하이브리드 클라우드(hybrid cloud)는 온프레미스 인프라와 클라우드에 호스팅되는 인프라(Infrastructure as a Service, IaaS) 및 서비스(Software as a Service, SaaS)의 조합이다. IaaS 제공업체는 일반적으로 아마존 AWS, 마이크로소프트 애저, 구글 클라우드 플랫폼 등 거대 IT 업체다. 멧칼프는 온프레미스 데이터센터를 클라우드로 확장한다는 것은 기본적으로 클라우드가 VM웨어 또는 마이크로소프트 하이퍼 V와 같은 가상화 호스트 역할을 하게 된다는 의미라고 말했다.
이런 사실상의 가상화로 인해 클라우드 데이터센터 요소와 관련된 모든 공격은 VM웨어 및 하이퍼 V를 공격하는 방법과 비슷하다. 멧칼프는 CSO와의 인터뷰에서 “차이점은 ‘마이크로소프트 또는 아마존 또는 구글이 호스팅한다’는 것을 확인하는 정도의 오버헤드가 추가된다는 것뿐”이라고 설명했다.
각각의 거대 호스팅 업체마다 기능과 구성이 달라 기업 입장에서는 보호하기가 더욱 복잡하다. 멧칼프는 특히 여러 클라우드 서버에 걸쳐 가상 머신(VM) 인스턴스가 설치되는 경우가 흔한 대규모 조직에서 복잡성이 두드러지게 나타난다고. 멧칼프는 "기업에서 복수의 클라우드 업체를 사용하는 이유는 일반적으로 신용카드가 있는 누구나 클라우드 구독이나 클라우드 계정에 가입할 수 있다는 점이다. 즉 사업부의 누구나 자체 구독 또는 자체 계정이나 테넌트를 설정할 수 있기 때문이다”라고 말했다.
하이브리드 클라우드의 다른 한 가지 요소인 세일즈포스(Salesforce) 또는 워크데이(Workday), 오피스 365와 같은 SaaS를 고려하면 문제는 한층 더 까다로워진다. 이와 같은 SaaS 요소 각각은 자체적인 요구사항이 있고 온프레미스 환경에서 구성되는 자체 동기화 툴을 사용한다. 온프레미스 인프라, 일반적으로 윈도우 도메인 네트워크를 위한 디렉터리 서비스인 액티브 디렉터리에서 나오는 방대한 양의 정보가 흔히 클라우드 환경으로 이동한다.
멧칼프는 “이 정보가 클라우드에 위치하는 것 자체는 문제가 없지만 각 연결 포인트에 제대로 파악되지 않은 보안 타협점이 존재하는 경우가 많다. 예를 들어 공격자는 액티브 디렉터리 ID와 인증 시스템을 호스팅하는 서버인 도메인 컨트롤러에 대한 액티브 디렉터리에 침투할 수 있다. 이것이 공격자들의 주 공격 목표물이다"라고 설명했다.
성급한 클라우드 도입, 보안 및 IT 팀에 스트레스
기업 의사 결정권자들이 클라우드 도입을 서두르는 것은 보안 팀에는 부담이다. 멧칼프는 “운영 팀과 보안 팀은 끌려오는 경우가 대부분이다. 비즈니스 부서장이 ‘이쪽으로 가자’고 하면 운영 팀과 보안 팀은 그 결정에 맞춰 따라가야 하는 입장"이라고.하이브리드 클라우드 환경에서 또 다른 큰 문제는 ID 및 액세스 관리(IAM), 즉 사용자들이 필요한 시스템 요소에 대한 액세스 권한만 갖도록 보장하는 것인데, 이는 최적의 환경이라 해도 많은 조직에게 만성적인 골칫거리다. 멧칼프는 “흔히 간과하는 또 한 가지는 이런 VM 인스턴스를 호스팅할 때 해당 클라우드 제공업체에서 그 테넌트나 구독 또는 계정을 처음 만든 사람이 누구든 보통 그 사람은 관리자 권한을 계속 갖고 있다는 사실이다"라고 지적했다.
