지난 편에 이어 이번 연재에서는 클라우드의 성공적인 전환을 위해 중요하게 생각해야 할 클라우드 보안 요소 세 가지 중 나머지 두 가지에 대해 알아보겠습니다.
● 전편 보기
2.클라우드 보안의 시작과 끝은 계정 관리이다.
2019년 1월 웰스파고(Wells Fargo)와 캐피탈원(CapitalOne) 등이 발행한 대출 및 저당과 관련된 수만 건의 데이터가 유출되는 사고가 발생했습니다. 해당 건은 해킹이 아닌 관리자의 실수로 인해 계정 보안이 열리면서 데이터베이스 하나가 인터넷에 노출된 사례입니다.
1편에서 은행 예금과 개인금고 사례를 언급했듯이 클라우드 부적절한 계정 관리는 보이스피싱에 속아 개인은행 정보 모든 것을 노출하는 것과 같습니다.
사용자가 권한을 얻어 인가된 자원에 접근해 업무 수행을 하고 이런 업무 활동은 로그로 기록되어 감사에 활용되는 계정 관리 프로세스 측면에서 클라우드 환경이 온프레미스 환경에 비해 달라지는 것은 없습니다.
하지만 클라우드 환경에서는 계정의 권한 변경이 매우 빈번해지고, 멀티 클라우드, 하이브리드 클라우드 환경에서는 더욱 관리해야 할 대상 계정이 늘어나고 권한 관리 역시 복잡해짐에 따라 계정 관리에 구멍이 생길 여지가 큽니다.
반면 클라우드 사용자들은 계정을 받아 새로운 인스턴스를 할당받고 사용하다가 이후 사용 종료 시에 서비스를 삭제하거나 접근 관리를 하는데 크게 관심을 기울이지 않기에 이러한 습성을 악용한 해킹 공격에 노출되기가 쉽습니다.
따라서 체계적이고 효과적인 클라우드 환경의 계정 관리를 위해서는 철저한 계정 관리 정책을 세우고 정보 보안 위험을 식별하고 대응할 수 있는 계정 관리 체계를 마련해야 합니다. 계정 관리 체계에는 콘솔 로그인 정책 강화, 관리자 계정 최소화 및 관리, 계정 활동에 대한 주기적인 감사 등은 반드시 포함되어야 하는 요소입니다.
만약 복잡한 조직 구조, 수백 개의 작업 그룹, 수많은 프로젝트를 지닌 기업이라면 Cloud Identity and Access Management(IAM)를 반드시 사용해 모든 접근 통제 및 리소스 접근 인증, 권한 부여 대상 제어를 효과적으로 수행하고 조직 전체에 적용되는 보안 정책에 관한 통합적인 뷰를 가져야만 합니다.
또한 사용자 개인의 계정 관리 취약성을 보완할 필요도 있습니다. 특히 하이브리드 & 멀티 클라우드에 대한 싱글 사인 온 환경에서는 사용자 계정의 기존 사용자 인증 방식인 ID•패스워드가 아닌 ‘ID+모바일 OTP’나 ‘ID+생체 인증’ 등 보다 강화된 2채널 다중 인증을 사용을 권장합니다.
이렇게 하는 이유는 HTTPS나 SSH와 같은 보안 프로토콜을 사용하긴 하지만, 무차별•사전•추측 기반 대입 공격이나, 타 서비스에서 유출된 ID•패스워드를 재활용한 공격인 크리덴셜 스터핑(Credential Stuffing) 공격에 노출될 경우, ID•패스워드는 매우 취약하기 때문입니다.
3.복잡한 클라우드 환경에서의 통합 보안 체계와 보안 통제의 가시성 확보는 선택이 아닌 필수다.
클라우드가 물리적 환경을 제공함에 따라 인프라 엔지니어들에게 편의성을 제공한다면, 반대로 보안 관리자들에게는 관리할 포인트들이 늘어나는 결과를 가져다 줍니다.
앞서 언급했듯이 대부분의 기업은 단일의 퍼블릭 환경보다는 멀티 클라우드 및 하이브리드 클라우드 환경 아래 서비스 운영을 하게 되는데 이는 보안 운영이 어려움을 가중시킵니다.
먼저 이벤트 관리 영역을 보면 복잡해진 운영 환경은 이벤트 로그 증가를 야기할 뿐만 아니라 각각의 서버마다 전달하는 이벤트의 포맷 및 서비스에서 판단하는 이벤트 위험 수준이 상이합니다.
