보안 업체 디그시큐리티(Dig Security)의 CEO 댄 벤자민(Dan Benjamin)은 “클라우드 보안 사고는 터질 수도 있고 아닐 수도 있는 그런 게 아니”라고 강조한다. “언제고 반드시 터지게 되어 있는 게 클라우드 보안 사고입니다. 현재 기업들은 평균 2000개의 클라우드 서비스를 사용하는 것으로 조사되고 있을 정도니까요. 그러니 모든 상황을 대비해서 보안 준비를 마쳐야 합니다. 즉, 사고의 예방과 후속 대처를 모두 신경 써야 한다는 뜻이죠.”
여러 전문가들과 함께 7가지 주요 위협들을 선정해 보았다. 이 위협들을 위주로 대처 방안을 마련한다면 어느 정도 안정적으로 클라우드를 사용할 수 있을 것이다.
위협 1 : 서드파티 소프트웨어와 공급망의 위험
지난 12월 해커들은 자산 관리 및 추적 서비스 업체인 테키비티(Tequivity)가 사용하던 AWS 클라우드 서버를 침해하는 데 성공했다. 테키비티는 유명 카풀 서비스 업체인 우버(Uber)에 서드파티 솔루션을 제공하는 업체이기도 하다. 이 사건으로 7만 7천여 명의 우버 직원들의 민감한 정보들과 회사의 데이터 일부가 유출됐다. 우버는 별 다른 잘못을 하지 않았는데, 서드파티를 통해 클라우드 내 정보가 도난을 당한 것이다.
현대의 IT 환경에서 파트너사들이 정당한 계약을 맺고 우리 클라우드에 저장된 코드, 인프라, 애플리케이션에 접근하는 사례는 이제 매우 흔하다. 그러므로 원래 표적으로 삼고 있는 회사의 서드파티를 공략함으로써 그 회사의 정보를 곧장 가져올 수 있는 효과를 누릴 수 있게 된다.
위협 2 : 클라우드 랜섬웨어
💥클라우드 환경에서 일어날 수 있는 랜섬웨어 공격
- 클라우드 플랫폼과 싱크된 파일 공유 서비스들을 노리는 것
- 피싱 공격으로 클라우드 기반 이메일 서비스들을 노려 계정을 탈취한 후 이를 바탕으로 더 많은 랜섬웨어를 퍼트리는 것
- 아예 구글이나 아마존 등 클라우드 호스팅 업체들을 노리는 것
기업들이 클라우드 랜섬웨어를 주의해야 하는 이유는 또 있다. 랜섬웨어 공격자들이 요구해야 하는 돈이나 복구에 들어가는 돈도 그렇지만, 고소된 후에 벌금을 내야하는 경우로 종종 이어지기 때문이다. 다시 예전으로 돌아가려면 적잖은 돈을 이중, 삼중으로 내야 한다. 그래서 랜섬웨어에 당하면 파산하는 경우도 없지 않다.
위협 3 : APT 공격자들
클라우드 환경이 가져다주는 이득은 어마어마하게 많다. 클라우드로 많은 기업들이 옮기는 데에는 이유가 있다. 그 중에서도 손꼽히는 장점은 ‘다이내믹’한 업무 환경을 제공한다는 것이다. 여기서 ‘다이내믹’이란 필요와 상황에 따라 자동으로 확장되는 특성을 말한다. 이런 클라우드의 강점은 피해자의 네트워크에 오랜 시간 머물러 있으려 하는 APT 그룹들에게도 안성맞춤으로 작용한다.
높은 기술력을 자랑하는 APT 단체들인 팬시베어(Fancy Bear), 코지베어(Cozy Bear), 가돌리늄(Gadolinium) 등은 이미 클라우드 인프라를 활용해 피해자 네트워크나 시스템에 오랜 시간 머무르는 것으로 잘 알려져 있다. 체류 시간을 길게 확보하면서 여러 가지 공격을 실시하기도 하는데, 여기에는 기초적인 무작위 대입 공격에서부터 컨테이너 이미지 침해, 클라우드 서비스를 C&C로 활용하기 등이 포함된다.
위협 4 : 멀티클라우드의 확산
현대 클라우드 환경은 한 가지 중요한 특성을 가지고 있다. 대부분의 회사나 조직들이 클라우드 서비스를 도입할 때 한 가지 클라우드를 중심으로 인프라를 꾸리지 않는다는 것이다. 이른 바 ‘멀티클라우드’ 체제를 도입한 쪽이 많다. 그 수치는 통계 자료마다 조금씩 다르게 나오는데, 플렉세라(Flexera)의 경우 92%의 기업들이 멀티클라우드 전략을 차용하고 있다고 하고, 누타닉스(Nutanix)는 64%라고 한다. 어느 쪽이든 절반을 훌쩍 뛰어넘는다고 볼 수 있다.
클라우드를 하나 이상 사용하는 기업이 많다는 건데, 이것 자체로 보안에 커다란 위협이 된다. 클라우드 하나도 대단히 복잡한 유형의 아키텍처인데, 그 복잡한 것이 중첩되고 중첩되니 문제가 어마어마하게 커지는 것이다. 이를 일각에서는 멀티클라우드 증식(multicloud sprawl)이라고 부르기도 하는데, 이 때문에 데이터가 돌아다니고 저장되는 영역이 훨씬 많아져 추적하고 관리하는 게 힘들어진다.
