최근에 국내 많은 기업이 퍼블릭 클라우드를 도입하는 큰 변화를 겪고 있습니다. 클라우드 도입에 조심스러웠던 공공 및 금융 기관도 클라우드 적용을 위한 대형 파일럿 사업을 진행하기 시작했습니다. 클라우드 서비스가 확산 단계에 들어서면서 자연스럽게 클라우드에 대한 의존도 커지게 됐습니다. 그런데 예측이 어려운 자연재해 등 각종 문제로 인해 클라우드 서비스 사업자가 서비스를 원활히 제공하지 못하는 심각한 상황이 발생하기도 하는데요.
한 예로, 지난 2018년에 글로벌 클라우드 서비스 기업인 AWS에서 ‘내부 DNS(Domain Name System) 변환 실패’ 사고가 발생했습니다. 이로 인해 고객사인 쿠팡을 비롯 배달의 민족, 마켓컬리 등 많은 기업의 서비스가 먹통이 되는 초유의 사태가 일어났습니다. 당시 피해 기업들은 갑작스러운 서비스 중단에 대해 AWS로부터 장애 원인과 사고 경위를 제대로 듣지 못했습니다.
이처럼 기업이 단일 클라우드 서비스 업체에 의존해 고객에게 서비스를 제공할 경우, 장애 발생시 대처 방안을 찾기가 쉽지 않습니다. 이를 인식한 기업들은 멀티 클라우드에 관심을 갖기 시작했습니다.
멀티 클라우드는 서로 다른 클라우드를 이용해 하나의 서비스를 운영하는 것입니다. 즉 2개 이상의 클라우드 서비스 업체를 선정해 각각의 서비스를 이용하는 방식입니다. 다양하고 복잡한 기업의 IT 환경을 클라우드 방식으로 구현하기 위해서는 CSP(Cloud Solution Provider)별로 강점이 있는 특화 기능을 모두 활용하는 전략인 셈입니다.
글로벌 클라우드 매니지드 서비스 기업(MSP)인 플렉세라의 '2020 클라우드 현황 보고서'에 따르면, 조사 대상 기업 750개 중 무려 93%가 멀티 클라우드 전략을 고려하고 있는 것으로 나타났습니다. 그런데 유의할 점이 멀티 클라우드 환경을 구현했다고 해서 모든 문제가 해결되는 것은 아니라는 사실입니다. 실제로 클라우드를 전략없이 무작정 관리할 경우, 예기치 못한 사고로 이어지게 됩니다.
그럼, 멀티 클라우드를 ‘제대로’ 관리하기 위해서는 어떻게 해야 할까요? 클라우드 보안에서 가장 중요한 관리 포인트는 ‘보안 설정’인데요. 보통 클라우드를 사용하는 것만으로도 보안상 안전하다고 생각하기 쉽습니다. 하지만 사용자의 선택권을 우선 제공하는 클라우드의 특성상 잘못된 보안 설정 하나가 엄청난 파장을 일으킬 수 있습니다.
2020년 9월에 ‘클라우드 보안 연합(CSA, Cloud Security Alliance)’이 발표한 클라우드 위협 보고서에서는 ‘잘못된 보안 설정과 부적절한 변경 제어’를 주요 위협 요인으로 언급했습니다. 대표적인 클라우드 보안 사고인 미국의 금융지주회사 캐피탈 원의 약 1억 명 고객의 개인정보 누출과 인도 혼다 자동차의 민감 정보 누출 사고의 원인 역시 잘못된 보안 설정이었습니다.
멀티 클라우드 환경에서 보안 설정 관리는 기업의 보안 담당자에게 엄청난 부담일 수밖에 없습니다. GSP는 이러한 고충을 덜어주기 위해 보안상 취약한 설정에 대해 자동 점검 및 관리 서비스를 제공합니다. 하지만 클라우드 가짓수만큼 운영해야 하는 번거로움이 있습니다. 따라서 특정 CSP에 국한되지 않고, 잘못 설정된 리소스를 검사할 수 있는 효율적인 관리를 위해 자동화 도구가 필요합니다.
클라우드 환경의 보안 현황을 자동 점검하는 솔루션으로 LG CNS가 개발한 ‘SecuXper CAT(Cloud Assessment Tool)’이 있습니다. 이 솔루션은 직관적인 UI로 구성된 대시보드에서 점검 대상 서비스와 프로젝트별 보안 점검 결과, 양호 및 취약 계정과 이력을 한눈에 확인할 수 있어 매우 편리합니다. 또한 SecuXper CAT은 AWS, Azure, GCP 기반의 멀티 클라우드 환경을 지원하고, 각 CSP가 제공하는 서비스에 대해 CSP별로 중요 보안 설정을 자동으로 점검합니다.
