 영역이라는 점을 꼭 인지하시고 사용자 영역에 대한 철저한 보안을 준비해야 한다.
<그림6. 보안 책임 모델 (출처: 베스핀글로벌)>
클라우드 보안에서는 새롭게 생기는 몇가지 보안 영역이 있다. 첫번째로는 클라우드 자원이 워낙 많고 실시간으로 줄었다 늘었다 할 수 있는 환경이다 보니 효과적으로 시각화하기 위해 CSMP(Cloud Security Posture Management)를 반드시 사용해야 클라우드 보안을 할 수 있다. 두번째로는 클라우드에서 새롭게 생긴 기술 즉, 서버리스 컨테이너, API 방식의 풀 매니지드 서비스 등에 대해서 보안 관리할 수 있는 CWPP(Cloud workload Protection platform)을 고려해야한다. 세번째로는 통합 Access 관리이다. 기존 레가시 보안에서는 모든 네트워크를 중앙에서 통제할 수 있었다. 하지만 언제 어디서든 접속이 가능한 클라우드는 중앙에서 네트워크를 통제 할 수가 없는 환경이며, 또한 멀티 클라우드를 활용하거나, IaaS, SaaS를 활용할 때는 사용자에 대한 인증, 권한, 추적이 한계가 있기 때문에 반드시 SASE(secure access service edge)라는 클라우드형 네트워크 서비스가 필요하다.
<그림7. Cloud Security Core Topic Coverage (출처: 가트너)>
결론적으로 클라우드 보안과 기존 보안을 비교하면, 보안 방식에서 기존 레가시 방식의 보안은 벽을 만드는 계층 방어 형태였다면, 클라우드 보안은 사용자 인증 및 권한을 제어하는 방식으로 진행되고, 기존 보안에서 통제 대상이 사람이었다면 클라우드에서는 사람과 서비스를 모두 통제해야 해서 굉장히 복잡하다는 점이며, 기존 데이터센터는 자동화가 안되어 있는 반면, 클라우드에서는 자동화가 되어 있어 보안 역시 코드로 관리할 수 있는 방법을 고려해야 한다는 점이 있다.
또한 기존보안에서는 모든 것을 기업이 책임져야 했던 반면 클라우드에서는 책임공유모델에 의해서 CSP 에서 담당해야하는 영역이 존재하고, 인프라 복잡성이 클라우드에서는 광장히 복잡하고, 동적자원이라는 점이 특징이며, 클라우드 서비스에서 사용자의 자원 통제의 권한은 굉장히 넓어서 침해사고가 발생하면 그 피해가 상당한 점을 기억해야 한다.
마지막으로 클라우드에서는 매년 1,000개가 넘는 새로운 기술과 서비스가 생겨나고, 그 새로운 서비스는 기존 레가시에는 존재하지 않았던 기술이기 때문에 새로운 자원에 대한 보안 고려가 필요하다.
<그림8. 보안 비교 (출처: 베스핀글로벌)>
앞으로도 비즈니스 혁신 위해서는 많은 기관이 클라우드를 사용할 것이다.
IT와 Data가 갈수록 중요해 지는 현재 상황에서 보안은 기업의 목적을 위해 중요한 부분이다. 그러나 기존 레가시 보안과 클라우드 보안는 굉장히 다르기 때문에 확실한 준비가 필요하다. 가장 먼저는 보안 담당자가 클라우드 보안에 대한 이해로부터 시작하는 것이 좋다. 본 내용을 잘 참고하여서 안전한 클라우드를 활용하시기 당부 드리며 클라우드 보안에 대한 내용을 마친다.
참고자료
- 사이버 팬데믹 2021
- 클라우드 보안(황치하, 양지언)
- 2021 IBM 데이터 유출 비용 보고서
저작권정책
K-ICT 클라우드혁신센터의 저작물인 『클라우드 보안, 무엇이 다른가?』는 K-ICT 클라우드혁신센터에서 베스핀글로벌 정현석 상무에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.