[실용주의 클라우드 컴퓨팅]클라우드 도입시 '고민거리' 보안 해결책은 CSP와 상담 권장

보안은 최근 급격하게 성장한 클라우드 시장에서 가장 중요한 이슈로 손꼽힌다. 클라우드 도입을 망설이는 이유를 어떤 기관에서 조사하면 항상 세 손가락 안에 꼽힐 정도이다. 클라우드 보안이 수년 동안 사람들 걱정거리였다는 점은 곧 수요는 분명하지만 이를 해결할 마땅한 솔루션이 없다는 의미이기도 하다.

분산서비스거부공격(DDos)·중간자공격(MITM) 등 TCP/IP 스택의 구조적 문제로부터 기인한 공격부터 SQL 인젝션(Injection)·크로스 사이트 스크립팅(XSS) 등 웹 애플리케이션 취약점을 노리는 공격, 스피어피싱·랜섬웨어 등 사회적 기법을 사용하는 공격, 멜트다운·스펙터처럼 하드웨어적 취약점을 공략하는 공격에 이르기까지 오늘날 공격자는 어디에나 존재한다.

아이러니한 것은 IT 발전이 멀웨어 창궐에 한 몫하고 있다는 사실이다. 그동안 반복되는 일상 업무들을 IT로 자동화해 생산성을 높이고자 하는 시도는 계속되어 왔다. 문제는 공격하는 측에서도 이런 기술을 활용할 수 있다는 것이다.

[실용주의 클라우드 컴퓨팅]클라우드 도입시 '고민거리' 보안 해결책은 CSP와 상담 권장

예를 들어 전에는 백신에 잡히지 않는 멀웨어를 만들기 위해 해커가 코드를 직접 조작했지만 지금은 자동화된 프로그램이 기본이 되는 한 종류의 멀웨어로부터 코드를 조금씩 바꿔가면서 무수히 많은 변종을 만들어낼 수 있다.

최근 패턴이 밝혀지지 않은 신종 멀웨어, 즉 제로데이를 AI 기술 발달로 인해 빠르게 검출할 수 있다고 한다. 그러나 앞서 언급한 대로 공격자 역시 AI 기술을 사용해 AI 방어망을 회피할 수 있기 때문에 모든 공격을 다 막기란 불가능하다.

뿐만 아니라 공격자는 클라우드도 잘 활용한다. 예전에는 개별 PC를 일일이 감염시켜 좀비화한 후 공격수단으로 사용했다면 이제는 한 조직의 크리덴셜을 확보해 클라우드에서 수많은 공격용 시스템을 전개한 다음 빠르게 공격하고 흔적을 지운 후 사라진다. 공격에 사용된 시스템이 모두 삭제되고 나면 해커 추적은 사실상 불가능하다.

보안 문제를 해결하기가 갈수록 어려워지는 근본적 이유는 클라우드화를 포함해 점점 복잡해지는 IT 시스템이다. 여기에 대한 뾰족한 해법은 아직 없다. 기존 해킹 대응 연장선 상에서 IT 인프라에 대한 가시성(Visibility)을 높이고 비정상 이벤트들을 잘 관리하면 보안 위험을 최대한 줄일 수 있다는 원론적인 이야기만을 할 수 있을 뿐이다.

[실용주의 클라우드 컴퓨팅]클라우드 도입시 '고민거리' 보안 해결책은 CSP와 상담 권장

그런데 클라우드로 이전하게 되면 시스템이 복잡해져 운영이 어려워지는 반면, 적절한 클라우드화를 통해 보안 위험성을 줄일 수도 있다. 이미 잘 알려진 바와 같이 클라우드에서는 인프라 구성이 유동적으로 변화할 수 있다.

따라서 적절한 모니터링 도구가 주어지지 않으면 보안상 취약점이 잘 확인되지 않을 가능성이 크다. 이런 경우 IT 역량이 충분하지 않은 기업이라면 일부 보안책임을 전문 CSP(클라우드 서비스 공급자)에 맡기는 것이 더 나을 수 있다. 일례로 급증하는 멜트다운이나 스펙터 같은 하드웨어 취약점은 전문가가 아니라면 어떤 위험이 존재하고 어떻게 대응해야 하는지 판단하기 힘들다.

하지만 대부분의 CSP는 이러한 취약점을 패치하는 전문 대응팀을 운영하고 있다. 적은 수의 엔지니어가 시스템을 관리하는 중소기업보다 신속하고 정확한 대응이 가능하다. 운용체계(OS)에 남아있는 취약점 역시 마찬가지다. CSP들은 치명적인 취약점부터 부지런히 패치하기 때문에 인스턴스를 적절한 때에 재시작하기만 하면 공격 가능성은 작아진다.

만약 가상머신(VM)을 직접 관리하지 않으며 컨테이너 클러스터도 AWS ECS와 같이 관리형으로 운영한다면 고객이 직접 관리해야 하는 부분은 컨테이너이다. 그 아래의 하드웨어, 호스트의 OS, 게스트 VM의 OS와 컨테이너 엔진까지는 모두 CSP에게 위탁하게 된다. 이 경우는 운영을 맡겼을 뿐만 아니라 하드웨어부터 OS와 환경에 이르기까지 보안적인 측면에서도 취약점을 관리해야 할 책임이 CSP로 넘어가게 되고 고객은 애플리케이션과 이를 패키징하는 컨테이너만 안전하게 관리해주면 된다.

따라서 직접 인프라를 안전하게 관리할 자신이 없다면 믿을만한 CSP에게 해당 영역까지 모두 위탁하는 것이 권장하는 선택지 중의 하나이다. 물론 CSP가 관리한다고 해도 100% 안전하다고 보장할 수는 없다. 보안을 위탁하더라도 어떤 스택으로 관리하는지 확인하고 문제 발생 시 판단의 근거가 될 자료를 별도로 남기고 다른 CSP로의 데이터 백업 등 보완장치를 반드시 마련할 것을 권장한다.

<자료제공:클라우드 전문기업 케이아이엔엑스(KINX)> 노규남 CTO bardroh@kinx.net