가시성 문제 아직 크지만 보이지 않으니 마음에서도 멀어져
기존 보안 툴, 클라우드에서 100% 기능 발휘 못하는 것도 문제

[보안뉴스 문가용 기자] 클라우드 확산이 지속되면서 일부 산업 내 IT 인프라에는 이미 굳건히 자리를 잡기 시작했다. 그렇지만 보안은 아직 멀었다는 것이 중론이다. IT의 모든 발전 과정이 그렇듯, 신기술은 저만치 앞서가고 보안은 멀찍이서 뒤쫓아 가는 형국이 클라우드에서도 반복되고 있다.


‘많이 나아지고 있다’는 소문도 있고, ‘아직 불안하다’는 말 사이에서 많은 기업과 보안 담당자들이 갈팡질팡 하고 있는데, 최근 보안 업체인 비트글래스(Bitglass)가 발표한 자료에 의하면 아직도 가시성 문제가 심각한 것으로 보인다. 보안 담당자들은 여전히 클라우드 내의 데이터를 누가 어떤 목적으로 언제 왜 접근하는지 파악하는 데에 어려움을 겪고 있다. 심지어 그런 사안들을 누가 통제하는지조차 잘 모르고 있는 경우가 태반이며 클라우드 인프라를 주기적으로 모니터링하는 조직들은 1/4도 되지 않은 것으로 나타났다.

“기업들의 클라우드 앱에는 데이터 보안을 위해 반드시 필요한 통제 옵션이 심각하게 결여되어 있습니다. 이 때문에 정보 유출의 위험이 매우 높은 상태이죠.” 비트글래스의 CEO인 냇 카우식(Nat Kausik)의 설명이다. “유출이 발생한 후 이를 탐지해낼 수 있는 기업들은 많습니다. 그러나 실시간으로 이를 파악하거나 막을 수 있는 기업들은 현재 거의 없다고 봐도 무방합니다.”

비트글래스의 이번 조사는 약 3천 명의 IT 전문가들을 대상으로 실시되었으며, 이 중 24%만이 “SaaS와 IaaS 앱의 보안 리스크를 주기적으로 모니터링한다”고 답했다. 반면 회사 내 네트워크 외곽을 주기적으로 점검한다는 이는 절반 가까이 됐다. 즉 클라우드 점검 노력은 네트워크 점검의 반도 되지 않는다는 것.

또 다른 보안 업체인 에얼리언볼트(AlienVault)도 지난 주 클라우드 보안에 대한 설문을, 약 900명을 대상으로 진행했는데, “가시성이 부족한 것이 가장 큰 문제”라고 답한 이가 42%로 가시성이 아직도 클라우드 보안 문제 1위인 것으로 파악됐다.

기술적인 문제든 모니터링을 소홀이 하는 문제든, 클라우드의 가시성이 부족하다는 것은 클라우드 내 저장되는 데이터가 중요하면 중요할수록 더 큰 문제가 된다. 그리고 실제로 현재 기업들은 상당히 많은 양의 기밀이나 치명적인 데이터를 클라우드 내에 저장하고 있다. 이미 클라우드 사용 수준은 단순 문서 공유 차원을 넘어선 것이다.

또한 데브옵스와 애자일이라는 소프트웨어 개발 프로세스가 점점 자리를 잡아감에 따라 클라우드 사용 방법도 더 다양해지고 있다. IaaS와 PaaS라는 게 생겨 기업 비즈니스에 있어 매우 중요한 작업 프로세스조차 클라우드에서 벌어지고 있는 것이다. 소프트웨어 개발의 핵심과정과 디지털 트랜스포메이션이라는 전사적인 움직임이 클라우드를 기반으로 진행되고 있으니, 단순 파일 저장 용도로서 클라우드는 이미 구시대의 유산이 된 것이라고 볼 수 있다.

그러고 보면 올해 초 보안 업체인 라이트스케일(RightScale)이 진행한 설문에서도 클라우드 내에서 중요한 작업을 진행한다고 답한 기업이 79%나 되었고, 심지어 공공 클라우드에서 개발 프로세스를 진행한다는 기업도 41%나 되었다. 이런 신호들은 보안이 점점 더 중요한 역할을 담당해야 한다는 경고등과 같다.

