클라우드 보안, “비상구가 필요하다”

가상화와 클라우드 컴퓨팅은 물리적 IT 인프라를 단순화하고 과다한 비용을 줄이는 효과를 가져다 주었지만, 관련 보안 위협에 대해서는 이제야 관심을 가지기 시작했다.

클라우드로 더 많은 인프라를 이전하는 것은 구글, 야후 등 인터넷 기반의 서비스 업체에 대한 DoS 공격을 강화하고 있는 해커들로 인해 사용자의 보안 또한 위험해지고 있다. 금년 초에 발생한 구글의 대규모 사고는 클라우드에 의존하는 기업이 고통을 받을 수 있는 혼란 상황을 잘 보여준다.

CSO와 CIO가 금년 초에 프라이스워터하우스쿠퍼스와 함께 실시한 7차 연례 전세계 정보보안 조사에서도 이런 사실을 확인할 수 있었다. 이 조사에는 전 세계에 걸쳐 정부, 의료, 금융 서비스와 유통업 등 다양한 산업에서 7,200명 이상의 임원이 참여했다.

낙하산 없이 뛰어내리기

많은 기업에서 물리적 IT 인프라를 유지하기 위해 주어진 비용으로 서버 공간과 제멋대로 구성된 장치들을 클라우드 서비스로 대체하려는 생각은 쉽게 반대하기 어렵다. 그러나 보안 전략 없이 급하게 클라우드로 전환하는 것은 위험한 처방이다.

이번 조사에 따르면, 응답자의 43%가 클라우드 서비스를 SaaS 또는 IaaS(Infra as a Service)처럼 사용하고 있다고 답했다. 심지어 더 많은 자금이 클라우드 컴퓨팅이 가능하도록 도와주는 가상화 기술에 투입되고 있다. 응답자의 67%는 현재 서버, 스토리지 및 다른 IT 자산의 가상화를 사용하고 있다고 답했다. 이들 중 48%는 실제로 정보 보안이 향상되었다고 생각하고 있으며, 42%는 보안이 거의 같은 수준이라고 말했다. 단 10%만이 가상화가 더 많은 보안 취약점을 만들었다고 답했다.

몇몇 사람들에게는 보안이 꽤 개선됐을 수도 있지만, 시스코의 클라우드와 가상화 솔루션 담당 이사인 크리스 홉과 같은 전문가들은 사용자와 서비스 업체 모두 클라우드 기술이 제공하는 기술적, 운용적 및 조직적 변경과 관련된 위험을 확실히 이해할 필요가 있다고 보고 있다.

홉은 "사람들이 가상화와 그 의미에 대해 어떻게 생각하는지 살펴보면 가상화의 정의는 매우 좁다. 즉 서버를 통합하고 애플리케이션과 운영체제를 가상화하고 모든 것을 더 적은 물리적 시스템으로 통합하거나 고객측 데스크톱, 저장장치, 네트워크, 보안과 같은 기타 요소들의 수효에 관한 것이 전부"라고 지적했다.

홉은 또 "여기에 마이크로소프트와 몇몇 신생업체들이 추진하고 있는 클라우드 컴퓨팅의 개념이 혼란을 추가한다. 사용자는 과연 클라우드 컴퓨팅이 무엇을 의미하는지 혼란스러워 한다. 과연 사용자의 인프라에 이것이 회사로서 사용자에게 무엇을 의미하는지 의아하게 생각하면서 머리를 긁게 된다. 그것이 사용자의 기반구조에 어떤 식으로 영향을 주는가?"라고 반문했다.

희망적인 신호

다행히도 기업들이 클라우드 컴퓨팅에 신중하게 접근하고 있는 사례들도 등장하고 있다.

한 가지 예는 앳모스 에너지(Atmos Energy)로, CIO인 리치 거스에 따르면 앳모스는 고객에 대한 자사의 응답 속도를 높이고 마케팅 부서가 증가하는 고객 수효를 관리하는 것을 돕기 위해 세일즈포스닷컴을 사용하고 있다. 이 시도는 현재까지 성공적이어서 클라우드에서 회사 이메일을 실행할 수 있는 가능성도 조사하고 있다.