클라우드 보안의 가장 핵심적인 사안이 바로 이 가시성이라는 걸 생각했을 때, ‘멀티클라우드 체제로 옮기면 가시성을 확보하는 게 불가능해진다’는 설명 하나로 멀티클라우드의 문제가 무엇인지 이해할 수 있다. 멀티클라우드 체제를 이미 갖춘 기업들이라면 가시성 확보를 위한 싸움을 2023년 내내 이어가야 할 것이다. 모든 데이터를 관리하기 힘들 것이니 가장 중요한 데이터들만이라도 어디서부터 어떻게, 어떤 경로를 거쳐 어떤 목적으로 움직이고 편집되는지 파악할 수 있을 만한 방법을 마련하는 것이 좋다.
위협 5 : 셰도우 데이터
전형적인 온프레미스 환경에서 클라우드로 체제를 전환하는 과정에서 어느 정도 데이터가 엉키고 섞이는 건 충분히 있을 수 있는 일이다. 그러면서 데이터가 불필요하게 복제되거나 엉뚱한 곳에 저장된 채 아무런 관리도 받지 못하고 점점 잊혀져 가는 데이터를 셰도우 데이터(shadow data), 다크 데이터(dark data) 혹은 고스트 데이터(ghost data)라고 부른다.
파킨도 “클라우드 스토리지의 가격이 낮아지면서 클라우드에 저장되는 데이터가 빠르게 늘어나고 있다”며 “쉽게 저장되고 쉽게 유통되는 데이터는 어느 시점에나 손실될 가능성이 높다”고 덧붙인다. “데이터를 쉽게 저장한다는 건 데이터 관리라는 측면을 점점 가볍게 여기게 된다는 뜻입니다. 데이터 저장 공간을 구매하는 게 비싸다고 생각해보세요. 데이터를 얼마나 많이, 어디에 저장하느냐가 다 돈과 관련된 문제라 데이터를 중복시키는 것이나 불필요한 데이터를 보관하는 것에 민감할 수밖에 없습니다.”
위협 6 : 클라우드 내의 과도한 권한 허용
클라우드의 가장 좋은 점 중 하나는 IT 관리자들이 사용자들에게 권한을 편리하게 부여할 수 있다는 것이다. 그래서 특정 사용자가 어떤 서비스나 데이터에 접근할 수 있는지를 지정하여 접근 제어를 엄격하게 할 수 있게 된다. 전통의 네트워크 환경이었다면 물리적으로 사용 가능한 컴퓨터와 그렇지 않은 컴퓨터를 구분할 수 있었겠지만, 클라우드에서는 그런 구분이 전부 가상 기술로 이뤄지다보니 관리자가 어떤 사용자에게 어떤 권한을 허용하느냐가 매우 중요해진다.
이론 상 ‘권한을 관리자가 보다 쉽게 설정할 수 있다’는 건 클라우드 환경을 보다 안전하게 만드는 요소가 된다. 하지만 현실은 어떨까? 모든 사람이 모든 권한을 가지고 아무 자원에나 접근할 수 있는 혼돈의 상태에 더 가깝다. 물리적인 환경에 비유하자면(위에서도 잠깐 그랬으니까) 옆 자리 직원이 내 컴퓨터도 마구 켜서 사용하고, 심지어 사장님 방에도 자유롭게 드나드는 것과 비슷한 상황이다.
보다 철저히 관리하라고 편리한 권한 설정을 가능하게 했더니, 관리자들은 오히려 권한을 남발하는 형국이 보안에 도움이 될 리가 없다. 공격자들에게 이런 현상은 관리자 계정 크리덴셜을 확보하지 않더라도 괜찮다는 뜻이 된다. 권한 상승 공격을 할 필요가 줄어든다. 관리자들이 알아서 직원들의 권한을 상승시켜 주고 있다는 건 공격자들을 대신해 권한 상승 공격을 해주는 것과 다름이 없다. 그러므로 클라우드를 진지하게 사용하려는 업체라면 반드시 권한 허용 문제부터 해결해야 한다.
위협 7 : 인간적인 실수와 설정 오류
인간은 완벽과 거리가 먼 존재이며, 따라서 실수라는 변수가 항상 따라붙는다. 보안이라는 세계에서 이는 익히 알려진 내용이다. 특히 클라우드와 관련된 보안 사고 중 가장 많은 비율을 차지하고 있는 것은 다름 아니라 설정 오류와 같은 ‘실수’ 라고 할 수 있다. 수년 째 이어지고 있는 ‘실수 때문에 벌어진 데이터 유출 사고’는 줄어들 기미를 보이지 않고 있다.
설정을 잘못하는 것만이 문제가 아니다. 비밀번호를 새롭게 바꾸지 않는 것과 단순하게 만드는 것, 키 저장소를 부실하게 관리하는 것 모두 불완전한 인간의 본성 때문에 생기는 일들이라고 볼 수 있다. 공격자들은 이런 지점들을 잘 이해하고 있으며, 꼼꼼히 찾아내 노리기 일쑤다.
파킨은 “실수가 우리의 본능과 같은 것이라 줄이는 게 쉽지 않다”고 말한다. “언제 누가 어떤 상황에서 실수하게 될지 아무도 예측할 수 없습니다. 그런 실수가 어떤 파괴력을 갖게 될지도 모르고요. 그렇기 때문에 우리는 끊임없이 교육을 병행할 수밖에 없습니다. 실제로 장기적인 교육을 받은 사람일수록 교육 받은 분야에서 실수할 가능성이 낮습니다. 보안 솔루션이 아무로 기술적으로 발전해봐야, 그것만 가지고는 사용자의 실수까지 극복이 되지 않습니다. 보안의 중요한 한 축이 교육일 수밖에 없는 이유입니다.”
- 출처 및 인용 : 보안뉴스
