클라우드의 시작과 끝, 클라우드 보안

클라우드란?

인터넷을 통해 액세스할 수 있는 서버와 이러한 서버에서 작동하는 소프트웨어와 데이터베이스를 의미한다. 사용자와 기업은 클라우드 컴퓨팅을 사용하면 직접 물리적 서버를 관리하거나 자체 서버에서 소프트웨어 응용 프로그램을 실행하지 않아도 된다.

 

 

클라우드 도입의 걸림돌

클라우드 전환을 주저하게 만드는 것은 클라우드 보안이다. 21년 KDI 경제정보센터에서 국내 기업을 대상으로 클라우드 도입 시 장애 요인에 대해 조사한 결과 기업의 52.5%가 데이터 유출 등의 보안 문제를 장애 요인으로 삼았다. 그렇지만 이것은 보안에 문제가 없다면 얼마든지 클라우드 전환을 가속할 수도 있다는 의미가 되기도 한다. 

 

 

클라우드 보안의 단계적 접근

기업의 클라우드 인프라 전환 단계는 3단계로 나눌 수 있다. 초창기는 기업의 업무 시스템 중 규모와 중요도가 작은 시스템 위주로 시범적으로 전환되는 시기이다. 이 경우 일부 인프라만 클라우드로 전환된 상태로 대부분의 보안 위협이 Legacy와 동일하기 때문에 기존 보안 솔루션과 수작업에 의한 보안 진단을 통해 대응 가능하다.

 

초창기를 지나 주요 업무 시스템의 일부 또는 전체가 클라우드로 전환되는 과도기의 경우 워크로드의 일부 또는 전체를 클라우드 특성에 맞게 재개발하게 되고 개발 방법론도 DevSecOps와 CI/CD 체계로 전환됨에 따라 Legacy 환경처럼 수작업에 의한 보안 관리로는 취약점을 발견하기도 어렵고 조치를 취하기도 어렵다.

 

마지막으로 클라우드 전환 정착기는 모든 워크로드가 처음부터 클라우드 위에서 개발이 되는 단계를 뜻한다. 정착기는 Legacy와 다른 클라우드를 위한 보안이 필요한 시기이다.

 

 

클라우드 전환 초창기

초창기의 가장 큰 보안 위협은 보안 정책과 진단 부재에 의한 혼란이다. 이때 클라우드 시범 적용은 Best Practice를 만들어 후에 다른 업무 시스템 전환에 적용하기 위함인데 보안이 누락된 상태로 만들어진 Best Practice는 초창기뿐만 아니라 이후 클라우드 전환의 모든 과정을 위태롭게 만들 수 있다.

 

클라우드를 도입할 때 가장 먼저 해야 하는 일은 클라우드 특성이 반영된 보안 정책을 미리 수립하고 배포함으로써 이후의 혼선을 미연에 방지하는 것이다. 기존 Legacy 환경의 보안 정책에 기반해 일부만 클라우드 용어로 바꾸어 수립하는 것이 아니라 클라우드 인프라 특성에 맞는 보안 정책을 수립하는 것이 중요하다.

 

보안 정책은 클라우드 인프라 생성과 폐기가 기존과 달리 상시로 생성하고 폐기하는 것이 가능함을 고려해야 한다. 클라우드는 인프라의 구매/설치 과정이 필요했던 Legacy와 달리 법인 카드와 세금 계산서만으로도 즉시 사용이 가능하기 때문에 기업 내부의 누구나 언제든지 새로운 이프라는 클라우드에 구축할 수 있다. 마찬가지로 클라우드 리소스 폐기 역시 상시 발생할 수 있기 때문에 이러한 과정에서 관리 대상에서 누락되는 Shadow IT가 발생하지 않도록 심사하고 승인하는 절차를 마련하고 보안 부서를 포함한 모든 부서에 통보될 수 있도록 해야 한다.

 

뿐만 아니라 외부 침해 대응 및 취약점 진단 가이드를 마련할 때에도 클라우드의 특성을 고려해야 한다. 클라우드는 인터넷이 되는 곳이라면 어디서든 관리자가 접속할 수 있기 때문에 클라우드를 도입하는 경우 외부 공격에 의한 침해 대응 외에도 내부자의 실수 또는 고의에 의해 발생하는 보안 사고 가능성을 인정하고 이를 탐지하고 대응하는 절차를 마련해야 한다. 또한 CSP 콘솔을 통해 인프라의 생성과 삭제, 보안 기능의 설정과 해제까지 가능하므로 각 CSP 콘솔의 기능을 클릭하는 순서까지 정확하게 기재된 보안 진단과 조치 가이드가 제공되어야 한다.

 

 

클라우드 전환 과도기

과도기는 주요 업무 시스템이 클라우드로 전환이 되는 만큼 다수의 구성원이 클라우드를 접하게 되는 시기이다. 따라서 개발자 주도의 빠른 개발 및 배포를 위한 DevSecOps와 컨테이너가 적극적으로 활용되는 시기라고 볼 수 있다. 이에 맞추어 자동화된 보안 도구와 클라우드 보안 역량을 갖추는 것이 중요하다.

