이번 글에서는 고객사가 클라우드로 전환하면서 보안 운영을 클라우드 기반으로 한 사례를 중심으로 클라우드 네이티브 기능에 대한 보안 운영사례를 설명하고자 합니다.
고객사의 클라우드 전환은 1단계부터 3단계로 진행했는데요. 1단계에서는 클라우드 이전을 위한 전사 시스템을 프라이빗 클라우드로 이전했고, 2단계~3단계 순차적으로 시스템을 AWS(Amazon Web Services) 클라우드로 이관했습니다.
1단계에서 프라이빗 클라우드를 현재 운영 아키텍처에 맞게 보안솔루션으로 구성했는데요. AWS는 향후 전사 시스템이 이관되면 운영될 수 있도록 인터넷 관문에 DDoS, 방화벽, IPS 등을 구성하고자 했습니다. 그래서 3개월간 아키텍처 설계 및 구현을 통해 고객사의 현재 운영시스템 아키텍처와 동일하게 구성했습니다.
이러한 준비사항으로 클라우드 보안 운영의 준비가 완료된 것으로 기대했으나, 고객사에서는 기존 보안 솔루션 구성의 서비스 제공만으로 만족하지 않았습니다. 향후 AWS에서 제공되는 보안솔루션 기능을 최대한 활용할 것을 요구했죠. 이에 대한 요구사항을 실현하기 위해, 단계별 계획을 수립해 현재까지 진행 중에 있습니다.
AWS에서 제공되는 보안솔루션 기능을 활용하기 위해서 2단계로 걸쳐 계획을 수립하고 추진했습니다.
1단계 : AWS에서 준비된 보안 준수 기준 검토 후 보안 운영 프로세스 및 매뉴얼 등 점검, 개선점 발견 후 이에 맞는 액션 아이템 로드맵 수립 및 적용으로 미비점 보완
1단계에서 AWS에서 준비된 보안 준수기준의 검토 후 개선 방안 도출하고, 보안 운영 프로세스와 운영 매뉴얼/절차서, 운영 툴 등의 준비상태를 확인하고 미비한 점을 보완했는데요. 이를 통해 향후 AWS로의 전사 시스템 이관 시에 대한 보안 위협을 대응하고자 하는 관리적 기반을 마련했습니다.
1단계 주요 과제는 총 5개의 카테고리에 15개의 액션 아이템을 진행했으며, 이에 대한 상세내역은 아래와 같습니다.
1단계의 총 5개의 카테고리에 15개의 액션 아이템을 구체화하고, 이에 대한 진행을 주별로 점검해, 3개월 안에 최종결과물을 고객에게 제출하고, 승인을 받았습니다. 이에 대한 상세내역은 아래와 같습니다.
2단계 : 운영 성숙도 향상과 클라우드 네이티브 환경에 대응한 글로벌 사례 갭 분석 통해 개선사항 정의, 도출된 과제 이행
1단계를 통해서 클라우드 보안 운영관리 체계로의 전환을 위한 프로세스 및 절차서, 점검 체크리스트, 보고서는 완료됐으며, 이를 바탕으로 실제 구현해야 할 AWS 네이티브 기능을 구현하고자 계획을 수립하고, 진행하고 있습니다. 2단계는 6개의 액션 아이템이며, 실제구성은 AWS 자원 사용료 증가로 고객사와 많은 협의가 필요했습니다. 보안 운영의 특성상 대용량 감사 로그, 탐지 로그 등을 수집 보관해야 하므로, 비용 절감을 위해 클라우드를 사용하기 위한 기본적인 목적과 상충하고 있기 때문입니다.
2단계의 액션 아이템 상세 내역 및 진행결과는 아래 그림과 같습니다.
2단계의 액션 아이템 상세 내역을 간략히 설명하겠습니다.
IP 기반 솔루션의 AWS의 Auto-Scaling 적용은 AWS Auto-Scaling 시에 새롭게 생성 및 삭제되는 서버에서 보안 에이전트가 자동으로 기존 서버에서 가져오는가에 대한 문제인데요. 보안 에이전트가 신규 서버에 자동으로 구성되지 못하면 이를 수동으로 해야 하는 많은 수고가 발생합니다. 따라서 적용 시간에 대한 보안 위협을 탐지하지 못해 보안사고를 이어질 위험성이 존재하죠. 이에 구성된 백신, 웹 셀 탐지, 악성코드 탐지 등의 솔루션 제조사에 기능개선을 통해 이에 대한 문제를 해결했습니다.
IAM의 주기적인 관리 수행은 미사용 IAM 계정의 주기적인 삭제 등을 통해 권한오용을 방지하는 것으로 Congfig-rule을 통해 구성을 AWS에서 글로벌 사례로 권고 받아서 적용했습니다. 하지만 실제 운영하기 어려운 점(종합적인 데이터 관리 어려움 : 누적치가 아닌 일별로 만료된 해당 관리자 메일로 수신)을 확인했으며, 수동으로 자료를 만들어서 주기적으로 관리하고 있습니다.
잔여 3가지, 인프라 모니터링 확대를 위한 AWS 각종 로그를 수집하는 것은 고객사 측에서 비용을 고려해 현재 검토가 진행 중인데요. 골든 AMI 상시 보안 검수는 3rd 솔루션보다 못한 기능을 가지고 있어서, 적용하지 않고 프로세스로 대응하는 것으로 검토하고 있습니다.
결론적으로 클라우드 네이티브 기능을 구현하기에는 현재로서 많은 제약이 있으며, 네이티브 기능이 더 개선되고, 다양한 기능이 출시되기 전까지 3rd 솔루션을 이용해, 클라우드 보안 운영을 하는 것이 바람직하다고 볼 수 있습니다.
글 ㅣ LG CNS 사이버시큐리티팀 류원범 책임