클라우드 해킹은 관리자 암호 탈취
가트너에 따르면 2023년 전 세계 클라우드 시장 규모는 작년 대비 20% 증가한 5,918억 달러로 전망했다. 작년에 예상치가 19% 가량이었는데 이보다 높고, 2022년과 비교해 1.2배 증가한 수치다. 또한, 한국 IDC에서는 국내 퍼블릭 클라우드 시장 전망 보고서(2022년 5월 발간)에서 국내 클라우드 시장은 2025년까지 연평균 14.8%씩 성장해 3조 8,952억원에 이를 것으로 전망했다. 대표적인 클라우드 서비스인 아마존의 AWS가 2006년부터 사업을 시작했으니 올해로 약 17년이 되었음에도 불구하고 연평균 성장율이 20%에 이를만큼 주구장창 장미빛 미래가 계속 펼쳐진 마르지 않는 샘물이다. 그런 클라우드의 성장 과정에 우려할 사항은 없을까? 그 우려의 대비책은 무엇일까.
▣ 디지털 가속화 속에 부상하는 보안의 중요성
우리 스마트폰에 저장된 각종 개인 정보와 데이터들을 생각해보자. 주소록, 통화 내역, 이메일 그리고 카카오톡으로 주고 받은 메시지와 토스, 카카오뱅크, 네이버페이에 등록된 각종 은행계좌와 신용카드 정보와 카드 사용 내역과 입출금 내역들이 만일 유출된다면 얼마나 심각한 문제일까? 게다가 스마트폰에 저장된 사진과 네이버앱, 크롬, 사파리 브라우저 등으로 검색한 검색 내역과 캘린더에 기록된 일정, 에버노트와 드랍박스에 기록된 각종 문서도 만만치 않은 정보들이다. 그렇다보니 스마트폰 털리면 모든 개인 사생활과 내 모든 것이 털리는 것이다. 스마트폰 하나에 내 인생이 통째로 저장되어 있는 셈이다.
그런데, 이제 그런 스마트폰이 고스란히 클라우드에 복제되고 있다. 우리가 사용하는 스마트폰과 각종 모바일 앱들은 클라우드와 연동되어 있어서 우리가 기록하고 저장한 모든 내역들이 고스란히 클라우드에 저장된다. 덕분에 새로운 스마트폰을 구입해도 기존에 사용하던 스마트폰에 저장된 사진과 앱들을 고스란히 내려받아서 외형만 다를 뿐 기존과 같은 환경으로 모바일 서비스를 이용할 수 있다. 또, 스마트폰을 잃어버려도 클라우드에 저장된 데이터 덕분에 다른 스마트폰으로 기존과 같은 환경으로 다시 복구가 가능하다. 물론 분실한 스마트폰은 원격으로 폰에 저장된 데이터를 삭제하고 초기화할 수도 있다. 이 모든 것이 클라우드와 스마트폰을 동기화했기 때문에 가능한 것이다. 비단 스마트폰만 그런 것이 아니라 컴퓨터, 태블릿 등도 클라우드로 올라가고 있다. 컴퓨터로 작업한 각종 문서는 물론 브라우저로 웹서핑한 내역과 확장 프로그램 등도 모두 클라우드에 기록된다. 그렇다보니 다른 컴퓨터를 사용하더라도 클라우드에 연결하면 같은 문서, 같은 환경으로 프로그램을 이용할 수 있다. 그렇다보니 이제는 스마트폰이나 컴퓨터가 아닌 그런 클라우드의 보안을 더 신경써야 한다. 내 클라우드의 계정 비밀번호에 유의해야 하고, 당연히 이런 클라우드 서비스를 제공하는 기업은 외부 공격자가 클라우드에 침입하지 않도록 주의해야 한다.
특히 클라우드를 이용하는 기업은 더욱 더 이 보안에 주의해야만 한다. 수 많은 기업 고객들이 이용하는 클라우드의 보안망이 뚫리면 결국 그 기업 고객들을 이용하는 사용자들의 보안이 뚫려 도미노처럼 2차, 3차 후속 문제가 발생하게 된다. 심지어 기업 고객들의 데이터에는 기업의 비밀과 더 많은 개인정보들이 담겨 있어 이로 인해 연쇄적으로 위험이 커져갈 수 있어 더욱 유의해야 한다. 클라우드가 가속화될 수록 보안은 더욱 더 중요해질 수 밖에 없다.
