기업에서 매년 그다음 해에 대한 경영계획을 수립할 때 IT 시스템이 차지하는 비중이 점점 주요 경영 변수로 등장한 지는 꽤 오래다. IT시스템 지원을 위한 장비와 네트워크 확충, 더 나아가 데이터 센터 구축과 같은 굵직한 항목들이 매년 경영 계획의 높은 우선순위로 검토된다. 이제는 여기에 클라우드 활용이라는 변수가 더해져서 CIO(Chief Information Officer)와 CFO(Chief Financial Officer)가 계산기를 두들기는 손가락이 더욱 바빠졌다.
특히 아마존, 마이크로소프트, 구글, 알리바바와 같은 초대형 클라우드 서비스 업체가 제공하는 퍼블릭 클라우드 활용 전략 수립은 이제는 피할 수 없는 옵션이다. 최근에는 퍼블릭 클라우드뿐만 아니라 기업 전용 프라이빗 클라우드까지 함께 고려하는 하이브리드 클라우드, 그리고 여기에 다수의 퍼블릭 클라우드서비스까지 가세하는 멀티클라우드 활용이 점점 대세로 자리 잡아가고 있다. 레거시 온-프레미스 컴퓨팅, 프라이빗 클라우드, 멀티 퍼블릭 클라우드, 이 모든 조합을 고려한 IT 전략 수립이 필요하게 된 것이다.
특히 기존 자산으로서의 투자(CAPEX) 위주의 IT 비용이 클라우드를 본격 도입함으로써 점차 운영비용으로서의 투자(OPEX)로 넘어가는 시점이다. 예전엔 하드웨어 및 소프트웨어 업체들이 CIO를 찾아가 영업을 했다면, 이젠 클라우드 업체들이 가세하여 CIO와 CFO를 모두를 설득해야 하는 상황으로 변하고 있다.
이처럼 클라우드컴퓨팅 도입은 회사의 규모와 관계없이 이미 본격화되었다고 보아도 과언이 아니다. 2019년 한 조사에 의하면 이미 80% 이상의 기업이 클라우드를 도입하여 활용하고 있다.
![기업 규모별 2019년 클라우드 도입 현황 [출처: RightScale]](https://slownews.kr/wp-content/uploads/2020/04/3d82b9e8-1a31-4aa7-9bb8-6bf402636b8b.jpg)
문제는 ‘여전히 보안’이다
데이터 보안은 여전히 클라우드컴퓨팅으로 전환하는데 가장 큰 장벽으로 등장하고 있다. 많은 조사에서 클라우드 도입 시 최우선 고려사항을 꼽으라면 ‘보안’을 드는 데 대부분 주저함이 없다. 클라우드컴퓨팅이 직면하고 있는 주요 도전과제 중에서도 제일 먼저 데이터 보안을 들고 있다.
퍼블릭 클라우드로의 전환뿐만 아니라 프라이빗 클라우드를 도입하는 경우도 마찬가지이다. 자원관리의 자동화 및 퍼블릭 클라우드와의 워크로드 분산 배치 등 클라우드의 기본 속성을 고려하면 확실히 보안 이슈에 대해서는 기존 온-프레미스 컴퓨팅과는 다소 다른 접근이 필요하다.
IT 인프라 운영 및 보안 전문가들이 가장 우려하는 점은 데이터의 유출 또는 유실이다. 이런 우려를 할 수 밖에 없는 여러 원인이 있지만, 이들을 종합해 보면 상당 부분 ‘가시성’ 문제로 귀착된다. 다양한 서비스들이 제공되고, 특히 플랫폼으로서의 서비스(Platform as a Service) 활용이 보편화 되면서 클라우드에서 이루어지는 작업이 대부분 ‘블랙박스’ 형태로 전문가들조차 내부에서 무슨 일이 일어나는지 확인이 어렵기 때문이다. 클라우드에서의 주요 보안 유형을 정리한 한 보고서의 내용을 요약해 보면 다음과 같다.