멧칼프는 “처음 이 환경을 가동할 때 서버 관리자는 일반적으로 모든 요소에 대한 전체 권한을 갖는다. 정해진 기한에 맞춰서 서둘러 진행하는 경우가 많다”면서, “AWS, 애저, 구글 클라우드 플랫폼은 각기 다르게 액세스 역할을 관리한다. 이와 같은 역할에는 일반적으로 필요 이상의 권한이 부여되므로 실수가 발생할 가능성이 있다”라고 말했다.
기술 팀이 하이브리드 클라우드를 이해할 수 있도록 지원 필요
이런 모든 잠재적 보안 위험 외에, 클라우드 환경을 제대로 이해하는 사람이 극소수에 불과하다는 점도 문제다. 멧칼프는 “클라우드와 클라우드로의 전환은 무엇보다 매우 복잡하다. 클라우드는 많은 사람에게 새로운 개념이기 때문이다. 클라우드는 매주 또는 매월 바뀐다. 거기에 보조를 맞추는 것만 해도 상당한 부담이 될 수 있다”라고 주장했다.그 이유로 멧칼프는 운영과 보안을 포함한 기술 담당자를 대상으로 클라우드 환경을 더 정확히 이해하기 위해 필요한 지원을 제공할 것을 권장했다. 멧칼프는 "이런 지원과 함께 모든 관리자 계정에서 클라우드 제공업체나 기타 관련 시스템을 통해 다중 인증을 구성해야 한다. 2019년 자체 조사 결과 모든 관리자 중에서 클라우드 액세스에 다중 요소 인증을 사용하는 관리자는 8% 미만으로 나타났다. 다중 인증을 사용할 수 없다면 공급업체에 강력히 요청해야 한다. 다중 인증은 공격자의 계정 탈취 위험을 낮추는 매우 좋은 방법이다”라고 조언했다.
클라우드 관리, 프로덕션 워크스테이션에서 분리
또 한 가지 중요한 조언은 관리 활동 또는 관리 작업이 일반 사용자 워크스테이션을 사용해 수행되는 일이 없도록 해야 한다는 것이다. 멧칼프는 “그래야 공격자가 관리를 수행하는 데 사용되는 ID를 추출하거나 침해하기가 더 어렵다. 대부분의 기업에서 구성된 일반 워크스테이션은 공격자에 대해 충분히 보호되지 않는다. 높은 권한을 가진 인증 정보를 잘 보호하고 사용자 각자의 시스템을 사용한 일반적인 활동으로부터 격리해야 한다”라고 충고했다.클라우드 관리에는 웹 브라우저가 흔히 사용된다. 멧칼프는 “대부분의 시스템에서 웹 브라우저가 가장 안전한 애플리케이션이 아니라는 것은 모두가 안다. 그러나 관리자들은 웹 포털을 사용하는 경우가 많다. 즉, 파이어폭스나 크롬을 열고 페이스북, 구글을 사용하면서 동시에 관리 작업도 한다. 거기에 큰 위험이 도사리고 있다”라고 경고했다.
하이브리드 클라우드 환경에서 위험의 대부분은 조직이 직면한 복잡한 기술적 과제에서 비롯되지만, 클라우드 제공업체 자체도 보안 위험으로부터 자유롭지 않다. 멧칼프는 "빅3 클라우드 제공업체(아마존, 마이크로소프트, 구글)의 매니지드 액티브 디렉터리 환경을 검토한 결과, 이 가운데 하나에서 취약점을 발견했다. 현재 해당 업체가 문제를 수정하는 과정에 있다"라고 말했다.
마지막으로, 클라우드 환경은 변화의 속도가 빠른 만큼 악의적 공격자를 물리치기 위해서는 끊임없는 성실함이 필요하다. 멧칼프는 “보안 관점에서 클라우드의 흥미로운 점 가운데 하나는 새로운 기능이 추가되면 많은 경우 고객이 그 기능에 대해 알기도 전에 공격자들이 가장 먼저 이를 파악하고 활용하기 시작한다는 점이다. 공격자가 좋아하는 특징을 제공하는 동시에 사용자나 조직의 IT 워크플로우에도 매우 유용한 기능이 존재한다. 적절한 통제 또는 관리가 없으면 그 힘은 어느 쪽으로든 갈 수 있다”라고 설명했다. editor@itworld.co.kr