최근 수년 사이에 클라우드 서비스가 빠른 속도로 확산되고 있으며 다수의 기업들이 기존의 On-premises 환경의 인프라를 부분적•전면적으로 클라우드 환경으로 전환하고 있습니다. 또한 신규 서비스 구축 시에 처음부터 모든 환경을 클라우드에 구성하는 사례도 점점 늘고 있어 클라우드 환경에서의 보안 수준을 On-premises 수준과 동일한 레벨로 보안 대책을 수립하고 적용해야 하는 상황입니다.

반면 클라우드 서비스 사업자는 “책임 공유 모델”이라는 논리로 클라우드 환경에서의 보안을 클라우드 사업자가 모두 책임지는 것이 아니라 고객과 일정 부분 책임을 나누어 각자 담당해야 한다고 주장하고 있습니다.

아래 그림과 같이 IaaS 환경에서는 클라우드 사업자는 H/W 영역과 가상화 자원에 대한 제공을 책임지고 가상 환경 위에서 구동되는 Host OS, 암호화, 보안 FW 관리, 데이터, 어플리케이션 등 영역은 고객이 책임지도록 요구하고 있습니다.

법적인 Compliane 측면에서는 각 클라우드에서 처리되는 정보의 유형에 따라 아래와 같이 다양한 법규에 대한 체계적인 대응이 필요합니다. 국내에서는 개인정보 보호법, 정보통신망법, 산업기밀 보호법, 위치정보 보호법 등을 준수하도록 하고 있고 해외에서는 GDPR(EU), 네트워크 안전법(중), 개인정보법(러) 등을 통해 국가에서 자국민의 개인정보에 대한 국외 반출을 엄격히 제한하고 있습니다.

따라서 클라우드 아키텍처 및 보안 대책 설계 시 다수 Compliance에 대한 요건을 분석하고 대응할 수 있는 종합적인 보안 대책을 마련해야 합니다.

클라우드 환경에서의 보안 대책 수립 전략은?

클라우드 환경에서 보안 체계를 수립해야 하는 보안 담당자가 구글링을 통해 클라우드 보안에 대한 내용을 검색하면 어떤 내용이 나올까요? 당연히 엄청난 양의 클라우드 보안 관련 콘텐츠가 검색이 됩니다.

보안 솔루션 벤더 사들의 클라우드 보안 솔루션 자료, MSSP들이 제공하는 클라우드 보안 서비스, 클라우드 사업자들이 제공하는 유•무료 보안 기능 등 다양한 정보를 찾을 수 있습니다. 하지만 불행하게도 앞에서 언급한 Compliance들에 효과적으로 대응하려면 어느 한쪽에서 주장하는 보안 대책만으로 완벽한 보안 체계를 수립하는 것은 불가능합니다.

다양한 보안 솔루션이 Market Place에서 판매되고 있기 때문에 솔루션으로 대부분의 보안 요건 해결이 가능합니다. 하지만 클라우드 자원 사용량 증가에 따른 보안 솔루션 라이선스 비용도 지속적으로 증가해 비용 부담 우려가 있습니다. 또한 클라우드 사업자가 보안 기능을 제공은 저렴하긴 하지만 관리 및 모니터링이 불편한 단점이 있습니다.

결국 클라우드 환경에서의 보안 대책 수립은 아래 그림과 같이 Market Place 내 보안 솔루션, 취약점 진단 같은 보안 서비스, 어플리케이션 수준에서 보안 기능 개발, 클라우드 사업자가 제공하는 보안 기능의 활용 등 다각적이고 종합적인 시각에서 보안 대책을 수립해야 합니다.

회사 보안 담당자는 보안 통제 요건도 달성하고 비용 효과성도 확보하기 위해 몇 가지 원칙을 수립하고 그에 따라 보안 대책 적용을 검토해야 합니다.

• 클라우드 사업자가 제공하는 보안 기능을 최대한 활용(무료 또는 저렴함)
• On-Premises에 적용된 보안 대책과의 연계성 고려(부분적 라이선스 증설로 해결 가능)
• DevOps 등 개발 프로젝트에서 어플리케이션에서 제공할 보안 기능은 최대한 구현
• 다른 대안이 없는 보안 요건은 3rd Party 솔루션 연 단위 라이선스 구매

아래 예시 그림과 같이 다양한 보안 대책들은 종합적인 관점에서 검토해 프레임워크 형태의 클라우드 보안 체계 수립이 필요하며 이 또한 클라우드 사업자에 따라 제공하는 보안 서비스의 Scope이 상이하므로 사업자별 특성에 따라 변화가 필요합니다.