1. 비 인가된 접근
이는 비단 클라우드뿐만 아니라 대부분 IT 인프라 운영에서 가장 위협적인 보안 이슈다. 보안등급별로 권한 범위가 명확하게 정의되는 내부 운영자들 사이에서도 발생할 수 있는 문제이며, 특히 물리적으로 제한된 범위를 벗어나 개인 PC, 스마트폰, 태블릿과 같이 다양한 기기에서의 운영자 권한 접근이 허용되는 경우 더욱 보안이 취약해질 수밖에 없다.
[dropcap font=”arial” fontsize=”44″]Q.[/dropcap]그렇다면 왜 클라우드에서는 이렇게 운영자 접근 범위를 확대하고, 그 권한 등급을 다양하게 가져갈 수밖에 없을까?
기업에서 퍼블릭 클라우드를 활용할 경우, 기업 내부에서 클라우드 운영자를 두거나, 혹은 외부의 전문 서비스를 통해 클라우드 운영을 하는 경우도 많다. 클라우드서비스 업체 수준에서의 관리자 접근 권한과는 별개로 다양한 수준의 접근 권한이 필요한 이유이며, 접근 경로 또한 다양할 수 밖에 없다. 따라서 비인가 접근으로 인한 클라우드 보안 이슈가 온-프레미스 컴퓨팅보다 더욱 다양해진다.
2. 클라우드 애플리케이션의 가시성 문제
클라우드 내, 특히 퍼블릭 클라우드 내 데이터를 다루는 애플리케이션의 동작은 클라우드를 사용하는 고객의 입장에서는 블랙박스와도 같다. 만일 권한 범위를 넘어선 데이터에 대한 접근이 있게 된다면 이로 인한 데이터의 변형, 삭제가 발생해도 이를 검증해 낼 방법이 없다. 결국, 데이터 접근 패턴, 결과물 등을 바탕으로 보안 침해 이슈를 판단해야 한다. 기업에서 클라우드를 도입하는데 가장 발목을 잡을 수 있는 부분도 바로 여기다.
3. 애플리케이션 인터페이스(API)의 취약성
클라우드 기반 서비스를 개발할 때 클라우드에서 제공하는 다양한 백엔드 기능을 API 호출을 통해 활용함으로써 개발 효율 및 서비스 런칭시 확장성을 높일 수 있다. 비단 클라우드에서 제공하는 기능뿐만 아니라 사용자가 직접 개발하는 기능들도 API를 통해 상호 연동함으로써 개발의 유연성을 높이는 것이 요즘 추세다. 마이크로서비스 아키텍처가 주목을 받는 이유이다. 이런 유연함의 이면에는 각 API 호출이 보안 위협에 노출되어 있다는 점을 간과할 수 없다. 모든 API호출이 해커의 공격 포인트가 될 수 있기에 API 호출을 위한 승인 및 실제 호출 시 암호화가 필수 요건이다.
4. 컴플라이언스 이슈
산업별, 기업별, 각기 다른 컴플라이언스 요건이 존재한다. 특히 공공부문에서의 컴플라이언스 요구사항은 정부나 공공기관들의 클라우드 도입에 가장 큰 장애물로 여겨지고 있다. 클라우드를 도입하려는 조직에서는 우선 이런 컴플라이언스 이슈를 분석하여, 규정에 부합하는 데이터 등급, 접근 권한 정의 등 사전 준비가 필요하다.
5. 시스템 취약성
클라우드컴퓨팅은 복잡한 네트워크상에 다양한 업체의 플랫폼들로 구성되어 운영되는 인프라 구조에 기반하고 있다. 이런 복잡성과 다양성으로 인한 시스템의 취약성을 커버하기 위해서는 기존 온-프레미스 컴퓨팅과는 차별화된 보안기술이 필요하다.
클라우드컴퓨팅 보안에서 논의되어야 할 또 다른 주요 이슈는 고객과 클라우드서비스 업체와의 책임 범위에 대한 구분이다. 클라우드컴퓨팅의 활용 방식, 예컨대 IaaS(Infra as a Service), PaaS(Platform as a Service), SaaS(Software as a Service)에 따라 각각 책임 범위가 달라진다. IaaS의 경우에는 물리적 보안 이외의 대부분의 보안에 대한 책임을 고객이 갖게 되는 반면, SaaS의 경우 IT 인프라 운영과 직결되는 보안에 대한 책임은 대부분 클라우드서비스 업체에 있다.
