[기고] 클라우드를 위한 핵심 보안 전략

[글=조가원 | 한국IBM 보안사업부 기술총괄 실장]

코로나19는 우리의 일상을 얼마나 바꿔놓았을까? 얼마 전 지인으로부터 60대 어머님이 처음 온라인으로 쇼핑을 시작하셨다는 이야기를 전해 들었다. 재택근무의 확산 및 온라인 쇼핑 증대 등 팬데믹 이후 다양한 업무와 일상의 변화들이 뉴노멀로 자리잡고 있다.

이로 인해 두드러지는 IT 변화 중에 하나가 바로 클라우드 도입의 가속화다. 클라우드 인프라를 통한 민첩한 대응 및 디지털 혁신은 더 이상 기업의 선택이 아닌 필수가 되고 있다. 그러나, 클라우드 인프라를 도입함에 있어 여전히 가장 큰 우려 사항은 바로 보안이다. 기업 클라우드 도입 시 우려되는 보안 영역은 어떤 부분일까?

전통적 보안이 통용되지 않는 클라우드 서비스

전통적인 보안 정책은 폐쇄망 구조를 기본으로 하는 네트워크 중심의 경계 보안에서부터 시작된다. 폐쇄망은 기본적으로 외부 접속을 통제하고, 접근이 인가된 내부 사용자의 작업을 허용하도록 설계돼 있다. 그러나 클라우드의 도래와 더불어 기업은 데이터 센터 인프라의 소유자에서 클라우드 서비스를 활용하는 사용자로 변화한다.

데이터가 클라우드로 이관되면 임직원, 협력사 등 다양한 특권 사용자들이 개인 기기를 사용해 각종 내부 데이터에 접근할 수 있게 된다. 이러한 변화에 따라 클라우드 보안에서 고려되어야 할 핵심 이슈들은 전통적인 보안과는 분명한 차이가 있다.

데이터 중심의 보안 전략

클라우드 도입에 앞서 기업이 고려해야 할 첫 번째 요소는 바로 개방된 클라우드 환경에 부적절하게 업로드된 기업 대외비 자료다. 만약 타인이 여기에 접근하게 되면 데이터 유출 및 침해 사고로 이어지므로, 이에 대응하기 위해 경계 중심이 아닌 데이터와 워크로드의 중심의 보안 정책 설계가 필요하다.

데이터 중심의 보안 설계는 기업의 핵심 자산을 식별하는 작업에서 시작된다. 식별되지 않은 데이터를 어떻게 보호할 수 있겠는가? 클라우드 상에서 데이터를 검색하고 분류하도록 프로세스를 자동화하는 것은 데이터 유출 침해를 막기 위한 데이터 보호 전략의 첫 단계가 된다.

식별된 데이터에 대해서는 암호화, 폐기 및 전사적 키 관리 정책이 필요하고 기업은 데이터의 라이프사이클을 기반으로 통제 수단 및 프로세스를 정의하고 적용 계획을 수립해야 한다. 데이터에 대한 보호 방안이 수립된 후에는 실시간 모니터링과 주기적인 감사를 기반으로 데이터 중심의 가시성을 확보하고, 기업 자산에 대한 취약점 및 자동화된 이상 징후 탐지를 통해 침해 요소를 선제적으로 제거하는 위험 기반 전략이 필요하다.

제로트러스트와 데브옵스

두 번째 보안 고려 요소는 취약한 클라우드 인증으로 인해 관리자 계정이 도용되면 기업의 전산망 자체가 위협받을 수 있다는 점이다. 이를 방지하려면 클라우드 워크로드에 대한 안전하고도 편리한 접근 방안이 필요하다.

클라우드 워크로드에 대한 안전한 접근법으로 대표되는 방안이 바로 제로 트러스트 전략이다. 말 그대로 아무도 믿지 말고, 항상 먼저 검증해야 한다는 것이다. 접근이 필수적인 특권 사용자에게 최소 권한 원칙(principle of least privilege)을 기반으로 권한을 부여하고, 역할 기반의 권한 정책을 통해 부여된 권한에 대해 지속적인 모니터링과 평가가 이루어져야 한다.

