“클라우드 이용 확대에 따른 클라우드 보안에 대한 우려가 높습니다. 클라우드 서비스 제공자(CSP)보다 클라우드 사용 기업에서 클라우드 환경에 대한 전문성이 부족한 경우가 많습니다.”
권오훈 LG CNS 보안사업담당 책임은 3일 'C-클라우드 2022 성공적인 디지털 전환을 위한 클라우드 기술 세미나'에서 이같이 밝혔다.
권 책임은 “클라우드 보안은 CSP와 클라우드 사용 기업간 역할과 책임이 구분되며, 이는 컴플라이언스에도 적용된다”며 “CSP는 데이터센터 물리적 보안 등 클라우드의 보안을 담당한다면 클라우드 사용 기업은 가상환경 관리 등 클라우드에서의 보안을 담당한다”고 말했다.
클라우드 환경에서 보안은 CSP와 사용자가 보안 영역을 나눠 공동 책임지도록 돼있다. 사용자는 CSP 보안 기능과 서비스를 이용하거나 서드파티 보안 솔루션으로 보안을 스스로 챙겨야 한다.
가트너에 따르면 내년까지 클라우드 보안 실패 사례 중 고객 잘못에 의해 발생하는 경우가 99% 이상이다.
권 책임은 “고도화된 클라우드 보안 위협 등에 대응하기 위해 클라우드 전환 시작부터 운영까지 전 단계에서 클라우드 자산 보안수준 유지관리 활동이 필요하다”며 “클라우드 환경은 클라우드 확장성, 탄력성, 민첩성을 최대한 활용할 수 있도록 전체 보안 아키텍처 관점에서 접근해야 한다”고 밝혔다.
이를 위해서는 필수 보안기능 활성화 등 최소한의 클라우드 보안통제를 위한 기본 베이스라인을 설정하고, 글로벌 클라우드 서비스 제공자의 위협 인텔리전스를 최대한 활용할 수 있는 네이티브 보안 서비스를 적용해야 한다.
또 국내 컴플라이언스 요건을 충족하기 위해서는 서드파티 보안 솔루션이 필요하므로 도입 전 반드시 적용 가능성을 검증해야 한다고 조언했다.
권 책임은 “서드파티 보안 솔루션을 따질 땐 가상머신(VM) 위에 설치 가능한 소프트웨어(SW) 방식 솔루션인지, 수시로 변경되는 IP가 아닌 도메인 기반 통제가 가능한지, 오토 스케일링 등 자원 변화에 유연하게 대응해야 한다”고 말했다.
온프레미스 서버에 비해 클라우드 서비스는 서비스를 설정하는 웹 설정 또는 응용프로그램 인터페이스(API) 등이 다수 존재한다. 모두 클라우드 설정을 위해 필요한 API다. 이런 API는 기존 사용자에게 익숙한 부분이 아니기 때문에 클라우드로 이전하면서 많은 허점이 쉽게 노출되고 공격자는 이점을 노린다.
노영진 안랩 클라우드개발실장은 “CSPM(클라우드 보안 위험 관리)은 이러한 사용자의 잘못된 설정을 점검하고 보완하는 역할을 한다”며 “CIS 벤치마크, KISA 클라우드 취약점 점검, ISMS-P, 주요통신기반시설 취약점 분석평가, PCI-DSS를 기반으로 잘못된 설정 및 불필요한 서비스 구동을 검사할 수 있는 기능을 제공한다”고 말했다.
클라우드 서비스 중에서도 서버 서버리스가 점차 확대되고 있다. 서버리스 환경에서는 VM 영역은 사용자가 관리하거나 설정할 수 있는 환경이 아니기 때문에 백신을 설치하거나 호스트 IPS를 설치할 수 없다.
노 실장은 “만들어진 컨테이너를 필요한 수만큼 자유롭게 배포할 수는 있지만, 컨테이너 하위레벨을 사용자가 컨트롤할 수 없다”며 “서비스 공급자에 의해 관리되는 서버는 좀 더 보안 측면에서 철저하게 관리되고 있기 때문에 사용자에 의해 관리된 서버에 비해 좀 더 안전하다 “고 밝혔다.
하지만, 사용자가 제작한 컨테이너에는 많은 오픈소스가 포함되어 있고, 오픈소스의 취약점이나 기능을 악용한 공격은 사용자가 직접 관리해야 하는 영역이기 때문에 DevOps(데브옵스)와 CI/CD 파이프라인 상에서 보안대책이 빠르게 수립되어야 한다고 덧붙였다.
권혜미기자 hyeming@etnews.com