클라우드 시대에 더욱 중요해진 보안

가트너에 따르면 2023년 전 세계 클라우드 시장 규모는 작년 대비 20% 증가한 5,918억 달러로 전망했다. 작년에 예상치가 19%가량이었는데 이보다 높고, 2022년과 비교해 1.2배 증가한 수치다. 또한, 한국IDC에서는 국내 퍼블릭 클라우드 시장 전망 보고서(2022년 5월 발간)에서 국내 클라우드 시장은 2025년까지 연평균 14.8%씩 성장해 3조 8,952억 원에 이를 것으로 전망했다. 대표적인 클라우드 서비스인 아마존의 AWS가 2006년부터 사업을 시작했으니 올해로 약 17년이 되었음에도 불구하고 연평균 성장률이 20%에 이를 만큼 주야장천 장밋빛 미래가 계속 펼쳐진 마르지 않는 샘물이다. 그런 클라우드의 성장 과정에 우려할 사항은 없을까? 그 우려의 대비책은 무엇일까?

디지털 가속화 속에 부상하는 보안의 중요성

우리 스마트폰에 저장된 각종 개인 정보와 데이터들을 생각해보자. 주소록, 통화 내역, 이메일 그리고 카카오톡으로 주고받은 메시지와 토스, 카카오뱅크, 네이버페이에 등록된 각종 은행 계좌와 신용카드 정보와 카드 사용 내역과 입출금 내역들이 만일 유출된다면 얼마나 심각한 문제일까? 게다가 스마트폰에 저장된 사진과 네이버 앱, 크롬, 사파리 브라우저 등으로 검색한 검색 내역과 캘린더에 기록된 일정, 에버노트와 드롭박스에 기록된 각종 문서도 만만치 않은 정보들이다. 스마트폰이 털리면 모든 개인 사생활과 내 모든 것이 털리는 것이다. 스마트폰 하나에 내 인생이 통째로 저장되어 있는 셈이다.

그런데, 이제 그런 스마트폰이 고스란히 클라우드에 복제되고 있다. 우리가 사용하는 스마트폰과 각종 모바일 앱들은 클라우드와 연동되어 있어서 우리가 기록하고 저장한 모든 내역들이 고스란히 클라우드에 저장된다. 덕분에 새로운 스마트폰을 구입해도 기존에 사용하던 스마트폰에 저장된 사진과 앱들을 고스란히 내려받아서 외형만 다를 뿐 기존과 같은 환경으로 모바일 서비스를 이용할 수 있다. 또, 스마트폰을 잃어버려도 클라우드에 저장된 데이터 덕분에 다른 스마트폰으로 기존과 같은 환경으로 다시 복구가 가능하다. 물론 분실한 스마트폰은 원격으로 폰에 저장된 데이터를 삭제하고 초기화할 수도 있다. 이 모든 것이 클라우드와 스마트폰을 동기화했기 때문에 가능한 것이다. 비단 스마트폰만 그런 것이 아니라 컴퓨터, 태블릿 등도 클라우드로 올라가고 있다. 컴퓨터로 작업한 각종 문서는 물론 브라우저로 웹 서핑한 내역과 확장 프로그램 등도 모두 클라우드에 기록된다. 다른 컴퓨터를 사용하더라도 클라우드에 연결하면 같은 문서, 같은 환경으로 프로그램을 이용할 수 있다. 그렇다 보니 이제는 스마트폰이나 컴퓨터가 아닌 그런 클라우드의 보안을 더 신경 써야 한다. 내 클라우드의 계정 비밀번호에 유의해야 하고, 당연히 이런 클라우드 서비스를 제공하는 기업은 외부 공격자가 클라우드에 침입하지 않도록 주의해야 한다.

