클라우드 보안 총정리

1. 클라우드 보안의 개념

우선 클라우드는 이름에서도 알 수 있듯 구름 같은 것이다. 하늘에 넘쳐나는 구름 같은 광대한 네트워크를 통해 접근할 수 있는 가상화된 서버와 그 서버에서 작동하는 프로그램과 기타 데이터베이스를 제공하는 IT 환경을 말하는 것이다. 그리고 이것을 위한 클라우드 보안은 클라우드 기반의 데이터, 애플리케이션를 비롯한 인프라를 사이버 공격과 위협으로부터 보호하는 업무라고 말할 수 있겠다.

 

사실 보안이라고 하면 가장 먼저 떠오른 건 사이버 보안인데, 사이버 보안이나 클라우드 보안이나 결국 동일한 목표를 갖고 있는 것이다. 사실 보안이 따지고 보면 다 그런 것이 아니겠는가. 다만 세부적으로 파고 들어가면 차이가 나는 것이다. 클라우드 보안이 기존의 사이버 보안과 분명하게 다른 점은 타사 서비스 공급자의 인프라 내에 존재하는 자산을 보호해야 한다는 사실이다.

 

1.1 클라우드 보안의 중요성

점점 시장에서 클라우드에 대한 수요가 증가함에 따라 비즈니스 크리티컬 애플리케이션과 데이터는 신뢰할 수 있는 클라우드 서비스 쪽으로 둥지를 옮기고 있다. 대부분의 주요 클라우드 서비스 제공자는 모니터링 및 경고 기능을 갖춘 표준 사이버 보안 툴을 서비스의 일부로 제공하기는 한다. 그러나 그것을 이용하다 보면, 그렇게 곁들여 오는 정도의 툴로는 클라우드 보안을 실행하기에 충분하지 못하는 것을 머지 않아 알게 될 것이다. 애초에 적용 범위 부터가 충분히 제공된다고 보기 어려울 테니 말이다. 사실 이것은 당연할 수밖에 없다. 클라우드 서비스 제공자(CSP)와 각 기업이 필요로 하는 것 사이에는 당연히 격차가 존재할 수밖에 없다. 어떻게 모든 기업을 고루고루 만족시키는 것을 클라우드 서비스와 함께 제공하겠는가? 보통 그런 게 있다면 따로 판매를 하는 것이 당연한 선택이다. 아무튼, 기본 툴만 믿고 클라우드 보안을 시행하다가는 데이터 도난 및 손실 위험이 증가할 것이다.

 

물론 보안에서 모든 위협과 취약점을 제거할 수 없는 것은 당연하기는 하다. 그렇기에 클라우드 서비스를 채택한 조직의 장은 클라우드를 선택함으로써 얻는 이점과 조직이 감수하려는 보안 위험 수준을 고려해야 하고, 이 과정에서 추가적인 보안 제품을 구입하는 등의 선택을 내릴 수 있는 것이다. 결론적으로, 데이터 손실을 방지하고, 규정을 준수하며 비즈니스 연속성을 유지하려면, 적절한 클라우드 보안 메커니즘과 정책을 구축하는 것이 중요하다.

클라우드의 가장 큰 장점은 애플리케이션과 데이터를 중앙 집중화하고 해당 애플리케이션과 데이터의 보안 역시 중앙 집중화한다는 점이라고 할 수 있다. 전용 하드웨어를 사용하지 않아도 되기 때문에 비용과 관리 요구가 감소하는 동시에 신뢰성, 확장성, 유연성을 확보할 수 있다.

2. 클라우드 보안의 작동

클라우드 보안은 아래의 3가지 주요 환경에서 작동한다고 볼 수 있다.

 

ㄱ. 공공 클라우드 서비스는 서비스 제공자에 의해 호스팅된다. 여기에는 서비스로서의 소프트웨어(SaaS), 서비스로서의 플랫폼(PaaS), 서비스로서의 인프라(IaaS)가 포함된다.

 

ㄴ. 사설 클라우드는 단일 조직에 의해 또는 단일 조직을 위해 호스팅된다.

 

ㄷ. 하이브리드 클라우드는 공공 클라우드와 사설 클라우드가 혼합되어 있다.

