클라우드라는 용어가 생겨나고 우리 삶과 함께하는 것은 이미 오래전 일이 되었고, 이제는 하루도 빠짐없이 기사에 등장하는 그야말로 클라우드 전성시대에 살고 있습니다. 많은 기업이 클라우드를 도입하고 있고, 특히 Public 클라우드는 폭발적으로 성장하고 있습니다. 하지만 환경이 변해도 반드시 지켜야 하는 것이 있습니다. 바로 보안입니다.

클라우드 도입 이전에는 기업 데이터의 유출 및 국가별 Compliance 준수 등을 고려해야 하고, 이후에는 클라우드를 노리는 수많은 위협으로부터 안전하게 지켜야 하는 숙제가 남아 있습니다. 이런 이유로 인해 도입을 망설이게 되고, 도입 후에도 과연 안전할까 하는 의구심을 떨쳐 버릴 수가 없을 것입니다. 그렇다면 클라우드 보안은 어떻게 하면 될까요?

클라우드 보안 연합(이하 CSA)에서는 이러한 고민으로부터 의사결정에 도움을 주고자 업계 담당자들이 우려하는 주요 위협 요소를 선별하여 보고서를 발표했습니다. 클라우드 도입에 앞서 보안 측면에서는 어떤 부분을 고려해야 하는지 지금부터 CSA의 보안 위협 분류에 따라 대책을 살펴보도록 하겠습니다. 

CSA의 ‘클라우드 보안 위협 12가지’

이 보고서에서는 클라우드 등장 이전부터 이미 존재하던 보안 위협과 클라우드 환경으로 인해 야기되는 새로운 보안 위협들의 많은 보안 우려 사항이 있지만, 특히 클라우드 컴퓨팅의 공유, 온디맨드 속성과 관련된 12가지 위협을 선정했습니다. 도출된 위협 요소에 대해 클라우드에서는 어떻게 대응해야 하는지를 확인해 나가다 보면 그 고민은 해결될 것입니다.

주요 위협과 보안 대책

위협은 조직이나 기업의 자산에 악영향을 미칠 수 있는 조건, 사건, 행위 등을 말합니다. 이러한 위협은 퍼블릭 클라우드로 기업의 중요하거나 민감한 데이터가 빠르게 옮겨감에 따라 더불어 증가하고 있습니다. 하지만, 위협은 위험과는 다르게 통제할 수 있는 영역이 아닙니다. 그렇기 때문에 다양한 보안 대책의 검토 및 적용이 필요하게 됩니다.

1. 데이터 유출

데이터 유출은 단순히 어떤 한 가지 위협에 대한 대응이 아닌 외부 공격, 취약성, 악의적 내부자 등에 대한 포괄적인 위협으로부터 발생할 수 있습니다. 때문에 운영자의 로컬 PC에서부터 외부 공격에 이르기까지 아래에서 설명한 2번에서 12번까지의 종합적인 보안 대책을 적용한다면 중요한 데이터를 안전하게 지킬 수 있으리라 생각됩니다.

2. 불충분한 ID, 자격증명 및 접근 관리

서버 및 DB 접속 시 직접 접속이 불가하도록 Proxy 서버를 두고 접속하는 방법을 선택할 수 있습니다. 다른 방법으로는 서비스 제공 업체에서 제공하는 IAM을 이용하여 통제를 수행할 수 있습니다. 클라우드 서비스에 대한 접근 통제를 수행하고, 리소스 사용을 위한 인증, 권한 부여된 대상을 제어하는 기능을 IAM을 통해 수행할 수 있기 때문입니다.

인증 시에는 멀티 팩터 인증을 통해 인증을 강화할 수 있습니다. 이때, 클라우드 자원에 대한 IAM의 수행 주체에 대한 부분을 명확히 이해해야 합니다. 서비스 제공 업체는 서비스 모델에 따라 고객과 책임 소재에 대한 구분을 명확히 하고 있기 때문에 고객은 제공 업체의 역할 및 책임에 대해 반드시 확인해야 합니다.

접근에 대한 모든 이력은 로깅 및 감사를 수행할 수 있도록 하며, 필요하면 3rd Party 솔루션 및 서비스를 이용하여 즉시 분석할 수도 있습니다.

