클라우드 보안의 필요성
클라우드 도입은 비용 절감과 민첩성 등의 장점이 많지만, 기업에서 클라우드의 도입을 망설이는 가장 큰 이유는 기업이 관리하는 시스템과 같은 수준의 보안을 클라우드에서도 적용할 수 있는지 확실하지 않기 때문이다. 클라우드 환경에서도 다양한 정보 유출과 해킹 보안사고가 발생할 수 있다. 보안 담당자가 알아야 할 클라우드 보안위협과 클라우드 이용 시 지켜야 할 법적 요구사항을 살펴보도록 하자.
1. 클라우드 보안위협과 사고 사례
클라우드 도입 시에는 기업의 정보자산이 외부의 클라우드 서비스 제공자가 관리하는 보안관리 영역으로 이동한다. 클라우드 환경에서 보안관리 영역이 어떻게 변경되는지 알아보고, 클라우드에서 발생한 대표적인 보안 사고 사례를 통해 클라우드에서 발생 가능한 보안위협을 살펴보자.
클라우드 보안위협
기존 보안의 영역을 토대로 클라우드 환경에서의 두 가지 보안위협에 대해 살펴보도록 하자.
클라우드의 보안위협(1): 기업의 관리적, 기술적 범위 확대
첫 번째는 기존 IT 환경에서 발생했던 보안위협이 클라우드 시스템에서도 그대로 존재하는 경우이다. 일반적으로 기업은 보유한 정보자산을 보호하기 위해 다음과 같이 관리적, 기술적, 물리적인 보안영역을 구성하여 보안에 대한 위협을 분석하고 보호 대책을 마련한다.
클라우드 서비스는 가상화 기술을 이용하여 IT 인프라를 공유하는 기술을 사용하지만, 그 위에서 동작하는 미들웨어(WEB, WAS)나 애플리케이션(홈페이지, 모바일 앱 등)들은 기존의 환경과 동일하다. 따라서, 온프레미스 환경이나 클라우드 환경과 관계없이 보안 위협의 취약영역은 유사하다.
일반적인 기업의 보안 프레임워크를 바탕으로 클라우드 환경에서 도일하게 유지되는 보안위협에 대해 살펴보면, 다음 그림과 같이 기존의 기업 보안 프레임워크가 클라우드로 확장된다. 클라우드 영역의 경우 관리적, 기술적 보안은 책임공유 모델을 통해 보안에 대한 역할을 공유하게 되며, 클라우드 서비스를 제공하는 데이터 센터의 물리적 보안은 클라우드 서비스 제공자가 전적으로 책임지는 형태로 변경된다.
각각의 계층별로 변경되는 내용을 살펴보자.
관리적 보안영역은 클라우드 서비스 사용범위까지 넓어진다. 기업 내부의 보안정책을 그대로 적용할 수 있다면 어려움이 없을 것이다. 하지만, 클라우드 서비스 제공자가 배포하는 보안 서비스나 기능이 기업 내부와는 사뭇 다르므로 보안정책을 완전히 그대로 적용하기에는 무리가 있다.
예를 들어 기업 내부에서 사용하던 보안 솔루션(방화벽, 계정관리 시스템 등)을 클라우드 환경에 적용할 수 없는 경우가 많다. 별도의 보안 솔루션에 투자하거나 소프트웨어 기반의 별도 보안 솔루션으로 변경을 해야 하는 경우가 발생한다. 결국, 클라우드 서비스를 위한 클라우드용 보안 관리 환경을 구성하고 기업 내부와 기업 외부를 통합 관리할 수 있는 작업이 필요한 것이다.
기술적 보안영역에서는 인터넷 환경을 통해서 기본적인 인프라가 구성되기 때문에 정보유출과 해킹 공격의 위험이 확대된다. 물론, 사설망이나 전용망을 통해서 클라우드 환경을 구성할 수 있으나, 대다수가 사용하는 일반적인 경우의 취약점을 언급하고자 한다.
인터넷 기반의 환경이라면 쉽게 클라우드 서비스에 접속할 수 있고, 어떤 디바이스를 통해서도 접속이 가능하다. 또한, 우리가 당면한 보안 수준이 외부의 기술 변화에 민첩하게 따라가거나 인식조차 못하는 경우도 발생한다. 보안영역은 클라우드 환경을 위한 모니터링과 최대한의 통제권 확보를 위해 더 많은 투자가 필요하다.
물리적 보안영역은 클라우드 서비스 제공자가 담당하게 된다. 사용자는 클라우드 서비스가 제공되는 영역을 선택할 수 있으나 자원의 물리적인 위치에 대해서는 알 수 없다. 클라우드 서비스 제공자는 사용자와 SLA(Service Level Argument, 서비스 수준 계약)를 통해 클라우드 서비스를 제공하는 데이터 센터의 물리적인 보안과 서비스의 가용성을 보장한다. 사용자는 법규나 컴플라이언스 준수를 위해 기업의 데이터가 저장되는 물리적인 위치를 국내 또는 특정 국가에 있는 서비스 영역으로 제한할 것을 요청할 수 있다.