아래는 아마존에서 제공하는 보안 관련 서비스들로 DDoS 대응, 웹 방화벽, 취약점 진단, KMS, IAM, 위협 탐지 등 다양한 보안 서비스를 제공하고 있으며, 보안 서비스 제공 범위는 클라우드 사업자마다 상이하므로 사용하는 클라우드 사업자의 서비스 제공 범위를 확인해 적절한 서비스를 이용하면 됩니다.

보안 솔루션, 서비스로 완벽한가?

해킹, 악성코드, 접근제어, 인증, 권한 관리, 암호화 등 보안 요구사항은 적절한 PoC 및 데모 구축, 레퍼런스 체크 등을 통해 3rd Party 솔루션 또는 클라우드 사업자가 제공하는 보안 기능을 활용해 적절한 통제 대책을 수립할 수 있습니다. 하지만 해킹 방어, 접근통제 등으로 해결되지 않는 보안 허점이 있습니다.

바로 운영자의 실수에 의한 보안 hole의 발생입니다. 개발자들이 자유롭게 클라우드 환경 내에 S3, EC2 및 RDS 등을 생성해 활용할 수 있고 인터넷 게이트웨이 연결 등을 통해 인터넷 연결을 쉽게 할 수 있는 만큼 개발자 실수로 인한 중요 정보가 인터넷에 노출될 가능성이 높은 상황입니다.

실제 아래 기사처럼 클라우드 보안 사고의 상당수는 사람에 의한 설정 오류 등에서 비롯된 경우가 많기 때문에 클라우드 환경에 대한 안전한 설정 여부를 지속적으로 모니터링 및 관리해야 합니다.

개발자•운영자의 실수에 의해 발생하는 보안 Risk는 어떻게 관리해야 할까요?
지속적으로 모니터링이 필요한 항목을 정의하고 지속적으로 모니터링할 수 있는 체계를 만드는 방법밖에 없습니다.

모니터링을 잘해야 한다는 것은 알겠는데 어떤 이벤트를 모니터링해야 할까요?
좀 막연할 수 있습니다. 클라우드 사업자에 따라 제공하는 서비스의 종류도 많이 다르기 때문에 모니터링해야 하는 항목도 사업자에 따라 다를 수 있습니다.

클라우드 환경에서의 보안 모니터링 대상 및 방법에 대해서는 아직 표준화가 이루어지지는 않았지만 Internet Security 관련 전문가 커뮤니티인 CIS Benchmark에서 제시하고 있는 다양한 최신 기술들에 대한 보안 가이드라인을 참고할 수 있습니다.

CIS Benchmark 문서에서 제시하고 있는 주요 모니터링 항목은 아래와 같습니다. 중요한 설정값의 변경, 중요 계정의 행위기록, 보안 관련 Config 들에 대한 변경 여부를 로깅하고 모니터링하도록 가이드하고 있으며 Cloudtrail 기능 통해 로깅이 가능합니다.

방대하게 남겨진 로그를 어떻게 분석해야 하는가?

클라우드 사업자가 제공하는 로깅 기능을 통해 남겨진 보안 이벤트를 모니터링하는 일반적인 방법은 자체 운영 인력을 확보하고 운영 프로세스를 수립해 모니터링하는 방법과 외부 보안 관제 서비스를 활용하는 방법이 있습니다.

보안 관련 이벤트를 모니터링하기 위해서는 내부 모니터링을 하든 외부 모니터링을 하든 다량의 이벤트를 효과적으로 수집하고 분석할 수 있는 SIEM 시스템을 구축해 다수 보안 시스템 및 클라우드 자원에서 발생되는 다양할 로그를 분석할 수 있는 기반을 마련해야 합니다.

아마존 AWS를 기준으로 보면 CloudTrail 로그를 보안 관제의 SIEM으로 연동 시켜 AWS 발생되는 다양한 이벤트들에 대한 통합 수집 및 분석이 가능합니다. 아래 예는 ArcSight SIEM쪽으로 연동하는 경우에 대한 아키텍처 구성입니다.

위 구성과 같이 SIEM 시스템을 구성하고 외부 보안 관제 서비스 업체를 활용하는 경우 아래와 같이 몇 가지 어려움이 예상됩니다.

첫째, 기존 보안 관제는 IPS, WAF, Webshell 탐지, 백신 등 보안 솔루션 위주로 이루어져 외부공격 분석에는 전문성이 있으나 클라우드 환경에 특화된 관제 시나리오는 지속적 개발이 필요합니다.

둘째, 클라우드 서비스 사업자 및 제공되는 서비스별로 로그 포맷이 상이해 로그 포맷 분석 및 관제 시나리오 개발에 다수 공수가 발생할 수 있습니다.

