2020.09.03

글로벌 칼럼 | 'AWS가 뚫리면?' 클라우드 '시스템적 보안 위험'을 말해야 하는 이유

Cynthia Brumfield | InfoWorld
클라우드가 등장한 지 거의 30년이 됐지만 많은 기업에 여전히 '새로운' 기술이다. 클라우드를 이용하면 대용량 데이터 및 시스템의 저장과 관리를 통해 비용을 절감하고 효율성을 개선할 수 있다. 이론적으로는 유지 비용이 더 저렴하고 보안도 강화할 수 있다.
 
ⓒ Getty Images Bank

이처럼 클라우드를 향해 달려가는 기업이 크게 늘면서 미국의 몇몇 의원이 클라우드 기술에 대한 관리 필요성을 주장하고 나선 것은 무리는 아니다. 지난해 일부 주는 미 금융안정감독위원회(FSOC)에 클라우드 서비스를 현대 뱅킹 시스템의 필수 요소로 고려하고 규제 하에 둘 것으로 촉구했다. 이와 같은 요구는 캐피털 원(Capital One)의 한 직원이 아마존 웹 서비스(AWS)에 호스팅되는 잘못 구성된 방화벽을 이용해 1억 명 이상 고객의 신용 신청서를 훔친 대규모 데이터 유출 사건으로 인해 촉발됐다.

이런 가운데 최근 카네기 국제 평화 기금(Carnegie Endowment for International Peace)이 새로운 연구 자료를 내놓았다. 입법 및 규제 기관을 대상으로 클라우드 영역에서 일어나는 일에 대한 기본적인 이해를 제공하기 위한 자료로, 특히 방대한 정보의 보안에 초점을 둔다. 카네기 기금 사이버 정책 이니셔티브의 공동 책임자인 팀 마우러와 콜롬비아 대학 박사 과정 학생이자 전 카네기 기금 연구원인 개럿 힝크가 함께 집필한 '클라우드 보안: 정책 입안자를 위한 입문서(Cloud Security: A Primer for Policymakers)'는 클라우드 보안에 대한 논쟁은 여전히 모호하며 공공 정책 시사점에 대한 이해도 부족하다고 지적했다.

보고서는 "공공 정책 관점에서 클라우드의 이미지는 그 설명만큼이나 모호하다. 클라우드의 기반을 형성하는 물리적 데이터센터와 네트워크 케이블에서 사용자가 일상적으로 접하는 가상 소프트웨어 환경과 애플리케이션에 이르는 계층 측면에서 보면 더 알 수 없는 그림이 된다”라고 주장했다.
 

시스템적인 클라우드 보안 위험

보고서에 따르면, 오늘날 클라우드 서비스는 이른바 “하이퍼스케일” 클라우드 서비스 제공업체로 불리는 AWS, 마이크로소프트 애저, 구글 클라우드를 포함한 소수의 공급업체 손에 집중돼 있다. 중국에서는 알리바바 클라우드(Alibaba Cloud), 텐센트(Tencent)와 같은 업체가 비슷한 위치에 있다.

이런 상황에서 사이버 공격에 따른 비용 증가는 곧 대부분의 기업이 효과적으로 자신을 보호할 수 없고 따라서 보안을 외부 업체의 보안 팀에 맡기는 편이 낫다는 것을 의미한다. 그러나 보안을 이들 업체에 맡기는 해결책은 “중앙화된 접근 방법에 수반되는 시스템적 위험”이라는 새로운 문제로 이어진다. 마우러는 CSO와의 인터뷰에서 “클라우드가 무엇인지에 대한 이해가 매우 부족하다. 클라우드가 무엇인지, 사이버 보안에 대해 어떻게 생각해야 하는지에 대한 자료가 거의 없다”라고 말했다.
 

클라우드 보안 정책에 대한 우려

카네기 기금 보고서는 공공 정책을 추천하지는 않았지만 균형을 잡아야 할 2가지 중요한 정책적 사안이 있다고 언급했다. 마우러는 “첫 번째는 현재, 그리고 알려진 사이버 불안 문제다. 기업 대부분은 아직도 해커를 상대로 자신을 효과적으로 보호하는 데 어려움을 겪고 있다”라고 말했다.

