클라우드 보안의 시작
CSPM(Cloud Security Posture Management)
최근 기업들은 빅데이터, 인공지능 등 신 IT기술을 비즈니스에 접목하기 위한 디지털트랜스포메이션(Digital Transformation)을 진행하고 있다. 많은 기업들이 온프레미스(On-premise)에서 클라우드로 전환 중이고 새로운 비즈니스를 구축할 때 클라우드를 우선적으로 고려한다. 이러한 디지털전환 시대에 이제 클라우드는 필수불가한 선택이라 할 수 있다.
처음 클라우드 보안을 설계할 때 흔히 실수하는 부분이 있다. 기존 온프레미스에서 운영 중인 보안솔루션을 기준으로 클라우드에 적용가능한 솔루션을 선택한다는 것이다. 이경우 온프레미스에 없으나 클라우드에만 있는 서비스는 보안의 허점이 생기기 마련이다. 대표적으로 '클라우드 관리콘솔'이 이에 해당한다.
클라우드 관리콘솔(Cloud Management Console)은 클라우드 서비스를 관리하는 데 사용되는 웹 기반 인터페이스이다. 클라우드의 모든 리소스(EC2, RDS, S3 등)와 사용자 계정 및 권한 등을 하나의 화면에서 모두 관리할 수 있는 통합 관리콘솔이다. 막강한 기능 탓에 제대로 관리하지 않으면 해커의 먹잇감이 돼버리기 쉽다. 시장 조사 기업인 가트너는 2022년까지 발생할 클라우드 보안 사고의 최소 95%가 운영자의 잘못에 의한 것이라고 전망했을 정도다.
2022년 7월 의류 쇼핑몰을 운영하는 브랜디는 약 639만여 건의 고객 개인정보 유출로 약 3억 9천만 원의 과징금을 받았다. 이 사고는 클라우드(AWS)에 접근하는 관리자권한(Access key)을 통제하지 않아 발생했다. 그 외에도 야놀자, 스타일쉐어 등 많은 기업들이 클라우드 기본설정을 제대로 하지 않아 보안사고가 발생했다.
클라우드 관리콘솔의 중요성을 이미 인지한 클라우드 서비스사업자(Cloud Service Provider)는 수많은 '보안 모법사례'를 공개하고 있다. 보안 전문업체인 SK 쉴더스에서도 'AWS 클라우드 보안가이드'를 제작하여 배포하고 있다. 하지만 시시각각 변하는 클라우드 환경에서 보안설정을 수작업으로 관리하기란 매우 힘든 일이다.
클라우드 서비스 자산의 가시성 확보와 컴플라언스 준수, 그리고 더 나아가 보안위협을 대응하기 위해 CSPM(Cloud Security Posture Management)을 활용할 수 있다. 국내에 출시된 CSPM 솔루션들의 주요 기능을 요약하면 다음과 같다.
첫째. 컴플라이언스 관리가 가능하다. 국내기업은 온라인 매출액이 일정 수준 이상이면 ISMS 인증을 의무적으로 받아야 한다. CSPM을 활용하면 ISMS 인증 기준에 따라 보안에 위배된 설정을 수분 안에 점검하고 조치가이드를 안내해 준다. 클라우드 특성상 리소스 변경이 많기에 CSPM 점검 주기를 조절하면 거의 실시간 수준으로 위반사항을 탐지하고 알림을 받을 수 있다
둘째. 자산식별 관리가 가능하다. 변경이 자주 일어나는 클라우드 특성상 자산(리소스)을 파악하기 쉽지 않다. 자산을 파악해야 하는 이유는 보안 위험관리를 위한 시작점이기 때문이다. 흔히 기업에서 위험관리를 위해 자산을 식별하여 중요도를 산정하고, 위협과 취약점분석을 통해 위험의 정도를 산정하여 보호대책을 마련한다. 즉 식별되지 않은 자산은 보호될 수 없다. CSPM을 활용하면 클라우드의 모든 리소스를 파악하고 자산에 대한 중요도를 관리할 수 있다.
셋째, 자산 시각화가 가능하다. 온프레미스는 물리적인 자산들로 구성되어 있어 별도의 네트워크 구성도에 각 자산의 연결관계를 표기하여 데이터 흐름을 파악할 수 있다. 클라우드 환경은 논리적인 가상 리소스들이 관리콘솔 설정에 따라 서로 복잡하게 연결되어 있고, 또한 눈에 보이지 않는다. 가상서버가 Public망에 있는지 Private망에 있는지, 어떤 로드발란서와 연결되어 있는지 알기 어렵다. CSPM을 활용하면 클라우드 자산의 가시성을 확보하고, 중요 데이터의 흐름을 한눈에 파악할 수 있다.
디지털전환 시대에 클라우드는 필수가 되었고, 클라우드 없이는 디지털전환은 불가하다. 기업의 보안담당자들은 클라우드 관리콘솔의 중요성을 인식하고 보안대책을 마련해야 한다. CSPM을 활용하여 클라우드 자산의 가시성을 확보하고, 컴플라이언스 위반내역 실시간으로 모니터링한다면 클라우드 보안위협을 손쉽게 대응할 수 있을 것이다.
