보안 강화를 위한 노력이라는 측면에서는 호주 만큼 잘 하는 나라를 찾기가 힘들 정도다. 그런데 최근 몇 년 호주는 각종 사이버 공격에 시달려온 나라이기도 하다. 왜 노력하는데도 안 될까?

[보안뉴스 = 아리에 작스 수석 기술 연구원, Adaptive Shield] 최근 호주에서는 국가 사이버 보안을 강화하고자 몇 가지 중요한 결정을 내렸다. 그러면서 2020년 미국 달러 기준 11억 달러에 달하는 금액을 보안 전략 강화 프로그램인 ‘사이버 보안 전략(Cyber Security Strategy)’에 투자하기로 결정하기도 했었다. 적지 않은 돈이었다.


결과는 어땠을까? 작년 정부가 공개한 ‘사이버 위협 보고서 2022~2023(Cyber Threat Report 2022~2023)’에 의하면 ‘확장성 침해’로 분류될 만한 사건이 58건, ‘고립된 침해’로 분류될 만한 사건이 195건이었다고 한다. 대형 항구 운영사인 DP월드오스트레일리아(DP World Australia)는 11월 사이버 공격을 받아 운영을 중단했다. SA헬스(SA Health), 서비스오스트레일리아(Services Australia), NT헬스(NT Health) 등 의료 기관도 다수가 2023년 한 해 동안 침해를 겪었다. 2022년 11월 메디뱅크(Medibank) 침해 사고 하나만으로도 1천만 명이 피해를 입기도 했다.

그래서 호주 정부는 ‘필수 성숙도 모델 8(Essential Eight Maturity Model)’을 강화하여 공개했다. ‘필수 성숙도 모델 8’은 호주가 발표한 사이버 보안 강화 지침서로 기업들을 위해 만들었다. 2010년에 제작되었고, 기업들은 이를 참고하여 나름의 보안 강화를 꾀해야 한다. 2010년부터 현재까지 여러 번 개정되기도 했다. 그럼에도 호주는 현재 사이버 공격자들의 폭격을 맞고 있다. 정부는 충분히 하고 있는 것 같은데 말이다.

성숙도 모델 8, 어떤 내용 담고 있나
호주 정부가 성숙도 모델 8을 통해 강조하고 있는 건 2010년부터 지금까지 크게 변하지 않고 있다. 패치, 백업, 애플리케이션 제어가 바로 그것이다. 여기에 2023년 개정판을 더해 MS 제품의 매크로 기능을 사용하지 말라는 항목이 추가됐다. 어느 것 하나 빠지면 안 될 정도로 중요한 것들인 것은 분명하다. 하지만 그 모든 것들이 클라우드, 특히 SaaS를 배제한 것이라고 해도 될 만큼 예전 기술과 환경을 기준으로 하고 있다. 딱 하나 SaaS 보안의 핵심인 권한 관리를 언급하고 있기는 하지만 부족하다.

누구라도 성숙도 모델을 읽다 보면 호주 정부가 온프레미스 환경을 염두에 두고 만들었다는 것을 느낄 수 있을 것이다. 예를 들어 관리자 권한에 대한 항목에서 온라인 계정을 다룬 부분은 오직 한 항목 뿐이다. 권한을 가진 계정들이 로그인 하여 활동할 수 있는 환경과 그렇지 않은 환경을 구분해야 한다는 것이 그나마 클라우드 혹은 하이브리드에 적용이 될 만하지만 온프레미스 환경에서도 필요한 지침이기 때문에 클라우드 기반 환경을 정부가 염두에 두었다고 말하기는 힘들다.

다중인증을 강조하는 항목도 내용 속에 포함되어 있다. 이는 온라인 서비스와 계정을 강력히 보호하는 데 적합한 보안 기능이다. 하지만 온프레미스에서도 추천할 만한 것이며, 다중인증만으로는 SaaS 생태계를 보호하기 힘들다. 따라서 호주 정부는 클라우드 환경에 적용될 만한 보안 항목들을 대폭 추가해 성숙도 모델을 추가로 강화해야 할 것으로 보인다.