기존의 CSP 보안설정 점검 서비스는 항목 준수 여부만 확인할 수 있습니다. 이에 비해 SecuXper CAT은 정보통신망법, 개인정보보호법 등 국내 법률과 보안 인증을 기반으로 취약점 발견 시 세부 조치 방법을 안내하는 엑셀 형태의 보고서를 제공합니다. 점검 결과 보고서는 추후 보안성 심의와 검토, 정기 보안 감사 자료로 활용이 가능합니다. 보안 담당자, 클라우드 운영자는 차별화된 SecuXper CAT의 우수한 기능을 클라우드 아키텍트 관점의 보안 업무에서 다양하게 활용할 수 있습니다.
- 보안 담당자는 조직 내 전체 계정에 대한 점검 여부를 모니터링할 수 있으며, 발견된 취약점에 대한 조치 현황을 관리합니다.
- 클라우드 운영자는 운영 중인 서비스의 보안 취약점을 정기적으로 파악하여 즉시 조치하거나, 예외처리 함으로써 보안관리 업무 부담을 경감하고 안전하게 서비스를 운영할 수 있습니다.
- 클라우드 아키텍트는 SecuXper CAT의 점검 항목을 보안 가이드로 활용하여 설계 초기부터 보안을 고려하여 보안성을 향상시키고 설계 기간을 단축합니다.
실제 SecuXper CAT을 적극 활용하고 있는 회사를 예를 들어 설명하겠습니다. 이 회사는 새로운 시스템을 퍼블릭 클라우드로 마이그레이션을 하고, 일부 서비스는 퍼블릭 클라우드에서 구축했습니다. 기존에 이미 존재하던 신규 시스템 개발 프로세스의 보안성 검토 절차에 SecuXper CAT 점검을 의무화했습니다. 그리고 퍼블릭 클라우드에서 개발된 시스템은 오픈 전에 반드시 SecuXper CAT 점검 결과와 조치 내역을 보안전담 부서에 제출해야만 오픈할 수 있도록 규정했습니다.
또한, 마이그레이션된 시스템을 운영부서에서 이관 받기 전의 절차에서 SecuXper CAT 점검은 필수입니다. 퍼블릭 클라우드에 마이그레이션돼 운영 이관을 받는 시스템은 SecuXper CAT 점검을 수행하고 해당 결과를 제출해야만 운영이관 승인이 완료됩니다. 그리고 운영 중 클라우드 환경이 수시로 변할 수 있으므로 취약점 정기 진단을 수행할 때 기존의 서버, DBMS 인프라 취약점 점검과 응용 애플리케이션 취약점 진단(모의해킹)을 추가했습니다. 이를 통해 SecuXper CAT 점검을 수행해 혹시라도 운영 중 변경되는 보안 설정을 모니터링할 수 있었습니다.
클라우드 환경에 대한 보안설정 점검을 수작업으로 하는 데에는 분명 한계가 있습니다. 그래서 기대효과를 극대화하기 위해서는 수행하는 절차가 내재화돼야 하고, 반드시 SecuXper CAT과 같은 도구를 적극 활용해야 합니다.
글ㅣ LG CNS 보안기술전략팀
보안기술전략팀은 클라우드, IoT, AI 등 신기술에 대한 보안을 인큐베이팅 역할을 담당하는 보안 전담 조직이다. 새로운 기술 영역에 대한 보안 아키텍처 설계, 구축 및 솔루션을 기획하여 안전하고 성공적으로 고객의 디지털 트랜스포메이션을 돕는다.
* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
'IT Solutions' 카테고리의 다른 글
| 2021 블록체인 핫키워드, 글로벌 중앙은행의 디지털화폐'CBDC' (1) | 2021.04.08 |
|---|---|
| 데이터도 품질관리가 필요해! 데이터 거버넌스 성숙도 향상 꿀팁 (0) | 2021.04.06 |
| 드라이브스루 탄생시킨 디자인씽킹, 이렇게 적용해 보세요! (0) | 2021.04.01 |
| 아마존, 구글도 앞다퉈 투자! '데이터브릭스'의 비결은? (0) | 2021.03.29 |
| [RED팀] 역직렬화 취약점, 이렇게 하면 극복 가능! (0) | 2021.03.26 |