3. 안전하지 않은 인터페이스와 API

서비스 보안과 가용성을 좌우하는 인터페이스 및 API는 유연하고 강력한 보안 제어 기능을 제공합니다. 그 때문에 서비스 제공 업체에서는 악의적인 시도를 차단하고 우회하지 못하도록 설계하고 제공해야 합니다. 일부 업체들은 API에 접근하기 위한 유일한 경로로 IAM 인증을 통해 사용자 지정 권한을 부여해 통제를 수행합니다. 고객은 시큐어 코딩 및 웹 취약성에 대한 점검을 정기적으로 수행할 필요가 있습니다.

4. 시스템 취약성

시스템 취약성은 On-Premise 환경에서부터 계승되어 온 것으로 클라우드에도 같이 적용됩니다. 다만, 일부 CSP에서는 기본 OS에 패치 및 Parameter 설정 등 필요한 조치를 미리 해 놓은 상태로 클라우드를 배포하고 있습니다. 또한, 알려진 취약점, 모범 사례 등 미리 설정해 놓은 규칙과 비교 분석하여 취약점 및 권장 사항을 제공하는 서비스도 제공하고 있습니다.

CSP가 제공하는 다양한 보안 서비스와 도구를 활용해 기존 보안 통제를 대체하고, CSP에서 직접 제공하는 것 외에도 3rd Party 솔루션 및 서비스를 적극적으로 활용한 구축이 가능합니다. 이 밖에도 필요하면 CSP에 사전에 공지하고 직접 모의 침투 등의 점검 활동 등도 기존과 같이 수행할 수 있습니다.

5. 계정 하이재킹

계정 하이재킹 자체는 새로운 위협은 아니지만, 클라우드와 같은 원격 운영 환경에서는 더욱 주의해야 할 필요가 있습니다. 세션 암호화 및 멀티 팩터 인증은 대부분 업체에서 제공하는 기능으로 접근 인증을 강화할 수 있습니다. 특히 관리자 세션의 경우 VPN을 이용하여 외부 위협으로부터 안전한 IPSec VPN 보안 채널 연결하고 모니터링을 구성해야 합니다.

SSL 인증서가 있다면 별도 요금을 지급하지 않고도 사용 가능할 것입니다. 무엇보다 클라우드에 접속하는 관리자의 로컬 PC 자체에 대한 보안이 중요합니다. PC 보안은 백신•방화벽, 피싱•파밍 차단, 웹 보안 위협 차단, 키보드 보안 등을 적용해야 하며, 인터넷이 차단된 망 분리 환경에서 안전하게 사용할 수 있습니다.

6. 악의적 내부자

악의를 품은 내부자의 경우 이미 높은 수준의 권한을 가지고 있을 수 있습니다. 때문에 원격 환경인 클라우드에서도 관리자의 로컬 PC에서부터 보안 통제가 이루어져야 합니다. 먼저 로컬 PC의 DRM, DLP, 외부 전송 모니터링 등을 적용하여 외부 유출을 통제해야 합니다. 또한, 임직원에 대해 지속적인 보안 교육도 필요합니다.

데이터 유출을 고려하여 데이터베이스의 인스턴스 생성 시 암호화 적용도 필요합니다. 이미 서비스 제공 업체에서는 저장 시 자동 암호화를 수행하는 기능도 제공하기도 합니다. 이때 암호키는 H/W 방식의 보안 모듈인 HSM을 제공합니다.

서비스 제공 업체에서는 물리적인 자원과 하이퍼바이저 등을 운영하기 때문에 직원들의 물리적인 접근 권한과 논리적인 접근 권한을 동시에 갖지 않도록 명확한 업무 분장을 실시해야 하며, 데이터 센터 출입 및 물리 보안 시설도 갖추어야 합니다.

7. APT(Advanced Persistent Threats)

APT 공격의 대부분이 이메일에서 시작되는 만큼 초기 탐지에 어려움이 있습니다. 클라우드 환경에서는 운영자 PC를 통하는 경로가 유일한 경로가 될 수 있기 때문에 운영자의 로컬 PC 보안을 철저히 한다면 공격에 당하는 경우의 수는 줄일 수 있습니다. 기본적인 서브넷 분리, 서버 백신 등을 이용하고, 조기 탐지를 위해서 별도의 APT 전용 솔루션을 도입한다면 이상 패턴을 좀 더 빨리 발견할 수 있을 것입니다.