한편 지난 주에는 크라우드리서치파트너스(Crowd Research Partners)에서도 클라우드 보안 관련 설문을 진행한 바 있다. 응답자의 39%는 “고객 정보를 클라우드에 저장한다”고 답했고, 35%는 “직원 데이터를 클라우드에 저장한다”고 답했으며, 22%는 “금융 정보를 클라우드에 저장한다”고 밝히기도 했다. 심지어 회사의 지적재산을 클라우드에 저장한다는 업체도 22%나 되었다. 이처럼 클라우드에 중요한 데이터들을 마구 저장하는 이유는 무엇일까? 같은 설문에서 응답자들은 순서대로 유연성과 편의성을 꼽았다.

에얼리언볼트의 자바드 말릭(Javvad Malik)은 “이런 빠른 발전이 좋은 것만은 아니”라고 말한다. “클라우드의 좋은 점을 잘 활용한다고 해서 제대로 사용한다고 볼 수 없습니다. 안전하게 관리하고 사고거리 만들지 않으면서 사용할 수 있어야죠. 그렇지 않으면 클라우드 내 저장된 데이터의 양과 중요성을 봤을 때 대단히 커다란 사고가 터질 가능성이 높습니다. 시한폭탄을 보는 기분입니다. 그런데 그런 염려들이 점점 엷어지는 것 같습니다. 무감각해지는 거죠.”

가시성이 부족한 건 단순한 문제가 아니다. 인간의 특성 중 ‘시야에서 사라지면 마음에서도 사라진다’는 것이 있기 때문이다. “클라우드 가시성이 부족하다는 문제는 처음부터 제기되어 왔습니다. 그런데 그게 계속해서 해결되지 않고 있어요. 그러니 사람들이 점점 잊어버리는 겁니다. 뭔가 괴물 같은 존재가 계속해서 눈에 보였다면, 사람들이 계속해서 경계했을 겁니다. 하지만 보이지 않는다는 거 자체가 문제가 되니, 시간에 따라 사람들이 잊는 거죠.”

그러면서 사람들은 “클라우드 제공업체가 알아서 해주겠지”라고 믿어버리기 시작했다고 사이버세인트 시큐리티(CyberSaint Security)의 CEO인 조지 렌(George Wrenn)은 설명한다. “하지만 이는 심각하게 잘못된 믿음입니다. 여전히 클라우드 보안은 ‘공동의 책임’이며, 특히 데이터 보안 책임은 고객에게 있습니다. 데이터를 모니터링하고 불법 접근을 막아야 하는 건 사용자 기업 책임이라는 겁니다.”

그러나 이게 정신 차리고 태도를 고쳐먹는 것만의 문제는 아니다. 기존 네트워크 보안을 위해 사용하던 툴들이 클라우드 환경에서 제대로 작동하지 않는다는 것이 보안 담당자들의 손발을 묶어두기 때문이다. 크라우드리서치가 진행한 설문조사에서 응답자의 78%는 “기존 솔루션이 더 이상 통하지 않는다”고 답했다는 게 이를 드러낸다.

그렇다고 지금 손 놓고 봐야만 하는 상황이라는 것도 아니다. “일단 클라우드 전용 툴들도 시장에 많이 나와 있는 상태고, 빠르게 신상품들이 등장하고 있죠. 또한 클라우드 내 데이터를 모니터링해주는 전문업체들도 속속 생기고 있어, 새로운 시장이 형성되고 있습니다. 여기에 고객들이 ‘클라우드 업체가 알아서 하겠지’라고 믿어주니, 이는 시장에 그대로 반영되어, 클라우드 업체들이 보안을 강화하기 시작하기도 했습니다. 고객들이 사용하기 쉽게 만들기도 하고요.

“AWS와 같은 경우 고객들이 클라우드 안을 더 잘 들여다볼 수 있게 각종 툴을 제공하고 있기도 합니다. 예를 들어 클라우드트레일(CloudTrail) 같은 경우 계정으로 들어오는 모든 API 요청을 감사할 수 있게 해주죠. 여기에다가 컴플라이언스 관련 옵션도 쉽게 설정할 수 있게 해줍니다. 클라우드 제공업체들 쪽이 요즘은 보안의 가장 큰 고객이 되어가고 있습니다.” 위협 업체인 쓰레트스택(Threat Stack)의 CEO인 피트 쳬슬록(Pete Cheslock)의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>