보안 / 클라우드

IDG 블로그 | “더 안전하지만 무적은 아니다” 오해하지 말아야 할 이퀴팩스의 교훈

David Linthicum | InfoWorld 2017.09.20
갑자기 모든 사람이 기업 보안의 전문가가 되고, 클라우드는 보안을 위한 특효약이 됐다. 하지만 그렇게 간단한 문제가 아니다.

필자는 데이터 침해 사고를 파악하는 것을 그만 뒀다. 우선은 그런 사고 중에 클라우드는 없기 때문이다. 이 블로그는 클라우드로 이전했거나 이전하려는 기업을 중심에 두고 있다. 두 번째 이유는 사후약방문처럼 느껴졌기 때문이다.

하지만 데이터 침해 사고가 클라우드로 이전하려는 기업에 좋은 이유가 되었다. 최근 발생한 미국 주요 신용정보업체 이퀴팩스(Equifax)의 보안 사고 때문이다.

우리가 알고 있는 것은 이퀴팩스가 해커에게 당했다는 사실을 발표하기 전에 침해 사실을 알고 있었다는 것이다. 해커는 143만 명의 사회보장번호와 생일, 주소를 훔쳤다. 어느 누가 피해자가 되어도 이상하지 않을 만큼의 숫자이다. 이퀴팩스에서 몇몇이 책임을 지고 사임했지만, 그것으로는 아무 것도 바로 잡지 못했다.

최근 몇 년 사이에 발생한 다른 대형 데이터 침해 사고처럼 툴이 이퀴팩스를 배신했다. 온라인 논쟁 포털을 지원하는 데 사용한 아파치 스트럿츠(Apache Struts)의 패치하지 않은 취약점이 해커에게 웹 사이트와 첨부 데이터에 액세스할 수 있는 길을 터 준 것이다.

그렇다면, 이번 사고가 클라우드에서도 일어날 수 있었을까? 클라우드 서비스 업체는 전형적인 기업 IT 부서보다 패치에 좀 더 적극적이라는 점에서 가능성이 작다.

하지만 일부 클라우드 서비스 업체나 컨설턴트가 말하는 것처럼 클라우드가 무적은 아니다. 예를 들어, 클라우드 사용자 스스로 호스팅과 같은 단일 테넌트 환경에서 치명적인 실수를 할 수도 있다. 따라서 퍼블릭 클라우드에서 구동하는 애플리케이션이라도 절대무적은 아니다.

클라우드는 온프레미스 배치 환경보다 안전하다. 하지만 클라우드의 안전이 완벽하다고 생각해 안일하게 대응하는 어리석은 일은 하지 않기 바란다.

솔루션 업체나 컨설턴트, 그리고 언론이 수많은 논평을 내놓고 있지만, 이들 대다수는 이퀴팩스에서 실제로 무슨 일이 일어났는지 모를 뿐 아니라 기업 보안에 대해서도 제대로 알지 못하고 자신들이 더 낫다고 주장할 뿐이다. 이런 사람들의 말은 듣지 말아야 한다.

대신 밝혀진 것, 그리고 다른 사람의 실수로부터 배울 수 있는 교훈에 집중하기 바란다. 패치를 무시하고 해커에게 악용되는 실수를 저지르는 사람은 자신이 될 수 도 있다. 그것은 온프레미스 환경이든 클라우드이든 가리지 않는다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.