 

위에서 클라우드 서비스에는 기본적으로 제공되는 툴이 있다고 하였다. 그렇기에 클라우드 보안 메커니즘은 CSP가 제공하는 메커니즘과 고객이 구현하는 메커니즘의 2가지 형태를 취하게 된다. 이때, 보안 처리는 CSP나 고객이 전적으로 책임지는 경우는 거의 없다는 점에 유의해야 할 것이다. 여기서 등장하는 개념이 책임 공유 모델이다.

2. 클라우드 보안의 책임

ㄱ. 책임 공유 모델(The shared responsibility model)

표준화되었다고 말하기는 어려우나, 책임 공유 모델은 어떤 보안 작업이 CSP의 의무인지, 고객은 어떤 의무를 지니는지를 설명하는 프레임워크라고 이해하면 된다. 사고가 났을 때 반드시 누군가의 잘못으로 확정되는 것은 없다. 때론 이용자의 실수 혹은 고의적인 잘못으로 인한 것일 수도 있고, CSP의 문제일 수도 있는 것이다. 이 프레임워크를 토대로 하여, 클라우드 서비스를 사용하는 기업은 보안 책임을 분담하여, 클라우드 보안 범위에 공백이 없도록 할 수 있는 것이다. 이용자는 CSP가 보장하는 내용과 조직 또는 회사를 보호하기 위해 직접 수행해야 하는 사항에 대해서 파악해야 할 것이고 말이다.

 

ㄴ. 클라우드 서비스 제공자 보안 책임 (CSP security responsibilities)

CSP에서 제공하는 보안 통제는 SaaS, PaaS, IaaS 등 서비스 모델에 따라 다르다. 고객 책임의 경우, 일반적으로 SaaS → PaaS → IaaS순으로 증가하는 것과는 다른 점이다.

 

일반적으로 CSP는 항상 서버와 스토리지를 책임진다. 그들은 인프라 자체를 보호하고 패치하며, 인프라에 전원을 공급하는 물리적 데이터 센터, 네트워크 및 가상 머신과 디스크를 포함한 기타 하드웨어를 구성한다. 이것들은 보통 IaaS 환경에서 CSP의 유일한 책임이라 볼 수 있다. PaaS 환경에서 CSP는 런타임, 네트워킹, 운영체제, 데이터, 가상화의 보안을 포함하여 더욱 많은 책임을 지게 된다. 그리고 SaaS 환경에서는 CSP는 애플리케이션과 미들웨어 보안도 제공한다.

 

보안 책임에 대한 세부적인 사항은 물론 매번 천편일률적일 수는 없다. 당연히 CSP마다 다르고, 고객마다 다르기 마련이다. 예를 들어, SaaS 기반 제품을 제공하는 CSP는 사용하는 보안 도구에 대한 가시성을 고객에게 제공할 수도 있고, 제공하지 않을 수도 있다. 반면, IaaS에서는 일반적으로 고객이 CSP 보안 도구에 엑세스하고 볼 수 있도록 지원하는 내장 보안 메커니즘을 제공하는데, 이는 고객에게 경고의 기능을 제공할 수도 있을 것이다. 결론적으로, 크게 보건, 세부적으로 들어가건, 클라우드마다 책임에 대한 내용은 다 제각각이라는 점이다.

ㄷ. 고객 보안 책임(Customer security responsibilities)

위에서 기술했던 CSP 보안의 내용을 보완하기 위해 일반적으로 고객은 IaaS 클라우드에서 애플리케이션, 미들웨어, 가상화, 데이터, 운영체제, 네트워킹, 런타임 보안을 담당한다. 예를 들어, 아마존 가상 사설 클라우드 같은 IaaS 아키텍처에서 고객은 내장된 사이버 보안 메커니즘을 자신만의 도구로 보완, 교체 등을 실행할 수 있다. PaaS 환경으로 넘어가면, 고객은 일반적으로 애플리케이션, 미들웨어 보안만 담당하는 작업을 맡게 된다. SaaS 환경에서는 더욱 적어지고 말이다.

 

그러나 클라우드가 무엇이냐에 관계 없이, 데이터 보안 및 IAM(Identity and Access Management)은 항상 고객의 책임이라는 점을 명심해야 한다. 암호화 및 컴플라이언스도 마찬가지이다.