따라서 이들 모두를 효과적으로 관리하기 위해서는 각 CSP 및 프라이빗 클라우드, 온프레미스 등의 보안 관련 로그를 모두 모아서 하나의 창구로 바라보고, 이에 대한 모니터링을 할 수 있는 환경이 요구됩니다.
보안 관제 측면에서는 기존 온프레미스 환경에서 IPS, DDoS, F/W, DLP, KMS 등의 물리 시스템을 보안 관제하는 것과 클라우드 환경에서 구성된 보안 시스템 혹은 솔루션을 보안 관제하는 것은 엄연히 다르기에 기존의 관리, 보안 체계를 가지고 기업의 보안 운영을 하기 어렵습니다. 여러 환경이 고려된 새로운 기업 내부의 통합 보안 체계 수립은 필요합니다.
보안 정책 위반 측면에서도 사용자들의 권한이 커진 만큼 클라우드 접속 통제뿐 아니라 클라우드에서 정책을 위반하는 행위 통제와 컴플라이언스 등을 종합적으로 관리하는 것도 필요합니다.
계정 관리를 위한 솔루션인 IAM의 경우, 불법적인 접속을 막기에는 효율적이나 사용자의 보안 정책을 위배하는 공유(대부분은 관리 화면에서 잘못된 메뉴 클릭으로 발생) 등을 막아주지는 못합니다. 이러한 클라우드의 복잡한 보안 관리를 제대로 이행하고 위협을 효과적으로 완화하기 위해서는 전체 보안 환경에 대한 가시성을 확보가 무엇보다 중요합니다.
보안 가시성을 확보하기 위해서 기업은 SIEM(Security Information & Event Management) 솔루션 도입 또는 개발이 요구되며, 더 나아가 보이지 않는 위협을 발견하기 위해 다양한 로그와 보안 이벤트 데이터를 빅데이터 기반으로 분석해 대응해야만 합니다.
앞에서 언급한 클라우드 보안 요소 외에도 데이터 암호화, 연결 API 및 가상화 취약점 관리 등 클라우드 환경 관점에서 관리되어야 할 영역이 있습니다.
클라우드 보안에서 가장 중요한 것은 클라우드 보안이 기존 온프레미스 혹은 프라이빗 환경의 보안하고는 다르다는 것을 인지하고 그에 대한 제대로 된 보안 설계 및 정책 수립되고 그 기준에 맞게 운영되어야 한다는 겁니다.
이를 위해 클라우드 전환이 시작되기 전에 보안 관련된 요소들이 충분히 사전 반영되어야 하며 이후 운영에서 보안 정책, 역량 확보, 조직 운영 등이 다각도로 검토해야만 합니다.
특히 많은 기업이 클라우드 전환 후에 내부의 이슈 발생 또는 외부에서 보안 사고 뉴스를 들었을 경우 사후약방문(死後藥方文) 식의 내부 보안 상황을 점검하곤 하는데, 클라우드 구축 초기에 반드시 보안 관리 체계를 다듬고 내부 역량만으로 어려울 시에는 보안 컨설팅을 받아 면밀한 보안 체계를 만들어야 합니다.
글 l LG CNS Entrue Consulting 클라우드그룹
[‘클라우드 서비스의 모든 것’ 연재 현황]
[1편] 디지털 트랜스포메이션의 필수 전략! 기업의 클라우드 전환
[2편] 클라우드 서비스 제공 업체(CSP)와 그 특징은?
[3편] 클라우드 도입으로 변화하는 ‘조직, 문화, 거버넌스'(上)
[3편] 클라우드 도입으로 변화하는 ‘조직, 문화, 거버넌스'(下)
[4편] 디지털 전환 시대의 조직 문화는 무엇일까?
[5편] 기업의 클라우드 도입, 조직은 어떻게 바뀌어야 하는가?
[6편] 클라우드 도입에 따른 IT 거버넌스의 변화는 무엇인가?
[7편] 이 속도 실화? 클라우드가 빅데이터의 ‘대세’인 이유
[8편] 클라우드 도입 전 꼭 알아야 할 ‘클라우드 보안’ ①
[8편] 클라우드 도입 전 꼭 알아야 할 ‘클라우드 보안’ ②