대표적인 클라우드 보안 사고는 2017년에 있었던 아마존 AWS를 이용하는 한 회사(GoDaddy)라는 회사의 서버와 인프라 구조에 대한 상세한 정보가 유출된 사고이다. 사고의 원인은 AWS에 기록된 인증정보가 잘못 구성되어 클라우드를 이용하는 한 회사가 이용하는 호스트 이름과 OS 종류, 메모리와 CPU 사양 등에 대한 정보와 상세한 인프라 구조를 파악할 수 있는 문서에 누구나 접근 가능하게 되었기 때문이다. 이때의 문제는 웹 서비스를 통해 파일을 저장하고 관리하는 저장소인 아마존 S3(Simple Storage Service)에 접근 권한 설정의 문제로 데이터가 노출되는 것이다. 유사한 문제로 2018년 독일의 보안회사가 인도의 혼다 자동차에서 개발한 모바일 앱에 고객의 이름, 연락처, 비밀번호, 이메일 주소 등이 S3 버킷에 3개월 이상 노출되었다는 것을 발견했다.
이런 문제의 근원적 책임이야 클라우드 서비스를 제공하는 기업(CSP)에 있다. 그리고 당연히 CSP가 이런 보안에 만전을 구하도록 시스템을 운영하는 것은 기본이다. 클라우드 서비스 제공사의 보안망에 구멍이 뚫리면 걷잡을 수 없는 피해가 양산되기 때문에 보안에 상당한 공과 비용을 들여 철저하게 예방한다. 그런 클라우드 사업자는 다양한 보안 기술과 절차를 사용하여 고객의 데이터를 보호한다. 이를 위해 고객 데이터를 암호화하고 백업하는 것이 일반적이다. 또한, 고객의 접속을 제어하고 불법 접속을 방지하는 인증 및 권한 관리 기능도 제공한다. 더 나아가 정기적으로 보안 취약점 스캔을 수행하고 이를 개선해가며 보안에 만전을 기한다.
그런 보안 정책을 좀 더 상세하게 정리하면 다음과 같다.
1. 암호화 : 클라우드 사업자는 데이터 암호화 기술을 사용하여 데이터를 안전하게 보호하고 보안을 강화한다.
2. 인증 및 권한 관리 : 고객의 접속을 제어하고 불법 접속을 방지하는 인증 및 권한 관리 기능을 제공한다.
3. 백업 및 복구 : 고객의 데이터를 정기적으로 백업하고 데이터 손실이 발생할 경우 복구할 수 있도록 한다.
4. 네트워크 보안 : 클라우드 사업자는 네트워크 보안 기술을 사용하여 공격을 막고 네트워크를 보호할 수 있다.
5. 정기적인 보안 취약점 스캔 : 정기적으로 보안 취약점 스캔을 수행하고 이를 개선한다.
6. 취약점 관리 : 취약점 관리 기술을 사용하여 시스템의 취약점을 검사하고 보완한다.
7. 컴플라이언스: 관련된 정부 및 표준의 요구사항을 준수하는 것이 중요하다.
▣ 클라우드의 허점, 보안 이슈
기업이 이용하는 클라우드는 이용 범위와 영역에 따라 다르지만 기업이 비즈니스를 위해 운영하는 인프라, 시스템 그리고 각종 응용 프로그램과 그 소프트웨어를 통해 수집되는 데이터들 모두를 클라우드에 저장하는 것이나 다를 바 없다. 그런 클라우드는 한마디로 기업 전사의 컴퓨터 시스템이나 다름없다. 또한, 모든 기업 구성원들의 개인 컴퓨터와 그 기업의 소비자들이 이용한 서비스에 대한 모든 것들이 클라우드에 저장된다. 그런 클라우드가 공격 당하면 외부 공격자는 기업의 클라우드 자원에 연결해서 데이터를 유출하고 응용 프로그램을 악용할 수 있다.