 

보안의 관점에서 컨테이너가 VM 또는 물리 서버와 다른 가장 큰 차이점은 배포의 용이성에 의한 짧은 LifeCycle이다. 컨테이너는 적게는 몇 분에서 많게는 며칠 정도의 짧은 주기를 갖는다.

 

컨테이너 이미지의 경우 내부 개발자에 의해 만들어지는 경우도 있지만 이미 누군가 만들어 둔 컨테이너를 다량으로 사용해야 빨라진 개발 속도를 맞출 수 있는 경우가 많다. 그러나 이러한 컨테이너 이미지에는 다수의 취약점이 발견되기도 한다.

 

2020년 Prevasio에서 컨테이너 이미지가 가장 많이 유통되는 Docker Hub를 조사한 결과 CVE 기준 9.0 이상의 치명적인 취약점을 갖는 경우가 51% 이상이며 취약점이 존재하지 않는 컨테이너 이미지는 20%에 지나지 않았다. 특히 1% 정도의 컨테이너 이미지에서는 가상 화폐 채굴기, 해킹 도구들이 발견되기도 했다. 컨테이너는 짧은 LifeCycle을 가지고 있기 때문에 이는 매일 직면하는 위험이 되는 것이다.

 

또한 클라우드의 장점이었던 탄력성은 보안 관점에서는 기준 정보가 유동적이라는 어려움으로 작용한다. 따라서 Legacy 환경처럼 수작업에 의한 보안 관리로는 취약점을 발견하고 조치하는 것이 어려워지기 때문에 자동화된 클라우드 보안 솔루션이 필수라고 볼 수 있다. CSPM, CWPP와 같은 클라우드 보안 솔루션이 유용하게 활용된다.

CSPM(Cloud Security Posture Management)은 클라우드의 Misconfiguration을 탐지하기 위한 솔루션이다. 클라우드의 모든 인프라와 보안 설정은 콘솔을 통해 이루어지는데 이를 취약하게 설정하거나 Default 상태로 방치하는 것을 Misconfiguration이라고 하며 클라우드 보안 사고의 가장 큰 원인으로 지목되고 있다. CSPM을 도입하면 미리 등록해둔 보안 정책을 기준으로 상시 자동 진단함으로써 Misconfiguration을 최소화하고 보안 담당자 외에도 개발자와 운영자들이 상시 진단 내용을 확인할 수 있도록 진단 결과를 제공하여 보안 담당자가 인지하고 통지하는 방식보다 빠르게 취약점 조치가 가능하다.

CWPP(Cloud Workload Protection Platform)는 컨테이너 환경에 특화된 보안 솔루션으로 Registry에 등록되었거나 신규로 등록되는 컨테이너 이미지의 알려진 취약점을 진단하고 체크리스트 기반으로 컨테이너가 구동되는 Docker, K8s, VM Instance 등을 Run-time 진단한다.

기업은 CWPP에 의해 진단 및 조치되지 않은 이미지를 배포하지 못하도록 강제하는 프로세스를 수립하고 내부 개발자가 만든 컨테이너 이미지와 외부에서 반입한 컨테이너 이미지를 나누어 관리함으로써 클라우드 보안을 강화할 수 있다.

 

 

클라우드 전환 정착기

모든 워크로드가 클라우드에서 개발되는 정착기에는 CSP Native 보안 기능 적용을 적극 검토하게 된다.

 

CSP Native 보안 기능은 호출 횟수마다 또는 사용할 때만 지불하는 Pay-per-use 방식으로 비용 효율적이며 별도의 계약과 구매 프로세스 없이 CSP 콘솔에서 클릭 몇 번만으로 즉시 사용 가능하다. 또한 Full-Managed로 제공되기 때문에 장애에 대한 우려도 매우 낮다. 하지만 CSP Native이므로 경쟁상대인 타 CSP를 위한 보안 기능을 제공하지 않기 때문에 멀티 클라우드 환경에서는 CSP마다 Native 보안 기능을 사용하기 위한 요금은 물론 인적 학습 비용을 지불해야 하고 On-Premise까지 포괄하지 못하기 때문에 Hybrid 클라우드 환경에서는 CSP Native와 On-Premise 보안 솔루션 양쪽을 모두 사용해야 한다.

 

무엇보다도 CSP Native 보안 기능의 가장 큰 난관은 난이도라고 볼 수 있다. CSP Native 보안 기능은 사용자가 직접 모든 문제를 해결해야 하기 때문이다.

 

 

클라우드의 시작과 끝은 클라우드 보안

클라우드 전환은 단순 인프라 전환이 아닌 보안 정책을 포함한 모든 보안 시스템의 전환을 필요로 한다. 기존 Legacy 보안과 클라우드 보안은 고려해야 할 사항이 크게 다르기 때문에 기존 보안 방식으로 접근하다 보면 새로운 보안 위협에 노출되기 쉬우며 클라우드 서비스의 경우 사용자의 자원 통제 권한 범위가 넓기 때문에 보안 사고 발생 그 피해 범위도 더 클 수밖에 없다.

 

 

결론

클라우드 보안을 위해 지금 해야 할 것과 미래에 해야 할 것 또는 미처 챙기지 못하고 지나친 것들이 무엇인지 파악하면 성공적인 클라우드 전환이라는 결과를 얻을 수 있다.

 

 

참고: https://www.samsungsds.com/kr/insights/cloud_security.html