보안 / 클라우드

클라우드 보안팀은 반드시 답을 알고 있어야 하는 질문 9가지

Josh Stella | InfoWorld 2022.05.19
사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 패튼 장군(정확하게는 1970년 영화 <패튼 대전차군단(Patton)>에서 패튼 장군을 연기해 아카데미 남우주연상을 수상한 배우 조지 스콧처럼) 생각해야 한다.

이 영화 초반의 한 장면에서 패튼 장군은 적군이 쓴 책(독일 장군 에르빈 롬멜의 책)을 읽고 있다. 패튼 장군이 군사 정보만 의존하지 않는다는 점을 보여준다. 패튼 장군은 적이 어떻게 생각하고 작전을 벌이는지 최대한 파악했다. 그다음 장면에는 영국 부대가 독일군의 탱크와 보병 부대에 가공할 만한 공격을 퍼붓는 모습이 펼쳐진다. 망원경으로 이 상황을 유심히 보고 있던 패튼 장군은 미소를 띠며 “롬멜, 이 대단한 XX! 네가 쓴 책 내가 읽었다!”라고 소리친다. 
 
ⓒ Getty Images Bank

이와 마찬가지로 비즈니스 책임자와 보안 책임자도 해커의 동기와 전술에 관해 최대한 많은 지식을 미리 알아 둬야 한다. 보안 솔루션이 알려주는 정보만 의존해서는 안 된다. 잘못된 보안 감각만 얻을 수 있기 때문이다. 이 순간에도 해커는 보안 경계를 우회하고, 임의의 경계를 건너며, 보안 솔루션을 회피하여 원하는 데이터를 얻고 있다. 

‘스니크(Snyk)’의 최고 아키텍트이자 클라우드 보안 SaaS 업체 ‘푸가(Fugue)’의 CEO 조시 스텔라는 경영진이 보안 팀에 클라우드 환경 관련 지식을 제공해 달라고 요청하고, 이를 다른 경영진에게 효과적으로 전달해야 보안 투자를 정당화할 수 있다고 강조했다. 

아마도 기업의 적(해커)은 자신의 공격 방법을 사전에 공부할 수 있는 책을 써 주진 않을 것이다. 따라서 다음에 소개하는 9가지 질문을 주의 깊게 살펴보자. 클라우드 보안과 관련해 모든 고위 경영진(CISO, CIO, CEO)이 해야 할 질문이자, 클라우드 보안팀이 항상 답을 알고 있어야 할 질문이다.

클라우드 환경의 규정 준수 상태가 어떠한가?
클라우드에서 운영되는 기업 중에서 규제 및 보안 정책을 100% 준수하는 환경을 갖춘 곳은 거의 없다. 하지만 클라우드 보안을 제대로 하는 기업은 환경의 규정 준수 상태를 정확하게 알고 있다. 또 모든 것을 준수하기 위한 우선순위 계획을 가지고 있다. 클라우드 환경의 보안과 규정 준수가 현재 어떤 상태인지 항상 알고 있어야 한다. 보안팀은 내부 보안 정책을 정기적으로 검토해 사용례와 새로운 공격 벡터를 적절하게 처리하고 있는지 확인해야 한다. 아울러 규정을 준수하지 않는 클라우드 인프라를 파악하고 이를 개선하는 데 시간이 걸린다는 점도 각 팀이 인지하도록 해야 한다. 

얼마나 많은 취약점을 식별하고 제거했는가?
클라우드 보안 태세는 정적이지 않다. 보안팀의 문제 식별 및 해결 역량이 개선되면 클라우드 보안 태세도 개선돼야 한다. 환경에 존재하는 잘못된 구성 취약점의 개수와 하루에 수정되는 취약점의 개수 정보가 있어야 한다. 여기에는 대개 모니터링 도구와 티켓팅 시스템으로 구성된 많은 수동 작업이 수반되기 때문에 자동화를 활용해 최신 엔터프라이즈 클라우드 환경의 복잡성을 낮춰 줄 필요가 있다. 