호주 정부의 성숙도 모델 8 문건이 클라우드나 SaaS를 고려하지 않고 있다는 가장 결정적인 증거는 문건 속에 ‘클라우드’나 ‘SaaS’와 같은 단어가 하나도 포함되어 있지 않다는 것이다. 현대의 수많은 기업과 기관들이 SaaS 애플리케이션을 광범위하게 사용하고 있다는 걸 생각하면 의아하지 않을 수 없다.

기업들이 업무를 위해 사용하는 SaaS 애플리케이션은 기업 내 모든 애플리케이션의 70%를 차지하고 있으며, 그 비율은 점점 올라가는 중이다. 그 모든 애플리케이션들이 기업에 대단히 중요한 데이터를 저장하거나 처리하며, 따라서 이 SaaS 애플리케이션 혹은 클라우드 기반 서비스의 보안은 아무리 강조해도 지나치지 않은 것이 된다.

어떻게 개정해야 할까?
결국 호주 정부가 기업들의 보안을 정말로 강화하고 싶다면 클라우드라는 현대의 인프라를 심도 있게 다루어야 한다. 그리고 현 시점에서 강조해야 할 클라우드 보안 세부 항목은 다음 네 가지라고 할 수 있다.

1) 설정 관리 : 클라우드 생태계를 가장 빈번하게, 그리고 가장 충격적으로 위협하는 것은 무엇보다 클라우드 설정 오류다. 그러므로 그 어떤 클라우드 보안 가이드라인이라 하더라도 설정 오류를 다루지 않을 수 없다. 관리 담당자를 다그친다고 문제가 해결되는 건 아니다. 자동 설정 관리 기술을 도입하는 게 가장 효과적이다.

2) 아이덴티티 보안 : 온라인 서비스나 소프트웨어를 활용하려면 반드시라고 해도 될 만큼 ‘온라인 아이덴티티’가 필요하다. 그러므로 클라우드나 SaaS의 보안을 생각한다면 아이덴티티의 언급이 없어서는 안 된다. 아이덴티티는 기존 온프레미스 네트워크의 ‘외곽선’ 혹은 ‘경계선’과 같다고 보면 된다. 그것이 한 지역이나 장소에 정리되어 있는 게 아니라 국경을 넘어서까지 사방팔방으로 흩어져 있다고 한다면 아이덴티티 보안이 얼마나 시급한 문제인지 이해할 수 있을 것이다.

3) 서드파티 앱 통합 관리 : 특정 클라우드 서비스를 이용한다고 해서 그 업체에서 제공하는 애플리케이션만 사용할 수는 없다. 어느 순간 서드파티 앱들을 통합해서 활용해야 하는데, 그렇기 때문에 클라우드 서비스와 호환되는 서드파티 앱들도 보안의 영역에 집어넣어야 한다. 특히 설치 시부터 과도한 권한을 요구하는 것들이 있는데, 이런 것들을 걸러내는 것부터 시작하는 게 좋다.

4) 자원 제어 : SaaS와 클라우드 애플리케이션들에는 어마어마한 양의 기업 정보가 저장된다고 위에서 언급했다. 정보만이 아니라 각종 자원들도 저장된다. 여러 개의 파일과 폴더와 계획서와 지적재산과 라이선스와 각종 시스템 사양 등 여기에 다 열거할 수 없이 많은 것들이 이미 클라우드 상에서 유통되고 저장되고 처리된다. 아무리 회사 내 인력이라고 하더라도 똑같이 이 모든 자원들에 접근할 수 있어서는 안 된다. 그런데 클라우드로 인프라가 옮겨가면서 모두가 공평해진 곳이 많다. 이것 역시 문제의 소지가 될 가능성이 높기 때문에 다루는 것이 좋다.

글 : 아리에 작스(Arye Zacks), 수석 기술 연구원, Adaptive Shield
[보안뉴스 국제부(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>