 

이런 상황에서 CSP와 클라우드 서비스를 평가할 때, 보안 팀은 CSP의 기본 보안 툴을 평가하는 것을 우선순위로 삼아야 할 것이다. 그래서 추가 조치를 사내에 적용해야 하는지 여부를 결정하는 과정을 거쳐야 하기 때문이다. 클라우드 환경에 특정 기업 고유의 보안 툴을 추가하는 작업은 일반적으로 하나 이상의 네트워크 기반 가상 보안 어플라이언스를 설치하여 수행하게 된다. 고객이 추가한 툴셋을 사용하면 보안 관리자가 특정 보안 구성 및 정책 설정을 세분화할 수 있다. 추가로, 많은 기업이 LAN 내에 있는 것과 동일한 툴을 사설 클라우드에 구현하여 비용 효율적인 면을 추구하기도 한다. 이를 통해 관리자가 서로 다른 보안 툴을 사용하여 클라우드에서 보안 정책을 다시 생성할 필요가 없게 된다. 대신, 회사에서 사용하는 클라우드에 보안 정책을 한 번 생성하면 그걸로 쭉 밀고 나가게 되는 것이다.

 

3. 클라우드 보안 툴

온 프레미스 환경에서 사용되는 것과 동일한 도구 중 많은 것이 클라우드에서 사용된다. 이러한 도구 또는 메커니즘에는 암호화, IAM, SSO, DLP, 침입 탐지/방지 시스템, PKI 등이 있다.

 

그리고 일부 클라우드 전용 도구에는 다음과 같은 항목이 있을 것이다.

 

ㄱ. 클라우드 워크로드 보호 플랫폼(CWPP)

CWPP는 워크로드(VM, 애플리케이션, 데이터 등)를 일관된 방식으로 보호하도록 설계된 보안 메커니즘이라 할 수 있다. 이렇게만 말하면 뭔가 막연한데, 쉽게 말해 내부를 검사한다고 생각하면 편하다. 자동차를 주기적으로 정비소에 끌고가 정비를 맡겨 문제가 없는지 파악하는 것처럼 말이다.

 

ㄴ. 클라우드 엑세스 보안 브로커(CASB)

CASB는 보안 정책을 시행하고, 게이트키퍼로서 보안 계층을 보안 계층을 추가하기 위해 클라우드 고객과 클라우드 서비스 사이에 위치하는 도구 또는 서비스라고 볼 수 있다.

 

ㄷ. 클라우드 보안 태세 관리(CSPM)

CSPM은 클라우드 보안 및 규정 준수 문제를 모니터링하고 클라우드의 잘못된 구성을 방지하는 것을 목표로 하는 보안 제품 및 서비스 그룹이라 할 수 있다.

+ 보안 액세스 서비스 엣지(SASE)와 제로 트러스트 네트워크 액세스(ZTNA)도 2가지 클라우드 보안 모델/프레임워크로 부상하고 있다는 것은 알고 있어야 한다. 요새 정말 제로 트러스트는 많이 언급되는 것 같기도 하다.

 

한편, SaaS의 하위 범주로 여겨지는 SECaaS에 대해 클라우드 보안 연합(CSA)에서 10가지 범주를 정의했다. ① IAM ② DLP ③ Web 보안 ④ 이메일 보안 ⑤ 보안 평가, ⑥ 침입 관리, ⑦ SIEM ⑧ 암호화 ⑨ 사업 연속성 및 재해 복구⑩ 네트워크 보안

 

여기에는 서비스로서의 방화벽, 클라우드 기반 VPN, 서비스로서의 키 관리(KMaaS)가 포함된다고 생각하면 된다.

 

4. 클라우드에서 데이터를 보호하는 방법

클라우드에서 데이터를 지키기 위해 필요한 절차는 물론 다양하다. 보호해야 할 데이터의 종류와 민감도, 클라우드 아키텍처, 내장 툴과 타사 툴의 접근성, 데이터에 접근할 수 있는 권한을 부여받은 사용자의 수와 유형 등을 포함해 여러 요소를 고려하여 결정을 내려야 하기 때문이다.