하지만 최근 클라우드 활용이 하이브리드 멀티-클라우드 형태로 진화하고, 특히 클라우드 네이티브 컴퓨팅의 근간이라 할 수 있는 컨테이너 기반 컴퓨팅이 보편화 되면서 클라우드컴퓨팅에서의 보안 이슈도 다양한 도전에 직면해 있고 이에 점차 지능화된 솔루션이 요구되고 있다.
아마존 디텍티브(Detective)
아마존의 클라우드 서비스인 AWS에서 최근 아마존 디텍티브(Amazon Detective)라는 클라우드 보안 도구를 정식 발표했다. 머신러닝을 활용하여 고객 자원의 비정상적인 행태를 시각적으로 확인할 수 있도록 한다는 것이 핵심 차별화 포인트이다. 2019년 아마존 개발자 행사인 리인벤트(re:Invent)에서 선보인바 있는 아마존 디텍티브의 정식 런칭으로 인해 클라우드 도입의 가장 높은 벽이 어느 정도 낮아질 것으로 아마존은 내다보고 있다.
앞서 언급했던 보안 관련 가시성 문제를 직접 언급하고 있다는 점에서 각 기업의 보안 담당자의 주목을 끌기 충분하다. 컴퓨팅 자원, 특히 데이터의 이상을 확인하기 어려운 클라우드 상의 블랙박스와 같은 애플리케이션에 대한 우려를 해소하는데 기여할 수 있을 것으로 판단된다.
아마존 디텍티브는 대량의 AWS 로그를 확보한 후 인공지능 및 통계분석, 그리고 그래프 이론과 같은 고도의 분석 기술을 함께 적용함으로써 잠재적 위험요소 혹은 의심스러운 활동을 조사하고 찾아낸다. 이 도구가 처리하는 데이터는 AWS의 다양한 소스로부터 얻는다. 여기에는 다음과 같은 서비스 로그가 포함된다.
- AWS 가드듀티(GuardDuty): 비인가 된 활동 혹은 비정상적인 동작을 지속해서 모니터링하고 찾아냄으로써 고객의 AWS 계정과 워크로드의 유실/변조를 방지하도록 하는 서비스로, 클라우드트레일, 및 VPC 플로우, DNS 로그 등을 분석.
- AWS 클라우드트레일(CloudTrail): AWS 계정에 대한 거버넌스 및 컴플라이언스 이슈, 리스크 검사 등을 수행하는 서비스.
- 가상 프라이빗 클라우드 플로우 로그(VPC Flow Logs): 가상 프라이빗 클라우드에 드나드는 트래픽 관련 정보를 캡처하는 기능.
이들 데이터를 활용하여 아마존 디텍티브가 동작하는 방식은 다음과 같다.
![아마존 디텍티브 동작 단계 [출처: AWS]](https://slownews.kr/wp-content/uploads/2020/04/bc75f089-dc37-43c5-abd2-6195caf2cf2d.jpg)
- 정보 분석 및 정제 단계: 다양한 보안 관련 서비스 로그를 분석하여 이를 정형화된 그래프 모델로 변환하는 단계로, 새로운 데이터가 생길 때마다 지속해서 그래프 모델이 업데이트됨.
- 보안 이슈 조사 단계: AWS 가드듀티와 AWS CLOUD ISSUE 시큐리티허브, 그리고 파트너 보안 제품들을 활용하여 세세한 보안 이슈들을 조사하는 단계.
- 원인분석 단계: 아마존 디텍티브에서 제공하는 인터랙티브한 시각화 도구를 활용하여 발견된 보안 이슈의 발생 원인을 찾아내는 단계.
아마존 AWS에서 기존에 제공되던 AWS 보안 허브의 경우 일반적인 보안 위협 탐지 및 경고 기능을 제공한다. 한발 더 나아가 위협요소의 근원지를 찾는 것은 엄청난 양의 데이터를 반복적으로 분석하고, 각각 원인 제공이 될 만한 모든 소스를 하나하나 대입시켜 가며 확인해야 하는 매우 전문적인 영역이다.