도메인 전문지식이 있는 클라우드 보안 전문가와 협력해 오늘날의 주요 클라우드 침해 사건이 어떻게 발생하는지 파악하고, 해당 지식을 활용해 기업의 클라우드 인프라에 동일한 조건이 존재하는지 자동으로 파악할 수 있는 ‘코드로서의 정책(Policy as code)’을 구축해야 한다. ‘코드로서의 정책’은 다른 코드와 운영 환경에 원하지 않는 조건이 없는지 확인하기 위해 설계된 것이다. 이는 모든 클라우드 이해 관계자가 규칙 또는 소프트웨어 개발 생애주기에서 규칙을 적용하는 방법을 모호성이나 의견충돌 없이 안전하게 운영할 수 있도록 지원한다.

얼마나 많은 취약점이 배포되지 못하도록 방지했는가?
보안팀이 클라우드 환경에서 어떤 취약점을 발견하고 수정하는지 아는 것은 보안 퍼즐의 한 조각일 뿐이다. 보안팀이 잘못된 구성의 배포 빈도를 줄이기 위해 어떤 사전적 조치를 취하고 있는지도 알아야 한다. 클라우드 보안에서 ‘시프트 레프트(shift left)’에 실패하면 취약점이 계속 사용 환경 내에 유입되고 보안팀은 끝없는 두더지 잡기 놀이를 해야 한다.

CI/CD 파이프라인 내에 보안 기능이 내장돼 있는가? 코드로서의 인프라(클라우드 인프라를 프로그래밍 방식으로 구축 및 배포하는 수단)로 인프라를 점검하여 잘못된 구성을 찾아 해결하는 것이 더 빠르고 간편하며 안전한가? 이 질문의 대답이 ‘아니요’라면 아마도 코드로서의 인프라와 CI/CD 파이프라인이 채택되지 않았기 때문일 수 있다. 하지만 사용 중이라면 최소한 이런 프로세스에 보안을 구축할 계획이 있어야 한다.

클라우드 API 제어 영역을 보호하고 있는가?
모든 클라우드 침해 사건은 제어 플레인(control plane) 침해이다. API는 클라우드 컴퓨팅의 주요 동인이다. 다양한 애플리케이션의 상호작용을 가능하게 하는 ‘소프트웨어 중개인(software middlemen)’이라고 생각하면 된다. API 제어 영역은 클라우드 구성 및 운영에 사용되는 API 모음이다.

해커들은 잘못된 구성을 물색한다. 안타깝게도 보안 업계는 해커보다 한 발 뒤처져 있다. 클라우드 제어 영역을 노리는 공격에서 고객을 보호하지 않는 솔루션이 많기 때문이다. 솔직히 말해, 대부분의 솔루션은 형식적인 확인 항목에 집중하고 있어서 고위급 경영진과 보안 팀은 대비된 줄 알고 좋아하다가 해킹을 당하고 만다. 보안 업계에서 지나치게 흔한 장면이다.

잘못된 구성, 앱 취약점, 소스 코드의 API 키 등으로 인한 잠재적인 침투 사건의 피해 반경 위험을 평가하려면 공격자가 매일 악용하는 설계 결함을 파악하여 방지할 클라우드 보안 아키텍처 전문지식이 필요하다. 클라우드 보안에는 지식이 중요하다. 침해 사건은 방어자가 본인 환경에 대한 완전한 지식이 없고 공격자가 그 지식을 발견하는 일을 막지 못할 때 발생한다.

보안 때문에 생산성이 얼마나 저하되는가?
클라우드의 핵심은 혁신 속도다. 그리고 보안은 팀이 얼마나 빨리 갈 수 있고, 디지털 트랜스포메이션이 얼마나 성공할 수 있는지를 가장 많이 제한하는 요소다. 애플리케이션 개발자가 필요한 인프라를 빈둥거리며 기다리고 있는가? 데브옵스팀이 보안팀에서 인프라를 검토하고 승인해 주길 기다리고 있는가? 기업과 고객을 위해 더 많은 가치를 창출해야 할 클라우드 엔지니어가 시간 소모적이고 수동적인 보안 및 규정 준수 작업에 지나치게 많은 시간을 투자하고 있는가? 개발자 및 데브옵스 처리량을 정기적으로 측정하면 생산성과 사기를 저하시키는 보안 프로세스에 따른 지연을 파악하는 데 도움을 준다. 