구글, 아마존, 마이크로소프트가 제공하는 “포트 녹스(Fort Knox)” 수준의 보안에 견줄 수 있는 기업은 거의 없으므로 이와 같은 거대 기업에 보안을 맡기는 편이 더 나을 수도 있다. 마우러는 “기업 관점에서 클라우드로 마이그레이션하면 실제로 사이버 보안을 개선할 수 있다. 가장 우수한 보안 업체의 최고급 보안 인력에 보안을 아웃소싱하고 위임할 수 있기 때문이다”라고 말했다. 그러나 이렇게 해도 문제가 남는다. 예를 들어 보고서가 클라우드 서비스 파탄을 유발하는 가장 일반적인 사건 중 하나로 언급한 ‘우발적인 데이터 노출’을 피하기 위해서는 클라우드 환경을 적절히 구성해야. 하는데 이 작업은 여전히 개별 기업의 몫이다.

두 번째 우려는 클라우드 제공업체에 의한 시스템적 위험이다. 주로 이들 거대 기업이 엄청나게 많은 데이터를 저장하도록 허용하는 데서 비롯되는, 드물지만 재난급 사고의 발생 가능성이다. 보고서는 주요 클라우드 서비스 제공업체 중 하나가 운영을 3~6일 중단할 경우 최대 150억 달러의 경제적 손실이 발생할 것으로 추정한 런던 로이드(Lloyds)의 2018년 연구를 인용했다. 또한, 포트 녹스와 마찬가지로 클라우드 서비스 역시 많은 고급 데이터가 저장된 만큼 공격자에게 탐스러운 목표물이 된다.

마우러는 “미국 의회뿐만 아니라 전 세계 다른 여러 나라에서도 클라우드로 마이그레이션하는 기업과 정부 기관이 많아질수록 위험이 더 집중되고, 클라우드로의 마이그레이션에 따르는 시스템적 위험도 커질 것으로 우려하는 정책 입안자가 늘고 있다. 한 클라우드 서비스 제공업체에 타격을 입히는 대규모 사고가 발생하면 그 파장은 전체 산업에 걸쳐 광범위하게 퍼지게 된다”라고 말했다.
 

클라우드가 온프레미스보다 안전

물론 시스템적 위험이 있다 해도 클라우드로 전환해 얻는 보안 혜택은 명확하다. 마우러는 “일부에서는 시스템적 위험에 대해 지나치게 걱정해 클라우드로의 마이그레이션이 현재의 사이버 보안 문제를 해결하는 데 도움이 된다는 더 기본적인 사실을 망각하는 경향이 있다. 클라우드로 마이그레이션하면 기업이 내부 보안팀을 통해 달성할 수 있는 수준보다 10배는 더 안전해진다”라고 말했다.

이밖에 보고서가 언급된 우려는 주로 해외 시장에서 미국 클라우드 제공업체의 독과점에 관한 것이다. 보고서는 “보안은 정부가 고려하는 여러 요소 중 하나일 뿐이다. 보안 외에 데이터 현지화에 대한 문제, 독점 금지 문제, 많은 정부가 자국 기술 산업의 성장을 원하므로 미국 클라우드 서비스 제공업체를 제한하는 법규를 도입하는 문제 등이 나타나고 있다"라고 분석했다.
 

클라우드 보안을 향한 협업적 접근

마우러는 해법 중 하나로 거대 공급업체 간의 협업적 접근을 제시했다. 그는 "업체 간의 치열한 경쟁이 모두에게 영향을 미치는 위협으로부터 시스템을 보호하는 데 방해가 될 수 있다. 이들이 협업하면 클라우드 보안에도 유리할 것이다. 그러나 현재의 성숙도와 기술 업계의 문화를 보면 경쟁이 극히 치열해서 업체 간 대화가 거의 없고 모두에게 영향을 미치는 보안에 대해서도 거의 토론하지 않는다”라고 말했다.

협업적 클라우드 보안 이니셔티브에 대해 비판적인 사람들은 반독점 우려를 제기할 수 있다. 그러나 마우러는 "금융, 항공과 같은 다른 업종에서 이와 비슷한 접근 모델이 있었다. 금융, 항공과 같이 경쟁이 치열한 다른 산업을 보면 모두 보안에 대처하기 위한 업계 컨소시엄이 있다. 위험이 개별 기업뿐만 아니라 전체 산업에도 영향을 미친다는 점을 인식하고 있기 때문이다”라고 말했다.

