UPDATE : 2020-07-02 18:03 (목)
[기고] 보안 확립 없는 클라우드 전환은 독이 든 성배
상태바
[기고] 보안 확립 없는 클라우드 전환은 독이 든 성배
  • 최형주 기자
  • 승인 2020.06.09 11:27
  • 댓글 0
이 기사를 공유합니다

허술한 보안 인식과 인적 오류가 가장 큰 위협

[글=장성민 | 트렌드마이크로 기술지원 소장]

코로나19 확산 여파에도 클라우드 시장은 꾸준히 성장하고 있다. 시장조사 기관인 시너지리서치 그룹에 따르면, 2020년 1분기 전 세계 클라우드 인프라 시장 규모는 2019년 대비 37% 성장한 것으로 나타났다. 기업들이 코로나19 확산 여파로 물리적 인프라보다 비용 효율적인 대안을 모색하면서 디지털 트랜스포메이션을 가속화하고 있기 때문이다.

이렇듯 클라우드 도입이 전 세계적으로 확산되고 있는 가운데, 클라우드 도입을 고려하는 기업들은 여러 문제에 직면하고 있다. 이는 클라우드의 운용법과 기존 온프레미스 시스템의 차이에 대한 낮은 이해도에서 비롯되며, 클라우드 시스템의 운용과 관련한 부족한 숙련도 및 경험은 다양한 인적 오류를 야기할 수 있다.

기업의 클라우드 시스템에 대한 낮은 이해도와 노하우는 결과적으로 워크로드와 애플리케이션을 공격 위협에 노출시켜 심각한 보안 위협을 초래하는 위기를 가져올 수 있다.

트렌드마이크로는 지난 4월 ‘클라우드 보안 위협(Untangling the Web of Cloud Security Threats)' 보고서를 통해 클라우드 도입 초기, ‘기업이 범할 수 있는 보안 위협 사례’들을 소개한 바 있다. 보고서의 내용에 따르면, 클라우드 서비스와 플랫폼에 상관없이 공통적인 보안 위협 원인은 ‘설정 오류(Misconfigurations)’인 것으로 나타났다. 이번 글을 통해 인적오류로 인한 보안 위협 사례를 살펴보고, 이를 방지하기 위한 권고사항을 소개한다.

 

퍼블릭 클라우드 액세스 접근 권한 설정 오류로 인한 보안 위협

넷플릭스(Netflix), 레딧(Reddit) 및 핀터레스트(Pinterest)를 비롯한 여러 기업이 사용하고 있는 아마존 S3(Amazon S3)와 같은 클라우드 서비스의 잘못된 환경 설정으로 인한 취약점은 크립토재킹(Cryptojacking), e-스키밍(e-skimming) 및 데이터 유출 등 다양한 공격의 대상이 된다.

작년 2월, 아마존 S3 버킷에서 호스팅된 미국 주요 신문사인 LA 타임스 웹사이트 서브도메인의 자바스크립트에서 암호화폐 모네로(Monero)의 채굴형 악성코드가 탐지됐다. 문서 등의 액세스 권한을 특정 이용자 및 그룹에 정의하는 방식인 엑세스 컨트롤 리스트(Access Control List, ACL)의 설정 오류로 인해 모든 권한을 퍼블릭 공개로 설정하면서 일어난 보안 사고였다.

LA 타임스 홈페이지(자료: latimes.com 캡처)

또한, 머신러닝 기반 보안 위협 인텔리전스를 제공하는 트렌드마이크로 스마트 프로텍션 네트워크(Trend Micro Smart Protection Network)의 아카마이(Akamai) 데이터가 수집한 텔레메트리 데이터 결과에 따르면, 지난해 설정 오류로 읽기 및 쓰기 권한의 제한이 없었던 S3 버킷에 의해 대량의 웹사이트가 해커들의 공격 대상이 된 것을 확인할 수 있었다. 일부 웹사이트에서는 이미 추후 데이터 유출을 초래하는 악성코드가 확인됐다.

또 다른 문제점으로는 버킷에서 호스팅 되고 있는 악성으로 분류된 파일이었다. 이 중 다수는 오래된 경로 방식의 지정 주소(Addressing Scheme) 방식을 사용했다. 탐지된 피해 웹사이트들은 주요 브랜드를 포함한 온라인 쇼핑 웹사이트가 대부분으로, 이들은 신용카드 정보 등 개인정보 유출 목적의 e-스키밍 공격의 대상이 됐다.

해커들은 기술의 변화에 맞춰 적극적인 공격 및 수익 창출 방안을 모색하고 있다. 이에 대응하기 위해 아마존 S3 버킷과 같은 클라우드 기반 서비스를 활용하는 기업은 사전 예방 조치를 취하는 것이 중요하다. AWS 계정 소유자는 아마존 S3 API에 액세스해 버킷의 읽기 및 쓰기 설정 내역을 확인할 수 있다. 기업의 보안 담당자들은 가시성이 높은 모니터링 툴을 채택해 환경 설정 내역을 빠르게 확인해 보안 사고를 예방해야 할 것이다.

 

채굴형 악성코드에 노출된 컨테이너 보안 위협

설정 오류로 인한 컨테이너 보안 위협 사례도 증가하고 있다. 도커(Docker) 및 쿠버네티스(Kubernetes) 등의 소프트웨어는 컨테이너 기술 발전에 상당한 영향을 주었으며, 개발 작업의 효율성을 높이기 위해 가볍고 효율적인 클라우드 구현을 지원해왔다. 그러나 컨테이너 또한 설정 오류 및 인적 오류로 인해 이를 악용하려는 해커들로부터 보안 위협을 받고 있다.