보안 정책을 어떻게 표현하고 있는가?
이 질문에는 2가지 답이 있다. 사람의 언어로 작성한 보안 정책을 사람이 검토하거나, 아니면 코드로서의 정책을 사용하는 것이다. 만약 전자라면 클라우드 환경은 안전하다고 할 수 없다. 클라우드 침해는 몇 분 만에 이뤄지는데, 정책을 직접 검토하고 해당 환경에서 실행하려면 시간이 걸린다. 또 해석 차이와 인적 오류의 위험은 항상 존재한다.

코드로서의 정책이 있으면 시스템은 실시간으로 그리고 매번 똑같은 방식으로 정확하게 정책을 해석한다. 즉, 사람이 할 수 있는 것보다 훨씬 많은 클라우드 인프라를 지속적으로 평가할 수 있다. 보안 정책을 배포마다 다르게 적용해야 할 경우 모든 것이 잘 문서화되도록 이런 예외 사항을 코드로 표현할 수도 있다. 코드로서의 정책을 사용하여 보안 자동화를 실행하면 생산 단계에 도달하기 전 개발이나 배포 단계에서 문제를 찾아 수정할 수 있다.

제로데이 공격에 얼마나 빨리 대응할 수 있는가?
올해 초 발생한 Log4j 결함으로 전 세계 보안팀은 일제히 대응에 나섰다. 이런 종류의 제로데이 공격은 취약점이 존재하는 위치와 심각성을 신속하고 정확하게 평가하여 대응 및 교정 작업의 우선순위를 정해야 한다. 이런 애플리케이션 제로데이 익스플로잇 대응을 위해 각 팀은 평소보다 깊이 파고들어야 한다. 앱 취약점이 클라우드 인프라 환경에 침투해 궁극적으로는 클라우드 제어 영역을 침해하기 때문이다. 아울러 각 팀은 애플리케이션 취약점을 신속하게 파악할 수 있어야 할 뿐만 아니라 심각도를 지정하고 그에 따라 교정 활동의 우선순위를 정하기 위해 취약점의 각 인스턴스가 미치는 잠재적인 피해 반경도 평가할 수 있어야 한다.

성공하는 데 필요한 것을 갖추고 있는가?
최신 엔터프라이즈 보안에는 사일로가 없다. 보안에는 여러 팀과 비용 센터를 관통하는 통합 접근법이 필요하며, 이를 위해서는 경영진의 리더십과 지원이 필요하다. 예를 들면 ‘시프트 레프트’ 방식에서는 개발자와 데브옵스팀이 소프트웨어 개발 생애주기 초기에 문제를 찾아 수정해야 한다. 하지만 이런 새로운 우선순위가 보안 투자에 반영되지 않는다면 마찰이 생겨 위험에 빠지게 된다. 보안 성공은 예산과 시간을 둘 다 충분히 투자한 경영진의 지원에 달려 있다.

실패는 어떤 모습일까?
CISO를 제외하고 이 질문을 스스로 던지는 경영진은 적다. 실패를 상상하는 것은 어렵지 않다. 보안 회사이면서도 클라우드 침해를 당해 결국 CEO가 물러났던 임퍼바(Imperva)의 사례가 있다. 사상 최대 규모의 대형 금융기관 공격 사례로 아직도 회자되는 캐피털 원(Capital One) 침해 사건도 있다. 올해 초 트위터 침해 사건은 트위터뿐만 아니라 아마존까지 영향을 미쳤다. 패튼 장군이 롬멜 장군을 이긴 것과는 달리, 비즈니스 리더에게는 아무런 승리도 없으며 오직 실패를 막기 위한 끊임없는 탐구만 있을 뿐이다.

클라우드 보안은 영원히 계속되는 작업이다. 좋은 몸매를 만들고 유지하려면 피트니스 센터에 등록해 꾸준히 다니면서 열심히 운동해야 하는 것과 같다. 소속 기업의 클라우드 보안 태세에 지속적인 보고를 의무화하는 정책을 실행해야 한다. 취약점 파악과 교정을 위해 무슨 조치가 진행되고 있는지, 지난주 또는 지난달에 제거된 취약점은 몇 개인지, 언론 보도에 새로 등장하고 있는 새로운 취약점에 노출될 수 있는 부분은 어디인지 등의 문제는 씨름할 것이 아니라 답을 알아야 한다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.