클라우드 환경에서 사용자 접근 권한에 대해 설계 시 고려돼야 할 주요 항목 중에 하나는 데브옵스(DevOps)다. 보안 팀 주도로 수행되어온 통제 중심의 보안은 데브옵스 환경에서 개발팀, 운영팀, 보안팀이 모두 참여하는 책임 모델로 전환해야 한다.

이를 위해 설계 단계에서부터 아키텍처에서의 잠재적 위협을 식별하는 위협 분석 모델링이 필요하고, 워크로드, 앱, API 서비스 등에 대한 접근 권한 관리 방안을 수립해야 한다. 그리고 기존의 관리자, 운영자 뿐 아니라 개발자까지 특권 사용자의 영역이 확대됨에 따라 체계적인 접근 권한 관리 방안이 필수적이다.

더불어, 안전하면서도 편리한 접근법까지 고려하기 위해서는 사용자 학습과 다양한 다중 인증 방식 등의 기술을 기반으로 위험 기반 인증이 수반되어야 한다.

실행 가능한 보안 통제 정책

세 번째, 많은 클라우드의 보안 사고에서 알 수 있듯이 클라우드의 잘못된 구성은 애플리케이션 및 데이터 침해로 직결된다. 하이브리드 환경에서 기업은 데이터 센터와 클라우드 간 연동 환경이 필요하고, 이러한 복합한 구조에서 많은 취약점이 발생하게 된다.

여러 가지 시스템과 데이터의 동기화 요건은 예외 접근과 우회경로를 만들게 되고, 이러한 우회 경로는 공격자가 쉽게 기업의 클라우드 환경을 공격하는 침입 경로가 되는 한편, 분석가가 실제 위협 정보와 이상 징후를 발견하기 어렵게 만든다.

클라우드 환경으로 사용 편의성은 높아진 반면 매일 발생하는 수많은 위반 경고와 위협 정보에 대해 기업이 매번 통제 정책을 수립하고 모든 행위에 대한 가시성을 확보한다는 것은 불가능에 가깝다. 기업의 환경이 빠르게 변화하는 과정에서 보안팀은 변화된 환경에서 발생하는 위협과 기존 환경에서 발생하는 위협을 동시에 분석하고 대응할 수 있는 방안이 필요하다.

다양한 기업의 보안 솔루션에 대한 에코시스템을 구성하고 하이브리드 멀티 클라우드 환경에서의 통합 가시성을 기반으로, 실행 가능한 보안 통찰력을 확보하는 것이 클라우드 보안 위협에 대응하기 위해 기업이 확보해야 하는 핵심 역량이다.

규제에 대응하기 위한 전략

위 세 가지 사항에 덧붙여 이러한 보안의 위협과 변화 사항에대한 준비와 더불어 잊지 말아야 하는 핵심 보안 요소는 바로 규제 대응이다. 기업의 보안 거버넌스 및 개인정보보호법을 비롯한 다양한 컴플라이언스 요건은 클라우드로 확장되는 인프라, 클라우드에 저장되는 개인정보, 클라우드에 접근하는 사용자에 일관성 있게 유지되고 준수돼야 한다.

특히, 관리 주체가 분산되는 하이브리드 멀티 클라우드 환경 하에서 변화하는 컴플라이언스에 대한 반영, 자동화된 감사 증적을 확보하기 위한 기업의 전략과 대응방안이 필요하다. 대표적으로 지난 2019년에 개정된 외부감사법에 대응하기 위해 기업은 내부 통제 강화 정책을 수립하고 관리감독해야 한다.

클라우드 전환, 체계적 보안 전략 필요해

코로나19 이후 전 세계적으로 급부상한 클라우드 기반 회사가 여러 보안 이슈 제기로 인해, 정부기관과 기업들이 사용을 금지하는 등 큰 위기에 봉착했다.

해당 기업들은 긴급조치와 함께 보안 강화 대책을 발표했으나 한번 무너진 고객의 신뢰를 회복하는 것은 결코 쉬운 일이 아니다.

기업들은 이를 반면교사 삼아 체계적인 보안 전략과 프로그램을 기반으로 클라우드 전환에 성공해야 한다. 우리는 지금의 변화에 대응하고, 미래를 준비해야 한다.