마지막으로 마우러는 “앞으로는 주요 클라우드 서비스 제공업체가 협력해서 서로의 생각을 공유하고 비교하고 위협 행위자에 대한 데이터를 공유하는 것이 점점 더 중요해질 것이다. 곧 나올 규제의 틀보다 이 협업이 더 큰 긍정적 효과를 이끌 가능성이 높다”라고 말했다. editor@itworld.co.kr


2020.09.03

글로벌 칼럼 | 'AWS가 뚫리면?' 클라우드 '시스템적 보안 위험'을 말해야 하는 이유

Cynthia Brumfield | InfoWorld
클라우드가 등장한 지 거의 30년이 됐지만 많은 기업에 여전히 '새로운' 기술이다. 클라우드를 이용하면 대용량 데이터 및 시스템의 저장과 관리를 통해 비용을 절감하고 효율성을 개선할 수 있다. 이론적으로는 유지 비용이 더 저렴하고 보안도 강화할 수 있다.
 
ⓒ Getty Images Bank

이처럼 클라우드를 향해 달려가는 기업이 크게 늘면서 미국의 몇몇 의원이 클라우드 기술에 대한 관리 필요성을 주장하고 나선 것은 무리는 아니다. 지난해 일부 주는 미 금융안정감독위원회(FSOC)에 클라우드 서비스를 현대 뱅킹 시스템의 필수 요소로 고려하고 규제 하에 둘 것으로 촉구했다. 이와 같은 요구는 캐피털 원(Capital One)의 한 직원이 아마존 웹 서비스(AWS)에 호스팅되는 잘못 구성된 방화벽을 이용해 1억 명 이상 고객의 신용 신청서를 훔친 대규모 데이터 유출 사건으로 인해 촉발됐다.

이런 가운데 최근 카네기 국제 평화 기금(Carnegie Endowment for International Peace)이 새로운 연구 자료를 내놓았다. 입법 및 규제 기관을 대상으로 클라우드 영역에서 일어나는 일에 대한 기본적인 이해를 제공하기 위한 자료로, 특히 방대한 정보의 보안에 초점을 둔다. 카네기 기금 사이버 정책 이니셔티브의 공동 책임자인 팀 마우러와 콜롬비아 대학 박사 과정 학생이자 전 카네기 기금 연구원인 개럿 힝크가 함께 집필한 '클라우드 보안: 정책 입안자를 위한 입문서(Cloud Security: A Primer for Policymakers)'는 클라우드 보안에 대한 논쟁은 여전히 모호하며 공공 정책 시사점에 대한 이해도 부족하다고 지적했다.

보고서는 "공공 정책 관점에서 클라우드의 이미지는 그 설명만큼이나 모호하다. 클라우드의 기반을 형성하는 물리적 데이터센터와 네트워크 케이블에서 사용자가 일상적으로 접하는 가상 소프트웨어 환경과 애플리케이션에 이르는 계층 측면에서 보면 더 알 수 없는 그림이 된다”라고 주장했다.
 

시스템적인 클라우드 보안 위험

보고서에 따르면, 오늘날 클라우드 서비스는 이른바 “하이퍼스케일” 클라우드 서비스 제공업체로 불리는 AWS, 마이크로소프트 애저, 구글 클라우드를 포함한 소수의 공급업체 손에 집중돼 있다. 중국에서는 알리바바 클라우드(Alibaba Cloud), 텐센트(Tencent)와 같은 업체가 비슷한 위치에 있다.

이런 상황에서 사이버 공격에 따른 비용 증가는 곧 대부분의 기업이 효과적으로 자신을 보호할 수 없고 따라서 보안을 외부 업체의 보안 팀에 맡기는 편이 낫다는 것을 의미한다. 그러나 보안을 이들 업체에 맡기는 해결책은 “중앙화된 접근 방법에 수반되는 시스템적 위험”이라는 새로운 문제로 이어진다. 마우러는 CSO와의 인터뷰에서 “클라우드가 무엇인지에 대한 이해가 매우 부족하다. 클라우드가 무엇인지, 사이버 보안에 대해 어떻게 생각해야 하는지에 대한 자료가 거의 없다”라고 말했다.
 

클라우드 보안 정책에 대한 우려

카네기 기금 보고서는 공공 정책을 추천하지는 않았지만 균형을 잡아야 할 2가지 중요한 정책적 사안이 있다고 언급했다. 마우러는 “첫 번째는 현재, 그리고 알려진 사이버 불안 문제다. 기업 대부분은 아직도 해커를 상대로 자신을 효과적으로 보호하는 데 어려움을 겪고 있다”라고 말했다.