특히 클라우드를 이용하는 기업은 더욱더 이 보안에 주의해야만 한다. 수많은 기업 고객들이 이용하는 클라우드의 보안망이 뚫리면 결국 그 기업 고객들을 이용하는 사용자들의 보안이 뚫려 도미노처럼 2차, 3차 후속 문제가 발생하게 된다. 심지어 기업 고객들의 데이터에는 기업의 비밀과 더 많은 개인정보들이 담겨 있어 이로 인해 연쇄적으로 위험이 커져갈 수 있어 더욱 유의해야 한다. 클라우드가 가속화될수록 보안은 더욱더 중요해질 수밖에 없다.

대표적인 클라우드 보안 사고는 2017년에 있었던 아마존 AWS를 이용하는 GoDaddy의 서버와 인프라 구조에 대한 상세한 정보가 유출된 사고이다. 사고의 원인은 AWS에 기록된 인증 정보가 잘못 구성되어 클라우드를 이용하는 한 회사가 이용하는 호스트 이름과 OS 종류, 메모리와 CPU 사양 등에 대한 정보와 상세한 인프라 구조를 파악할 수 있는 문서에 누구나 접근 가능하게 되었기 때문이다. 이때의 문제는 웹 서비스를 통해 파일을 저장하고 관리하는 저장소인 아마존 S3(Simple Storage Service)에 접근 권한 설정의 문제로 데이터가 노출되는 것이다. 유사한 문제로 2018년 독일의 보안회사가 인도의 혼다 자동차에서 개발한 모바일 앱에 고객의 이름, 연락처, 비밀번호, 이메일 주소 등이 S3 버킷에 3개월 이상 노출되었다는 것을 발견했다.

이런 문제의 근원적 책임이야 클라우드 서비스를 제공하는 기업(CSP)에 있다. 그리고 당연히 CSP가 이런 보안에 만전을 구하도록 시스템을 운영하는 것은 기본이다. 클라우드 서비스 제공사의 보안망에 구멍이 뚫리면 걷잡을 수 없는 피해가 양산되기 때문에 보안에 상당한 공과 비용을 들여 철저하게 예방한다. 그런 클라우드 사업자는 다양한 보안 기술과 절차를 사용하여 고객의 데이터를 보호한다. 이를 위해 고객 데이터를 암호화하고 백업하는 것이 일반적이다. 또한, 고객의 접속을 제어하고 불법 접속을 방지하는 인증 및 권한 관리 기능도 제공한다. 더 나아가 정기적으로 보안 취약점 스캔을 수행하고 이를 개선해가며 보안에 만전을 기한다.

그런 보안 정책을 좀 더 상세하게 정리하면 다음과 같다.

•  암호화 : 클라우드 사업자는 데이터 암호화 기술을 사용하여 데이터를 안전하게 보호하고 보안을 강화한다.
•  인증 및 권한 관리 : 고객의 접속을 제어하고 불법 접속을 방지하는 인증 및 권한 관리 기능을 제공한다.
•  백업 및 복구 : 고객의 데이터를 정기적으로 백업하고 데이터 손실이 발생할 경우 복구할 수 있도록 한다.
•  네트워크 보안 : 클라우드 사업자는 네트워크 보안 기술을 사용하여 공격을 막고 네트워크를 보호할 수 있다.
•  정기적인 보안 취약점 스캔 : 정기적으로 보안 취약점 스캔을 수행하고 이를 개선한다.
•  취약점 관리 : 취약점 관리 기술을 사용하여 시스템의 취약점을 검사하고 보완한다.
•  컴플라이언스 : 관련된 정부 및 표준의 요구사항을 준수하는 것이 중요하다.

클라우드의 허점, 보안 이슈

기업이 이용하는 클라우드는 이용 범위와 영역에 따라 다르지만 기업이 비즈니스를 위해 운영하는 인프라, 시스템 그리고 각종 응용 프로그램과 그 소프트웨어를 통해 수집되는 데이터들 모두를 클라우드에 저장하는 것이나 다를 바 없다. 그런 클라우드는 한마디로 기업 전사의 컴퓨터 시스템이나 다름없다. 또한, 모든 기업 구성원들의 개인 컴퓨터와 그 기업의 소비자들이 이용한 서비스에 대한 모든 것들이 클라우드에 저장된다. 그런 클라우드가 공격당하면 외부 공격자는 기업의 클라우드 자원에 연결해서 데이터를 유출하고 응용 프로그램을 악용할 수 있다.