셋째, 클라우드 서비스는 DevOps 형태로 개발•운영되어 개발자들이 손쉽게 운영 환경을 변경시킬 수 있어 관제 대상 인프라에 대한 변경사항이 보안 관제 서비스 업체로 적절히 전달되지 못해 보안 관제 대상에 공백이 생길 수 있습니다.

첫 번째와 두 번째 케이스는 클라우드 환경에 특화된 관제 시나리오 개발 및 서비스 로그에 대한 로그 포맷 분석은 시간을 두고 다수의 클라우드 관제 레퍼런스를 만들면 자연히 해결될 것이나 클라우드 서비스 특성에 따른 잦은 서비스 환경의 변화는 외부 보안 관제 서비스를 이용하는데 걸림돌이 될 가능성이 높습니다.

따라서 클라우드 환경에서의 보안 관제는 방화벽, IPS, WAF, Web Shell 탐지 등 외부 공격 탐지 및 방어용 보안 솔루션은 전문적인 분석이 필요하므로 외부 보안 관제 전문업체의 서비스를 활용하고 클라우드 운영 간 발생되는 주요 이벤트는 내부에 모니터링 시스템 및 보안 운영 조직을 구성해 이상 행위에 대한 신속하고 효과적인 모니터링을 할 수 있는 체계를 만드는 것이 바람직합니다.

내부 인력이 로그 모니터링 하는 경우 효율성을 높이는 방법은?

클라우드 환경에 대한 이벤트 분석 방법은 자체 모니터링 시스템을 만드는 방법과 클라우드 서비스 사업자가 제공하는 머신러닝 기반의 분석 서비스를 이용하는 두 가지 방법이 있습니다.

첫 번째로 로그에 대한 자체 분석 체계를 구성해 모니터링하는 방법은 아래와 같이 주요 이벤트를 CloudTrail > CloudWatch > ElasticSearch 등으로 전송해 모니터링 요건에 따른 상세 분석을 진행 할 수 있으며 일부 회사들은 자체적으로 모니터링 화면을 구성해 사용하기도 합니다.

이 경우 모니터링 환경 구성을 위해 모니터링 대상 이벤트에 대한 세부적인 정의 및 모니터링 시나리오 개발은 보안 조직에서 수행하고 수집, 분석, 모니터링 시스템 개발은 개발 부서와의 협업을 통해 구성해야 합니다. 보안 조직 내에서 모니터링 시나리오 개발 및 모니터링 시스템 개발까지 할 수 있다면 최적의 시스템 구성이 가능할 것으로 보입니다.

두 번째 방법은 클라우드 사업자가 제공하는 관리형 서비스를 이용하는 방법입니다. 아마존의 경우 아래와 그림과 같이 GuardDuty 서비스를 제공하고 있으며 해당 서비스 통해 VPC flow, DNS logs, Cloud Trail 로그 등을 통합해 머신러닝 기반으로 미리 정의된 다수 오남용 Case에 대한 분석 결과를 제공해 줌으로 손쉽게 모니터링 환경을 구성할 수 있습니다.

이 경우 클라우드 환경에 대한 특정(클라우드 사업장과 미리 정해 놓은 몇 가지 케이스) 이벤트 모니터링을 통해 이상 행위 대응을 손쉽게 할 수 있습니다. 그 외에 개별 회사 서비스 특성을 고려한 특화된 이벤트에 대한 모니터링은 Cloudwatch, CloudConfig 등을 통해서 별도로 모니터링 방법을 강구해야 합니다.

기존 On-Premise 환경을 이미 클라우드로 전환했거나 빠르게 전환하려는 계획을 세우고 있는 회사라면 외부 보안 관제 서비스 제공사와 클라우드 서비스 사업자가 제공하는 모니터링 서비스를 결합해 모니터링 체계를 신속히 수립하고 운영하면서 모니터링 시나리오를 고도화시킨 후 장기적으로 자체적인 모니터링 시스템 구축을 고민하는 것을 권고드립니다.

클라우드 환경에 대한 보안은 솔루션, 서비스 등을 기본 축으로 효과적인 모니터링 환경을 구축해 운영하는 것이 중요합니다. 클라우드 사업자들이 다양한 기능 및 서비스를 제공하는 만큼 이를 잘 활용해 개별 회사의 상황에 맞는 모니터링 체계를 구성하는 것이 중요하며, 정보 보안 조직의 클라우드 보안 서비스에 대한 이해 및 다양한 API를 활용한 개발 능력을 보유하고 있어야 다양한 클라우드 환경에 대한 최적화된 보안 모니터링 체계를 구성할 수 있을 것입니다.

글 l LG CNS 보안컨설팅팀