구글, 아마존, 마이크로소프트가 제공하는 “포트 녹스(Fort Knox)” 수준의 보안에 견줄 수 있는 기업은 거의 없으므로 이와 같은 거대 기업에 보안을 맡기는 편이 더 나을 수도 있다. 마우러는 “기업 관점에서 클라우드로 마이그레이션하면 실제로 사이버 보안을 개선할 수 있다. 가장 우수한 보안 업체의 최고급 보안 인력에 보안을 아웃소싱하고 위임할 수 있기 때문이다”라고 말했다. 그러나 이렇게 해도 문제가 남는다. 예를 들어 보고서가 클라우드 서비스 파탄을 유발하는 가장 일반적인 사건 중 하나로 언급한 ‘우발적인 데이터 노출’을 피하기 위해서는 클라우드 환경을 적절히 구성해야. 하는데 이 작업은 여전히 개별 기업의 몫이다.

두 번째 우려는 클라우드 제공업체에 의한 시스템적 위험이다. 주로 이들 거대 기업이 엄청나게 많은 데이터를 저장하도록 허용하는 데서 비롯되는, 드물지만 재난급 사고의 발생 가능성이다. 보고서는 주요 클라우드 서비스 제공업체 중 하나가 운영을 3~6일 중단할 경우 최대 150억 달러의 경제적 손실이 발생할 것으로 추정한 런던 로이드(Lloyds)의 2018년 연구를 인용했다. 또한, 포트 녹스와 마찬가지로 클라우드 서비스 역시 많은 고급 데이터가 저장된 만큼 공격자에게 탐스러운 목표물이 된다.

마우러는 “미국 의회뿐만 아니라 전 세계 다른 여러 나라에서도 클라우드로 마이그레이션하는 기업과 정부 기관이 많아질수록 위험이 더 집중되고, 클라우드로의 마이그레이션에 따르는 시스템적 위험도 커질 것으로 우려하는 정책 입안자가 늘고 있다. 한 클라우드 서비스 제공업체에 타격을 입히는 대규모 사고가 발생하면 그 파장은 전체 산업에 걸쳐 광범위하게 퍼지게 된다”라고 말했다.
 

클라우드가 온프레미스보다 안전

물론 시스템적 위험이 있다 해도 클라우드로 전환해 얻는 보안 혜택은 명확하다. 마우러는 “일부에서는 시스템적 위험에 대해 지나치게 걱정해 클라우드로의 마이그레이션이 현재의 사이버 보안 문제를 해결하는 데 도움이 된다는 더 기본적인 사실을 망각하는 경향이 있다. 클라우드로 마이그레이션하면 기업이 내부 보안팀을 통해 달성할 수 있는 수준보다 10배는 더 안전해진다”라고 말했다.

이밖에 보고서가 언급된 우려는 주로 해외 시장에서 미국 클라우드 제공업체의 독과점에 관한 것이다. 보고서는 “보안은 정부가 고려하는 여러 요소 중 하나일 뿐이다. 보안 외에 데이터 현지화에 대한 문제, 독점 금지 문제, 많은 정부가 자국 기술 산업의 성장을 원하므로 미국 클라우드 서비스 제공업체를 제한하는 법규를 도입하는 문제 등이 나타나고 있다"라고 분석했다.
 

클라우드 보안을 향한 협업적 접근

마우러는 해법 중 하나로 거대 공급업체 간의 협업적 접근을 제시했다. 그는 "업체 간의 치열한 경쟁이 모두에게 영향을 미치는 위협으로부터 시스템을 보호하는 데 방해가 될 수 있다. 이들이 협업하면 클라우드 보안에도 유리할 것이다. 그러나 현재의 성숙도와 기술 업계의 문화를 보면 경쟁이 극히 치열해서 업체 간 대화가 거의 없고 모두에게 영향을 미치는 보안에 대해서도 거의 토론하지 않는다”라고 말했다.

협업적 클라우드 보안 이니셔티브에 대해 비판적인 사람들은 반독점 우려를 제기할 수 있다. 그러나 마우러는 "금융, 항공과 같은 다른 업종에서 이와 비슷한 접근 모델이 있었다. 금융, 항공과 같이 경쟁이 치열한 다른 산업을 보면 모두 보안에 대처하기 위한 업계 컨소시엄이 있다. 위험이 개별 기업뿐만 아니라 전체 산업에도 영향을 미친다는 점을 인식하고 있기 때문이다”라고 말했다.

마지막으로 마우러는 “앞으로는 주요 클라우드 서비스 제공업체가 협력해서 서로의 생각을 공유하고 비교하고 위협 행위자에 대한 데이터를 공유하는 것이 점점 더 중요해질 것이다. 곧 나올 규제의 틀보다 이 협업이 더 큰 긍정적 효과를 이끌 가능성이 높다”라고 말했다. editor@itworld.co.kr


X