거스는 "클라우드 기반의 이메일은 블랙베리와 같이 이메일이 가능한 모바일 디바이스가 많이 사용하는 직원들이 많은 곳에 필요한 기능을 제공할 수 있다"고 설명했다. 하지만 보안을 비롯한 여러 가지 위험 요소를 완전히 해결하기 어렵기 때문에 대규모 도입을 실행할 준비가 부족한 상태이다.

클라우드 의존형 회사가 경험할 수 있는 혼란의 대표적인 사례는 지난 5월 구글의 서비스 장애 사태다. 구글에서 문제가 발생하자 구글의 클라우드 기반 비즈니스 애플리케이션에 의존ㄴ하는 기업들은 거의 익사 상태에 빠지고 말았다.

그 사고가 해커로 인한 것이 아니었지만 사이버 범죄자가 나쁜 목적으로 클라우드를 활용하는 방법을 모색하고 있다는 징후는 많다. 해커들ㅇ른 클라우드 기반 서비스 사이트에 대한 위험 가능성을 경고할 목적으로 미국 컴퓨터 긴급대응팀(U.S. CERT)을 자극하기 위해 사고에 뒤이어 구글 검색 결과를 악성 링크로 넘쳐나게 하기도 했다.

U.S. CERT는 이 공격이 악성 프로그램을 피？d자의 시스템에 설치하기 위해 어도비 소프트웨어의 결함을 이용함으로써 수천 개의 합법적 웹 사이트에 손상을 입혔다고 밝혔다. 비록 피해 사이트들이 특별히 클라우드 기반 서비스를 제공하지는 않았지만 비슷한 방식이 클라우드 서비스 업체를 향할 수도 있었다.

IT 부서는 종종 자체 인프라나 클라우드 기반 IT 자산에 쉽게 찾아 악용할 수 있는 결함들을 남겨놓아 해커들이 일을 도와주기도 한다.

가상화 환경에서의 잠재적인 취약성에 대한 질문에 36%가 잘못된 설정과 빈약한 구현을 원인으로 지적했으며, 51%는 제대로 훈련된 IT 인력이 부족하다는 점을 이유로 들었다. 실제로 응답자의 22%가 자사의 클라우드 컴퓨팅 전략에 있어서 보안 상 가장 큰 위험요소로 불충분한 감사 작업(취약점을 찾기 위한)과 함께 부족한 교육을 꼽았다.

되돌리기 힘든 클라우드 서비스

이러한 인식이 앳모스 에너지의 거스가 클라우드 도입을 신중하게 진행하는 이유다. 거스는 "우리 회사에는 CSO가 없다. 우리가 금융 서비스 회사이거나 우리 회사가 많은 직원을 보유하고 있었다면 다른 이야기일지도 모른다. 그러나 우리 회사는 중소기업으로 인력에 제한이 있기 때문에 이런 프로젝트를 더욱 어렵게 만든다“고 설명했다.

심지어 적절한 자원을 갖추고 있어도 클라우드 보안은 다중 플랫폼에 걸쳐 여러 가지 위험을 관리하는 데 문제가 되고 있다. 단일 클라우드는 없다. 홉은 오히려 "다수의 클라우드가 있다. 그들은 연합을 하지 않는다. 그들은 천성적으로 애플리케이션 계층에서 상호 작용하지 않으며, 대다수가 플랫폼과 운용에서 독점적“이라며, ”누군가의 인프라 상에 있는 공통되고 안전한 저장소에 데이터와 애플리케이션을 저장한다는 개념은 비현실적이다"라고 지적했다.

프라이스워터하우스쿠퍼스의 보안 담당자인 마크 로벨은 완벽한 보안은 불가능하다고 말한다. 로벨은 "클라우드 서비스를 본격적으로 이용하려면, 보안 통제에 적극적으로 나서야 한다"고 강조했다. 일단 이런 서비스를 이용하면 그동안 보유하고 있던 하드웨어와 기술 인력을 없애버리기 때문에 나중에 이를 다시 기업 내부로 가져오기는 쉽지 않다.

로벨은 "밧줄 없이 우물로 뛰어든다면 물은 마실 수 있겠지만, 다시 우물 밖으로 나오기가 어렵다“고 덧붙였다.