그런데 특히 유념해야 하는 것은 전통기업이 이용하는 클라우드이다. 대개의 전통기업일수록 직접 클라우드를(CSP) 이용하지 않고 MSP(Managed Service Provider)라는 곳을 통해서 클라우드를 관리한다. 즉, MSP는 고객의 IT 인프라를 외부에서 도와 관리하는 기업을 칭한다. 이때, MSP가 제공하는 인프라에서 발생하는 보안 취약점도 중요하게 신경써야 하는 영역이다. 사실 CSP의 보안은 일반 기업이 크게 신경쓸 것은 없지만 MSP의 보안은 일반 기업이 유념해야 한다. 대개의 기업에서 사용하는 클라우드의 보안망이 뚫리는 것은 MSP 보안과 관련된 부분에서 발생하기 때문이다. 이같은 MSP 보안에서는 애플리케이션과 데이터를 보호하기 위한 보안 정책과 기술을 효과적으로 적용하는 것이 중요하다.
게다가, 사실 대부분의 클라우드 보안망이 뚫리는 것은 대체로 클라우드 사업자의 기술적 문제가 아닌 기업 고객의 잘못에서 기인한다. 한국지능정보사회진흥원(NIA)의 클라우드의 미래 모습과 보안이라는 2020년 보고서에 따르면 대부분 클라우드 환경의 사고는 해커가 아닌 클라우드 이용자나 운영자의 실수에서 발생한다고 한다. 그런 오류는 대체로 계정의 비밀번호 관리 소홀로 인해 관리가 계정 탈취로 인한 문제나 클라우드 운영자가 설정 오류나 실수로 인해 외부의 침입에 무방비로 당한 경우가 대부분이다. 한마디로 현관문을 걸어 잠그지 않고 열어둠으로써 누구나 쉽게 침입할 수 있도록 했기 때문이라는 것이다. 그렇기에 클라우드 보안에 유념해야 할 사항은 사용자, 관리자가 보안 정책을 꼼꼼하게 신경쓰고 따라야 한다는 것이다. 물론, 클라우드를 운영 관리해주는 MSP가 클라우드 고객들이 이러한 정책을 신경쓰도록 도와주고, 혹여나 실수로 문제가 발생했을 때 이를 빠르게 인식해서 경고로 알람을 줄 수 있어야 한다. 그것이 MSP의 효율적인 클라우드 보안 대처 방안이다.
클라우드를 이용하는 기업의 클라우드 사용 업무를 맡은 직원이 클라우드 접근 비밀번호를 너무 쉽게 설정했거나, 노트북이나 스마트폰 등에서 클라우드 업무를 보면서 로그인한 암호가 타인에게 유출되면 쉽게 그 계정은 탈취될 수 있다. 그렇게 탈취한 계정으로 클라우드에 저장된 기업 정보나 고객 개인 정보를 빼내갈 수 있다. 또한, 클라우드 자원을 탈취해서 다른 목적 예를 들어, 암호화폐 채굴이나 다른 사이트의 해킹을 위한 디도스 공격에 활용될 수 있다. 그렇게 자원 탈취를 하게 되면 클라우드 리소스를 과다하게 사용해서 마치 전기값 폭탄을 맞는 것처럼 비용 폭탄을 맞게 된다. 만일 아무도 그런 사실을 못 알아채면 손실과 비용은 눈덩이처럼 커지게 된다. 이러한 이벤트를 MSP가 미리 알아채고 이에 대한 경고를 알려준다면 피해를 최소화할 수 있다.
또한, 클라우드 이용이 전사로 확대되면서 여러 계정이 만들어지고 여러 구성원들이 클라우드에 연결해서 서비스를 사용하다보면 계정 관리가 복잡해진다. 그 과정에서 퇴사자 혹은 잠깐 업무를 보기 위해 인턴이나 아르바이트생에게 개설해준 계정이 자칫 탈취되면서 보안이 뚫리기도 한다. 이런 것을 평소 효과적으로 관리하려면 계정 개설 상태를 시각화해서 한 눈에 볼 수 있도록 하고, 계정의 상태와 연결한 위치, 사용 내역들을 스크리닝해서 파악하고 이상 징후가 발생했을 때 바로 관리자에게 알려줄 수 있어야 한다. 이러한 사항 역시 MSP가 제공할 수 있는 훌륭한 보안 솔루션이다.