이는 다수의 보안 분야 전문가들이 포진한 팀을 별도로 구성해야 가능하며, 사실 웬만한 규모의 IT 운영 조직을 갖추고 있지 못하면 수행하기 어려운 작업이다. 많은 경우 최초 원인 규명을 하지 못한 채 임시방편의 대응에 의존하게 된다. 따라서 동일한 원인에 의한 보안 사고가 재차 발생해도 이를 미리 방지하지 못하는 것이 대다수 기업의 현실이다.
아마존 디텍티브는 대량의 로그 데이터를 실시간으로 분석하여 그래프모델로 정제함으로써 대시보드에서 좀 더 원인에 가깝게 접근할 수 있는 기능을 제공한다. 머신러닝 기법이 여기에 적용된다. 정제된 그래프 모델을 탐색하며 보안 이슈에 대한 상세 정보를 찾아내는 것은 AWS 가드듀티나 시큐리티허브, 혹은 또 다른 보안 분석 도구의 몫이다. 콘솔에서 한 번의 클릭으로 문제시된 이슈의 상세 내용을 바로 조회할 수 있으며 이러한 상세 내용은 다양한 시각화 도구를 활용함으로써 원인 규명을 가능케 한다.
요약하면, 보안 전문가가 할 수 있는 일의 상당 부분을 아마존 디텍티브가 대신해 줌으로써 AWS 클라우드의 진입장벽을 낮출 수 있다는 것이다. 특히 클라우드에서 수행되는 워크로드가 복잡 다양해지고, 특히 서비스를 불러 활용하는 API 접근 포인트가 기하급수적으로 늘어나면서, 보안 침해 사고의 원인을 찾는 것은 아무리 이 분야 전문가라도 감당하기 어려울 정도로 복잡한 양상을 띠게 되었다.
아이러니하게도 클라우드를 ‘제대로’ 활용하면 할수록 감당하기 힘든 보안 침해 이슈들이 등장하고, 이는 역으로 클라우드 도입의 걸림돌이 될 수 있는 매우 바람직하지 않은 역순환작용을 할 수도 있다. 앞으로 아마존 디텍티브와 같이 머신러닝 기법으로 무장된 자동화된 보안 도구들이 뒷받침이 되지 않는다면 클라우드컴퓨팅 확장성을 담보할 수 없게 된다.
마이크로소프트 지능형 보안 그래프
마이크로소프트는 2019년 초 지능형 보안그래프(Intelligent Security Graph)라는 것을 발표했다. 수많은 보안 경고들 간의 상관관계 유추를 통해 맥락을 파악하며, 궁극적으로는 통합된 방식의 자동화된 보안 시스템 제공을 목표로 하고 있다.
이는 마이크로소프트 애플리케이션 및 서비스 전반에 걸쳐 적용될 수 있는 통합 지능형 보안서비스의 근간으로서 그래프 보안 API(Microsoft Graph Security API)를 통해 다양한 보안 서비스에 활용될 수 있다. 애저 ATP(Advanced Threat Protection), 애저 시큐리티 센터, 애저 인포메이션 프로텍션, 클라우드 애플리케이션 프로텍션 등 다양한 클라우드 보안서비스가 마이크로소프트 그래프 보안 API를 통해 구현된다.
지능형 보안 그래프는 마이크로소프트 365에서 쏟아져 나온 엄청난 양의 데이터를 지능적으로 분석하기 위해 만들어진 마이크로소프트 그래프와 나란히 제공되는 보안 전용 그래프 서비스라고 볼 수 있다(참고). 지능형 보안 그래프로부터 매일 공급되는 6조5천억 개의 시그널을 통해 보안 위협에 대처할 수 있는 인사이트를 각 서비스제공자의 요구에 맞게 공급할 수 있다는 것이 마이크로소프트의 주장이다.
