미국 국립표준기술연구소(NIST)는 최근 87쪽 분량의 NISTIR 8006 간행물을 발표했는데, 클라우드 컴퓨팅 포렌식 과학 문제를 예측할 뿐만 아니라 사전 예방적 보안 솔루션을 제공하는 기반이 되는 문서이다. 이런 전략적 접근 방식은 클라우드 환경이 안전하고 신뢰할 수 있으며 복원력이 있는 미래를 대비하는 데 있어 매우 중요하며, 앞으로 다가올 미래에 대비할 수 있다는 확신을 준다.
NISTIR 8006 문서는 클라우드 컴퓨팅 환경 내 디지털 포렌식 과학의 과제를 해결하고 분류해 실행 가능한 솔루션을 제공한다. 이 문서는 기술적, 법적, 조직적 장벽을 식별하고 이를 해결하기 위한 표준과 기술의 확립을 지지한다. 업계, 거버넌스, IT 책임자를 포함하는 NIST의 협력적 접근 방식은 다양한 목소리를 통해 이런 솔루션을 개발할 수 있도록 보장한다.
NIST의 지침
NIST를 무조건 지지하는 것은 아니지만, 이번 문서는 필수적인 내용을 담고 있다. NISTIR 8006은 기술적, 법적, 조직적 장애물을 분석해 이를 극복할 수 있는 토대를 마련하는 로드맵을 제공한다. 필자를 비롯한 많은 전문가가 명확하고 실행 가능한 프레임워크의 가치를 중요시하는데, NIST가 디지털 포렌식 전문가와 클라우드 아키텍트에게 이런 문서를 제시한 것이다.이 문서는 단일 기술이나 업체에 편향되지 않고 컨소시엄이 만든 표준을 제공하기 때문에 실무에 유용하다. 또한 업계 내 대화를 장려해 클라우드 생태계의 복잡성에 맞는 보안 프레임워크의 개발과 채택을 촉진한다. 이는 보다 일관된 표준을 위한 발판이 된다.
NIST 문서에서 가장 흥미로운 점은 클라우드 컴퓨팅 플랫폼과 관련된 범죄를 해결할 수 있도록 사람들을 교육하는 데 중점을 두고 있다는 점이다. 경찰과 검찰은 복잡한 수사 지식이 필요하고 시스템에 포렌식 문서가 부족한 경우가 많기 때문에 사이버 범죄가 발생하는 플랫폼을 간과하는 경우가 많다. 클라우드 플랫폼과 관련된 범죄가 빈번해지면서 포렌식 수사를 수행할 수 있는 기술이 절실히 요구되고 있다. 클라우드 인프라로 마이그레이션하는 기업도 기존 환경에서 IT 부서가 해결해야 하는 포렌식 문제에 직면한다.
NIST는 또한 포렌식 과학이 번창할 수 있는 환경을 조성한다. 예를 들어, 이 문서는 가상머신 관리에 대해 살펴보고 손상된 머신을 격리하고 연결, 제어, 봉쇄를 원활하게 달성하는 등 가상 환경 내에서 특정 보안 조치의 필요성을 강조한다. 이를 통해 지난 10년간 공격의 주요 원인이었던 악성코드가 가상 생태계의 무결성을 손상시키는 것을 방지할 수 있다.
클라우드 포렌식만의 어려움
클라우드 환경은 데이터 복제, 멀티테넌시, 위치 투명성 부족으로 인해 포렌식 조사 측면에서 고유한 기술적 과제를 안고 있다.여러 위치에 걸친 데이터 복제는 분석을 위해 소스를 정확히 찾아내야 하는 포렌식 프로세스를 복잡하게 만든다. 클라우드 시스템에서 삭제된 데이터를 복구하는 문제는 단순한 기술적 장애물이 아니라 너무 늦을 때까지 IT 부서에서 해결하지 못하는 책임의 문제이기도 하다.
멀티테넌시는 여러 사용자가 자원을 공유하므로 데이터를 구분하고 분리하기가 어렵다. 이는 클라우드 보안의 시스템적인 문제이며, 특히 클라우드 플랫폼 포렌식에서는 더욱 문제가 된다. NIST 문서는 이런 문제를 인식하고 기업이 데이터 무결성을 유지하고 사고 대응을 관리할 수 있도록 액세스 메커니즘과 프레임워크를 구현할 것을 권장한다. 문제는 지속적으로 발생하기 때문에 이를 처리할 수 있는 메커니즘이 마련되어 있는 것이 중요하다.
위치 투명성의 부족은 악몽과도 같다. 데이터는 서로 다른 법률과 문화적 고려 사항을 가진 다양한 물리적 관할권에 존재한다. 물리적 시스템을 조사할 수 있는 영장을 허용하지 않는 국가의 퍼블릭 클라우드 거점에서 범죄가 발생할 수 있는 반면, 다른 국가에서는 법 집행을 위한 더 많은 선택지가 있다. 범죄자가 어떤 국가를 이용할지 추측해 보라.
클라우드 환경 내에서 포렌식 조사를 진행하려면 효과적인 이해관계자 조정과 명확한 프로토콜이 필요하다. 이는 프로세스가 규제 요건에 부합하도록 역할과 책임을 정의하는 것을 의미한다.
또한 클라우드 포렌식에서는 데이터 무결성과 보존을 우선시하는 것이 중요하다. 암호화 조치와 검증된 포렌식 도구를 구현하는 것은 데이터의 신뢰성을 위해 필수적이며, 조사 기간에 데이터가 변조되지 않도록 보장한다.
이런 문제를 이해하면 민간 기업은 클라우드 운영에서 잠재적인 포렌식 문제에 더 잘 대비하고 관리할 수 있다. 필자는 특히 일반적인 클라우드 아키텍처와 솔루션의 맥락에서 기술적 성공을 위한 필수 요소로서 선견지명과 적응력의 중요성을 강조해 왔다.
NISTIR 8006은 업계 이해관계자들에게 디지털 포렌식에 대한 접근 방식을 재고하고 강화할 것을 촉구한다. 이 지침을 따르면, 기업은 향상된 보안을 제공하고 데이터센터에 있는 시스템만큼 안전하지는 않더라도 더 안전한 클라우드 시스템에 가까이 다가갈 수 있다. 이는 안전한 시스템을 현실로 만들기 위한 작은 발걸음일 뿐이며, 올바른 방향으로 나아가는 단계가 될 것이다.
editor@itworld.co.kr