도커

도커 사용자들은 오랜 기간 동안 인터넷에 유출된 도커로 인해 암호화폐 채굴형 악성코드 감염 컨테이너의 확산 문제에 시달리고 있다. 마이너(Miner)에 감염된 디바이스는 심각한 성능 저해를 불러올 수 있다. 또한, 오토 스케일링 인스턴스 기반 클라우드 구축 과정에서 CPU 사용률을 증폭시켜 기업에 막대한 금전 피해를 입힌다.

도커 서버에 마이너 채굴형 악성코드를 감염시키는 해킹 기술은 다양한 유형이 있는 가운데, 가장 간단한 방법으로는 코드가 담긴 도커 이미지에 악성코드를 직접 설치하는 방식이 있다. 또 다른 일반적인 해킹 방법은 부팅 중 채굴 소프트웨어를 설치하기 위해 우분투(Ubuntu)와 같이 널리 사용되는 기본 이미지를 활용하는 것이다.

 

쿠버네티스

쿠버네티스는 컨테이너 워크로드 관리에 사용되는 오픈 소스 컨테이너 오케스트레이션 플랫폼이다. 다른 설정 오류로 인한 보안 위협 사례들과 마찬가지로, 적절한 보안 기능 없이 인터넷에 공개적으로 접속할 수 있는 쿠버네티스 서비스 및 구성 요소가 악의적으로 활용되고 있다.

지난해 1월 보안 점검 엔진인 쇼단(Shodan)을 통해 확인한 결과, 인터넷에 노출된 쿠버네티스 서버 3만 2천여 개가 탐지됐다. 또한, 쿠버네티스를 위한 분산 데이터 스토어인 etcd가 공개적으로 노출될 경우, 민감 데이터 유출 사고가 일어날 수 있다. 실제로 지난해 2400여 건의 공개적으로 노출된 etcd가 탐지되기도 했다.

 

부적절한 크리덴셜 관리로 인한 보안 위협

클라우드 운용의 가장 중요한 요소인 크리덴셜 관리도 위협에 노출돼 있다. 기존 데이터 센터와 달리 클라우드 시스템은 물리적으로 보호할 수 없기 때문에 강력한 자격 증명 보안 태세가 필수적이다. 자격 증명 보호의 어려운 점은 인증을 요구하는 데이터 및 기타 리소스에 액세스해야 하는 프로세스가 많다는 점이다. 이는 사용자가 노출로 부터 데이터와 자격증명을 모두 보호해야 할 책임이 생김을 의미한다.

프로그래머들이 흔히 저지르는 실수는 깃허브(GitHub)와 같은 공공 플랫폼에 자격 증명 정보를 노출하는 것이다. API 키와 같은 민감한 데이터는 온라인에 게시된 코드 정보에서 발견되기도 하는데, 이러한 정보는 해커가 자격 증명이 사용되는 계정을 도용하는데 활용할 수 있으며, 해킹된 계정은 고객 데이터 유출과 같은 악의적인 목적으로 사용될 수 있다.

또 다른 문제점은 경험이 많지 않은 프로그래머들이 잘못된 온라인 클라우드 튜토리얼을 활용한다는 것이다. 오해 소지가 있는 잘못된 튜토리얼은 자격 증명을 코드 자체 내에서 하드코딩 할 것을 권고한다. 이러한 경우 코드가 저장소에 게시될 때 누구나 접근할 수 있게 돼 문제가 된다.

 

클라우드 도입 위한 보안 인식 재고, 선택 아닌 필수

지금까지 클라우드 도입 초기에 발생할 수 있는 실제 보안사고 사례 및 공격 유형들에 대해 살펴봤다. 기업들은 클라우드 이전에 앞서, 도입으로 인한 변환점과 관련 위협에 대해 충분히 이해해 클라우드 시스템을 안전하게 보호할 준비가 돼 있어야 한다. 이를 위해 기업 내 필요한 사람에게만 엑세스를 부여하는 권한 통제는 반드시 필요한 요소다.

또한, 클라우드 제공업체의 빌트인 보안 기능에 의존하지 않고, 자체 데이터에 대한 책임은 사용자에게 있다는 ‘클라우드 공유 책임 모델’을 인지해 협력 관계에 기반한 보안 태세를 확립해야 한다. 마지막으로, 보안 형상 관리 솔루션을 적극 활용해 클라우드 환경에서 설정 오류 및 노출된 시스템에 대한 가시성을 높여야만 보안 위협에도 즉각적으로 대비할 수 있게 된다.

이렇게 기업들은 규모와 상관없이 기본적인 보안 태세를 갖춰 인적 오류로 범해지는 보안 사고를 막아야 한다. 보안에 대한 인식이 개선되지 않으면 클라우드의 이점을 실현할 수도 100% 활용할 수 없다. 이는 클라우드의 구조 뿐만 아니라 클라우드의 보안에 필요한 전략을 모두 이해해 인적 오류를 방지해야 하는 IT 및 보안 담당자에게 특히 중요하다.

보안이 갖춰지지 않은 클라우드는 독이 든 성배와 다름없다. 클라우드 운용은 비즈니스의 새로운 전환점을 마련해주기도 하지만, 잘못 관리할 경우 금전적 손실부터 기업의 대외적 이미지 훼손까지 심각한 손실을 야기할 수 있다.

디지털 트랜스포메이션이 어느 때보다 빠르게 진행되는 지금 이 시점에서, 기업들은 올바른 보안 인식과 적절한 보안 프로세스를 갖춰야만 클라우드의 이점을 활용한 비즈니스 성장을 도모할 수 있을 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.