 

물론, 클라우드에서 비즈니스 데이터를 보호하기 위한 보편적인 방식은 존재하기는 한다.

 

ㄱ. 정지된 데이터, 사용 중이거나 작동 중인 데이터를 암호화한다.

 

ㄴ. 엑세스 권한을 부여하기 전에 사용자 신원을 확인하기 위해 이중 인증 또는 다중 인증을 사용한다.

 

ㄷ. 방화벽, IPSec 및 안티 멀웨어를 포함한 클라우즈 엣지 보안을 위한 방어를 구축한다.

 

ㄹ. 클라우드 데이터 백업을 격리하여 랜섬웨어 위협을 방지한다.

 

ㅁ. 데이터 위치를 파악하고 데이터를 클라우드 내부 또는 외부의 다른 위치에 복사할 수 있는지의 여부에 대한 제한을 구현할 수 있도록 데이터 위치 가시성 및 제어 기능을 보장한다.

 

ㅂ. 데이터 엑세스, 추가 및 변경의 모든 내용을 기록하고 모니터링한다.

 

한편, 클라우드에서 데이터를 안전하게 보호하는 데 도움이 되는 새로운 사이버 보안 도구도 고려하는 것이 물론 좋다. 이것들은 네트워크 탐지 및 대응과 IT 운영을 위한 인공지능을 포함하여 말이다. 이것을 통해 클라우드 기반 시설 상태와 사이버 보안 정보를 수집할 수 있다. 그리고 나서 인공지능은 데이터를 분석하여 위협을 나타낼 수 있는 비정상적인 행동을 관리자에게 알리는 것이다.

 

5. 클라우드 관련 주요 과제

물론 새로운 것도 있기야 하다만, 기본적으로 전통적인 사이버 보안 문제들 중 많은 것이 클라우드에도 이어진다. 이것들은 다음을 포함한다.

 

①내부 위협 ② 데이터 로스 ③ 데이터 침해 ④ IAM ⑤ 키 관리 ⑥ 접근 제어 ⑦ 피싱 ⑧ 멀웨어 ⑨ 섀도우 IT ⑩ DDoS ⑪ APIs

 

특히 클라우드 보안 문제의 경우, 관리자는 다음과 같은 문제를 처리해야 할 것이다.

 

①클라우드 계정 하이재킹 ② 클라우드 가시성과 제어 부족 ③ 회사의 관리자에게 생소한 보안 툴을 사용하는 작업 ④ 전송 중이거나 정지 상태에서 데이터의 위치 추적 및 모니터링 ⑤ 잘못된 구성 ⑥ 취약한 클라우드 컨트롤 플레인 ⑦ 책임 공유 모델에 대한 이해의 어려움 ⑧ 부적절한 클라우드 서비스 이용 ⑨ 멀티 테넌시 문제 ⑩ 온 프레미스 환경과 호환되지 않는 사항 ⑪ 클라우드 컴플라이언스 ⑫ 클라우드 거버넌스

 

보안 관리자는 물론 새롭게 등장하는 클라우드 보안 위협을 파악하고, 그것을 방지하기 위한 계획과 프로세스를 갖춰야 한다. 이러한 위협은 읿나적으로 애플리케이션, 운영체제, VM 환경 및 기타 네트워크 인프라 구성 요소에서 새로 발견된 취약점을 중심으로 발생하곤 한다. 이러한 보안 문제를 해결하고 새롭게 등장하는 위협을 제거하기 위해서는 조직이 제어하는 소프트웨어의 업데이트와 패치 관리에 만전을 다해야 한다. 이것을 소홀히하여 문제가 생기는 경우가 세계적으로도 꽤나 된다는 점을 명심해야 할 것이다.

 

그리고 사내 담당자는 CSP 측과 커뮤니케이션 채널을 구축하는 것도 중요할 것이다. 쉽게 비유하자면, 보안 위탁 업체가 있는데 문제가 생기면 당연히 그 업체와 긴밀하게 소통하여 합동으로 대응하는 것이 중요한 것과 같다. 그래서 담당자는 CSP 쪽을 계속 모니터링을 하는 작업도 필요할 것이다.