그런데 특히 유념해야 하는 것은 전통기업이 이용하는 클라우드이다. 대개의 전통기업일수록 직접 클라우드를(CSP) 이용하지 않고 MSP(Managed Service Provider)라는 곳을 통해서 클라우드를 관리한다. 즉, MSP는 고객의 IT 인프라를 외부에서 도와 관리하는 기업을 칭한다. 이때, MSP가 제공하는 인프라에서 발생하는 보안 취약점도 중요하게 신경 써야 하는 영역이다. 사실 CSP의 보안은 일반 기업이 크게 신경 쓸 것은 없지만 MSP의 보안은 일반 기업이 유념해야 한다. 대개의 기업에서 사용하는 클라우드의 보안망이 뚫리는 것은 MSP 보안과 관련된 부분에서 발생하기 때문이다. 이같은 MSP 보안에서는 애플리케이션과 데이터를 보호하기 위한 보안 정책과 기술을 효과적으로 적용하는 것이 중요하다.

게다가, 사실 대부분의 클라우드 보안망이 뚫리는 것은 대체로 클라우드 사업자의 기술적 문제가 아닌 기업 고객의 잘못에서 기인한다. 한국지능정보사회진흥원(NIA)의 클라우드의 미래 모습과 보안이라는 2020년보고서에 따르면 대부분 클라우드 환경의 사고는 해커가 아닌 클라우드 이용자나 운영자의 실수에서 발생한다고 한다. 그런 오류는 대체로 계정의 비밀번호 관리 소홀로 인해 관리가 계정 탈취로 인한 문제나 클라우드 운영자가 설정 오류나 실수로 인해 외부의 침입에 무방비로 당한 경우가 대부분이다. 한마디로 현관문을 걸어 잠그지 않고 열어둠으로써 누구나 쉽게 침입할 수 있도록 했기 때문이라는 것이다. 그렇기에 클라우드 보안에 유념해야 할 사항은 사용자, 관리자가 보안 정책을 꼼꼼하게 신경 쓰고 따라야 한다는 것이다. 물론, 클라우드를 운영 관리해주는 MSP가 클라우드 고객들이 이러한 정책을 신경 쓰도록 도와주고, 혹여나 실수로 문제가 발생했을 때 이를 빠르게 인식해서 경고로 알람을 줄 수 있어야 한다. 그것이 MSP의 효율적인 클라우드 보안 대처 방안이다.

클라우드를 이용하는 기업의 클라우드 사용 업무를 맡은 직원이 클라우드 접근 비밀번호를 너무 쉽게 설정했거나, 노트북이나 스마트폰 등에서 클라우드 업무를 보면서 로그인한 암호가 타인에게 유출되면 쉽게 그 계정은 탈취될 수 있다. 그렇게 탈취한 계정으로 클라우드에 저장된 기업 정보나 고객 개인 정보를 빼내 갈 수 있다. 또한, 클라우드 자원을 탈취해서 다른 목적 예를 들어, 암호화폐 채굴이나 다른 사이트의 해킹을 위한 디도스 공격에 활용될 수 있다. 그렇게 자원 탈취를 하게 되면 클라우드 리소스를 과다하게 사용해서 마치 전기료 폭탄을 맞는 것처럼 비용 폭탄을 맞게 된다. 만일 아무도 그런 사실을 못 알아채면 손실과 비용은 눈덩이처럼 커지게 된다. 이러한 이벤트를 MSP가 미리 알아채고 이에 대한 경고를 알려준다면 피해를 최소화할 수 있다.