애저, 마이크로소프트 365와 같은 자사의 서비스뿐만 아니라 생태계 안의 모든 파트너들이 그래프 보안 API를 활용한 보안서비스를 제공할 수 있다. 예를 들어, 다국적 사이버 보안회사인 팔로알토 네트워크(Palo Alto Networks) 같은 회사는 마이크로소프트 그래프 보안 API를 활용해 다량의 보안위협 경고를 확보하여 더욱 지능적인 사이버 공격을 감지/예방하는 서비스를 제공하고 있다.
이러한 지능형 서비스는 클라우드 도입·확산을 기획하고 있으나 보안 이슈로 주저하는 고객들에게 높은 수준의 신뢰를 제공할 수 있도록 한다. 이는 자연스럽게 마이크로소프트 애저 클라우드 확산에 기여할 수 있다. 이 밖에 PwC도 주요 파트너 중 하나이다.
시사점
앞으로 클라우드를 도입하거나 확산하는 기업은 하이브리드 멀티 클라우드[footnote]프라이빗 클라우드와 퍼블릭 클라우드를 조합한 하이브리드 클라우드(Hybrid Cloud), 단일 업체가 아닌 여러 업체의 클라우드서비스를 조합해 비즈니스 환경을 구성하는 멀티 클라우드(Multi Cloud)[/footnote]로 가는 것을 피하기 어려울 것 같다. 기존 클라우드서비스 업체들이 제공하는 인공지능 및 빅데이터 기술, 그리고 다양한 폼팩터의 애플리케이션 개발을 용이하게 하는 백엔드 기능들을 최대한 활용하면서 한편 기업 혹은 공공기관의 컴플라이언스 요건이나 미션 크리티컬한 성능 이슈들까지 동시에 수용하려면 전용 프라이빗 클라우드와 다수 퍼블릭 클라우드 업체를 혼용할 수밖에 없다.
결국, 워크로드를 유연하게 관리하는 것이 클라우드 도입의 핵심 요구사항이 된다. 클라우드 네이티브 컴퓨팅 기술[footnote]어플리케이션 또는 서비스 시스템 관리를 컨테이너 기반 기술로 자동화 한 환경으로, 기존 환경에 비해 시스템 안정성을 높이고 운영·관리 업무의 효율화와 비즈니스 요구에 대한 빠른 응대, 시스템 확장이 용이한 특징[/footnote]이 하이브리드 멀티 클라우드 기반 분산 환경에서의 워크로드 관리에 가장 최적화된 기술이라는 것에 많은 전문가가 공감하고 있다. 클라우드 확산은 곧 기업 워크로드의 상당 부분이 클라우드 네이티브 기반으로 전환됨을 암시한다고도 볼 수 있다.
클라우드 네이티브를 본격 적용하는데 주저하는 가장 큰 이유는 보안 취약성이다. 우선 공격의 대상이 될 수 있는 포인트들이 매우 많이 널리 퍼져 있게 된다. 다시 말해서 엄청난 양의 보안 위협 시그널들이 도처에서 생산되어 문제가 생겼을 경우 이를 정확하게 포착하고 원인을 찾는 것이 점점 더 어려워질 수 있다는 뜻이다.
이것이 바로 지능형 클라우드 보안기술이 필요한 이유다. 앞서 소개한 아마존 디텍티브도 지능화 과정 중에 있는 한 도구이며 앞으로 더 많은 경우의 수를 학습하고 진화해 나아갈 것이다. 이런 관점에서 마이크로소프트의 지능형 보안 그래프 접근 방식은 매우 흥미롭다. 자사 혹은 관련 서비스로부터 생산되는 방대한 보안관련 시그널을 활용하여 자체 보안서비스 지능을 강화하는 것뿐만 아니라, 이를 중심으로 한 생태계를 통해 더욱 전문적인 보안서비스를 가능하게 할 수 있을 것으로 전망된다.
구글의 쿠버네티스 커뮤니티에서도 클라우드 보안과 관련된 오픈소스 중심의 다양한 기술 교류가 이루어지고 있다. 이런 일련의 과정을 통해 클라우드컴퓨팅 보안은 점차 더 지능을 갖춰 가게 될 것이며, 이는 곧 클라우드 컴퓨팅의 확산을 더욱 가속화하게 될 것이다.
[divide style=”2″]
[box type=”note”]
본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.
[/box]