클라우드의 보안위협(2): 클라우드 시스템의 보안위협
두 번째는 가상화 기술과 멀티테넌시(multinancy, 여러 사용자가 함께 사용하는 환경)로 인해 클라우드 환경에서 발생하는 보안위협이다.
클라우드는 물리적인 인프라에 가상화 기술을 활용하여 하나의 자원을 여러 사용자가 사용할 수 있도록 제공한다. 가상화 기술에 대한 취약점과 물리적인 인프라 설정, 다른 사용자와의 논리적인 분리 기능에 취약점이 있을 경우 보안위협이 발생하게 된다. 보안 담당자는 클라우드 서비스가 가진 다양한 특징으로 인한 보안위협에 대해 통제력을 확보하기 위해 힘쓰고, 위협을 지속해서 제거해 나가는 노력을 기울여야 한다.
이러한 클라우드 사용에 따른 보안위협을 개인 스스로 해결하기 어려우므로 국제적으로 클라우드 보안협회(Cloud Security Alliance, 이하 CSA)라는 기구가 자율적으로 구성되었고 정기적으로 클라우드에서 발생하는 대표적인 보안위협들을 공유하고 있다.
CSA가 발표한 대표적인 보안위협
CSA에서 매년 가장 심각한 보안위협에 대해 공유하고 있다. 다음은 2019년에 발생한 대표적인 보안위협과 사례이다.
클라우드 보안 사고 사례
클라우드 보안사고의 유형은 크게 3가지로 분류해 볼 수 있다. 클라우드 서비스 제공자의 문제, 클라우드 서비스 사용자의 문제, 그리고 서로의 책임이 공유되는 영역의 문제이다.
클라우드 서비스 제공자(CSP)의 문제
클라우드 서비스에서 발생 가능한 해킹은 가상화 기술과 사용자가 호출하는 API에서 발생할 수 있다. 여러 사용자가 자원을 공유하기 위해 가상영역으로 분리해 주는 가상화 기술은 클라우드 서비스의 핵심 기술이다. 하지만 가상화 기술의 취약점을 이용해서 가상서버의 호출, 호핑, 이미지 변조, 하이퍼바이저 기반 루트킷 등의 취약점으로 보안 사고를 발생시킬 수 있다.
특히 사용자들이 사용하는 가상서버를 관리하는 하이퍼바이저의 보안사고는 탐지하기 어려우며, 만일 하이퍼바이저를 노린 해킹이 성공한다면 하이퍼바이저가 관리하는 서버를 이용하는 모든 사용자가 피해를 볼 수 있다.
클라우드에 구성된 웹 서버도 기업의 데이터 센터에 설치된 서버와 마찬가지로 취약점을 가지고 있다. 추가적으로 가상화 기술을 활용하기 때문에 하이퍼바이저 상의 가상머신이 특히 취약하며, 하이퍼바이저와 접근제어나 네트워크를 통한 접근이 가능하면 피해가 발생할 수 있다.
하이퍼바이저(Hypervisor): 하나의 물리 서버에 여러 개의 가상서버(VM, Virtual Machine)를 구동하는 가상화 엔진으로 리눅스의 KVM, 마이크로소프트의 하이퍼-V, VMWare의 vSphere/ESXi 등이 있다.
또한, 클라우드에서 제공하는 서비스나 API에도 취약점이 존재한다. 클라우드에서 제공하는 서비스가 어떤 특성을 가졌는지 정확히 파악하기 어려우며, 따라서 사고발생 원인을 조사할 때 분쟁의 소지가 있을 수 있다.
API(Application Programming Interface): 서비스나 특정 응용 프로그램의 기능을 원격에서 호출하여 사용할 수 있는 기능을 제공하는 인터페이스 프로그램
클라우드 서비스 사용자의 문제
일반적인 시스템의 경우, 보통 홈페이지와 같은 웹 서버만 외부에서 접속을 허용하고 중요한 정보를 저장하는 데이터베이스나 스토리지는 내부에서 접근제어 설정과 방화벽을 통해 외부의 직접적인 접근을 차단한다. 하지만, 클라우드 서비스는 구성방법이 다르기 때문에 자칫 잘못 설정하게 되면 외부에서 인터넷을 통해 데이터에 접근할 수 있으며, 부적절한 권한 설정이나 구성으로 민감한 개인정보가 유출될 수도 있다.
책임 영역이 모호한 문제
클라우드 서비스는 편리성을 가지고 있지만 보안사고 발생 시 원인과 책임을 파악하기 위해 서비스 제공자가 관리하는 영역을 확인할 수 있다. 필요한 부분을 서비스 제공자에게 요청해야 하며, 전달받은 자료로 서비스 제공자의 책임을 증명하기 쉽지 않다.