또한, 클라우드 이용이 전사로 확대되면서 여러 계정이 만들어지고 여러 구성원들이 클라우드에 연결해서 서비스를 사용하다 보면 계정 관리가 복잡해진다. 그 과정에서 퇴사자 혹은 잠깐 업무를 보기 위해 인턴이나 아르바이트생에게 개설해준 계정이 자칫 탈취되면서 보안이 뚫리기도 한다. 이런 것을 평소 효과적으로 관리하려면 계정 개설 상태를 시각화해서 한 눈에 볼 수 있도록 하고, 계정의 상태와 연결한 위치, 사용 내역들을 스크리닝해서 파악하고 이상 징후가 발생했을 때 바로 관리자에게 알려줄 수 있어야 한다. 이러한 사항 역시 MSP가 제공할 수 있는 훌륭한 보안 솔루션이다.

철저한 보안을 위한 방안

클라우드의 보안은 기존 보안과는 방식이나 대처 방안 그리고 통제 대상 등이 모두 다르다. 기존 보안은 계층 방어로 망을 분리해서 운영하면 되지만 클라우드의 경우 네트워크보다는 사용자 인증과 계정의 권한 제어를 통해서 관리해야 한다. 또한, 기존 보안은 보안 이슈에 따라 개별 솔루션으로 별도 대응해야 하지만, 클라우드는 통합된 방식으로 보안 기술을 적용해야 한다. 게다가 클라우드는 접속하는 사용자가 워낙 다양하다 보니 각각의 이용자별 권한과 기능을 통제해서 보안 침해를 예방할 수 있어야 한다. 무엇보다 클라우드 보안이 기존 보안보다 심각하고 중요한 것은 보안 침해 발생의 범위나 규모가 워낙 크다 보니 보안에 대한 책임이 IT 담당자에게만 있는 것이 아니라 클라우드를 이용하는 전사 모든 직원과 회사에 있다는 것이다. 그래서, 클라우드 보안은 클라우드를 이용하는 모든 직원을 대상으로 해야 하고 MSP의 보안 컨설팅과 대비책을 적극 활용해야 한다.

그런 면에서 클라우드 관리 업체의 선택 기준에 있어 클라우드 보안 서비스에 대한 전문성과 안정성은 중요하다. 삼성SDS의 클라우드 보안은 오랜 업력 속에서 고객별 맞춤 적용과 자동화된 방식으로 서비스를 제공하고 있어 안전하고 편리하다고 정평이 나 있다. 무엇보다 각 클라우드 환경을 아우르는 최적의 클라우드 보안 서비스를 제공한다는 것이 큰 특징이다. 2015년부터 클라우드 보안 특화 서비스를 제공하고 있으며, 모든 Public Cloud에 최적화된 보안 서비스를 지원하고 있다. 특히 클라우드 보안은 스스로 잘났다고 말하는 것만으로는 믿을 수 없고 글로벌 평가가 중요한데, 삼성SDS 클라우드 보안은 IDC MarketScape Worldwide Major player에 선정되어 2년 연속 IDC에 등재되었고, 글로벌 부문에서도 역량을 인정받을 만큼 탁원한 평가를 받고 있다. 클라우드 보안의 구멍과 허점 등을 진단하는 보안 컨설팅에서 보안관제 서비스를 통한 지능화된 모니터링 서비스, 각종 외부 해킹에 대한 특화된 개별 보안 솔루션을 갖추고 있다.

내 집 방범을 지켜주는 에스원에 맡기더라도 내 집 안전은 내가 직접 챙겨야 하는 것처럼 클라우드 보안 역시 클라우드 사업자와 MSP 그리고 클라우드 보안 업체의 도움을 받더라도 스스로 신경 써서 관리해야 한다. 클라우드는 한 번의 침입으로 막대한 피해와 도미노 효과와 같은 위험을 가져다주기 때문에 보안에 만전을 기하는 자세가 필요하다.



▶   해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶   해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.