8. 데이터 손실

화재, 지진 등의 자연재해 등에도 서비스 연속성을 유지하기 위해 서비스 제공 업체에서 고가용성 구성이 가능한 환경을 제공해야 하며, 고객은 그에 맞게 이중화를 구성해야 합니다. 데이터 센터 간 백업을 구성할 수도 있고, I/O를 분산시킬 수도 있습니다. 서비스 제공 업체별 특장점을 파악하여 비용 효율적인 환경을 구성할 수 있습니다. 서비스 모델에 따라 경우는 달라지지만, 전적으로 고객이 아키텍처를 설계하고 구성해야 합니다.

9. 불충분한 실사

지금까지 설명한 부분에는 언급되지 않는 부분이 있습니다. 바로 서비스 제공 업체가 서비스 연속성 보장 등의 인프라 및 기술적•관리적 역량을 갖추고 있다는 대전제가 선행되어야 하는 부분입니다. 이 부분이 고객이 클라우드로 전환하는데 가장 우려하는 부분이 아닌가 생각됩니다.

때문에 서비스를 이용하기에 앞서 사전에 업체에 대한 실시가 필요하지만, 현실적으로 불가한 사항입니다. 서비스 제공 업체가 받은 인증을 통해서도 어느 정도 가늠해 볼 수도 있지만, 위험 평가 체크리스트나 SLA 계약 등을 통해 서비스 수준에 대한 확약을 받아야 합니다.

10. 클라우드 서비스의 오용 및 악용

클라우드 자원이 원치 않게 사이버 화폐의 채굴에 이용되거나, 다른 기업 및 조직을 공격하는 도구로 악용될 수도 있습니다. 때문에 자원 사용에 대한 로깅 및 모니터링으로 의도한 목적 외의 행위를 탐지해야 합니다. 최근 EDR, NTA, UEBA 등 클라우드에서 사용할 수 있는 지능형 솔루션들이 개발되고 있어 능동적 대응이 기대됩니다.

11. DoS (Denial of Service)

주요 서비스 제공 업체들은 Anti-DoS 서비스를 기본적으로 제공하고 있습니다. 대규모 인프라를 이용하여 공격을 흡수하거나 분산할 수도 있고, 웹 애플리케이션 방화벽을 이용하여 클라우드에 연결된 네트워크 용량 이상의 공격을 처리할 수도 있습니다. 이런 부분이 클라우드가 가지고 있는 매력이 아닌가 생각됩니다.

12. 공유 기술 취약점

인프라에 대한 직접적인 권한이 없는 고객의 입장에서는 공유 기술 취약점에 대해 전적으로 서비스 제공 업체를 믿을 수밖에 없습니다. 최근 CPU 게이트에서도 보았듯이 하이퍼바이저 및 인프라 영역은 서비스 제공 업체에서 보안을 책임지고 안정성을 제공해야 합니다. 고객은 기본적인 네트워크 분리를 시작으로 업무 특성상 보안 강화가 필요하다면 OS 레벨의 방화벽 및 모니터링을 추가 구성하여 통제를 강화할 할 수는 있습니다.

지금까지 클라우드 도입 시 업계 담당자들이 우려하는 보안 위협에 대한 그 해결책을 살펴봤습니다. 보안에 대한 모든 영역이 아닌 우선순위에 따른 상위 12가지 위협에 대해서만 짚어 봤기에 미처 다루지 못한 부분이 있기는 하지만 이는 CSP 선정 시에도 주요하게 고려되어야 할 부분이기 때문에 반드시 이러한 환경을 제공하는 업체를 선정하는 것이 중요합니다.

클라우드 보안은 클라우드 사업자가 제공하는 서비스 영역도 있지만, Shared Service 모델에 의해 고객이 직접 챙겨야 하는 부분이 존재하기 때문에 퍼블릭 클라우드를 활용해 서비스를 제공할 경우, 앞서 살펴본 위협에 따른 대책을 고려하여 명확하게 R&R을 정하여 관리해야 합니다.

글 l LG CNS 보안컨설팅팀