클라우드 전문정보
| 제목 | [1부] 클라우드 보안 전략 | ||
|---|---|---|---|
| 등록일 | 2025-06-16 | 조회수 | 493 |
올리브웍스 / 정현석 대표
Lesson 1. 클라우드 보안의 필요성
1. 클라우드 서비스 사용의 발전
기업과 정부의 비즈니스에 디지털 트랜스포메이션이 가속화되고, 인공지능을 활발히 사용하는 가운데 클라우드 컴퓨팅은 혁신적인 변화를 주도하는 핵심 기술로 자리잡았습니다. 특히 최근 클라우드 플랫폼은 AI와 ML의 기술을 통합하여 더욱 지능적이고 자동화된 새로운 서비스가 봇물처럼 쏟아지고 있습니다. 이러한 가운데 클라우드 서비스 시장은 ‘24년 글로벌 6,630억달러(약 922조), 국내 14.6조로 매년 20%이상씩 급성장하고 있습니다.
2. 클라우드 보안 위협과 사고 사례
디지털트랜스포메이션의 수단으로 클라우드 활용이 늘어나면서 클라우드 보안사고 또한 급격히 늘고 있어 클라우드를 사용하는 기업들의 고민도 커지고 있습니다. 지난 4월 국내 최대 통신사인 SKT의 해킹 사고로 2,500만명의 개인정보가 유출되어 많은 국민의 절만을 불안하게 만들었고, 번호이동, 유심교체, 유심보호서비스 등으로 1,000만명 이상에게 불편을 초래했으며, 주가는 최대 8.5% 하락하여 주주들에게 엄청난 손실을 남겼습니다. 뿐만아니라 이번 사고의 여파로 7조원의 손실이 예상되고, 94만명이 통신사를 이동했으며, 그동안 명품 브랜드로 수십년간 지켜오던 브랜드 가치가 단번에 무너지고 창사이래 최대 위기를 겪고 있습니다.
글로벌 보안 기업 맥아피에 따르면 “코로나 19가 본격적으로 확산되기 시작한 20년 3월부터 클라우드 서비스에 대한 공격이 630% 증가했는데, 공격자는 민감한 데이터를 식별하고, 잘못 구성된 클라우드를 악용해 침입하며, 클라우드 취약성을 이용해 데이터 수집 유출했다”고 발표했습니다. 또한 IBM의 2024 데이터 유출 비용 연구 보고서에 따르면 24년 전세계 유출사고 건당 평균 비용이 글로벌 488만 달러(한화 약 68억원), 한국 48억원으로 사상 최고치를 경신했다고 발표했고, 그 중 40%는 여러 클라우드 환경에서 발생하였다고 발표했습니다. 최근에도 클라우드 보안 사고가 잇달아 발생하고 있습니다. 24년 1월에는 BBC 클라우드 스토리지에 저장된 2만5천명의 전 현직 BBC직원의 개인 정보가 유출되었고, 24년 4월 데이터 클라우드 업체인 Snowflake에서 다중인증(MFA)가 설정되지 않은 클라우드 계정이 타게팅 되어 165개의 기업이 영향을 받아, 고객 중 Ticketmaster는 5억 6천만 고객 정보, Santander Banck의 3천만 고객의 은행 계좌 정보가 가 유출된 것으로 추정하고 있습니다. 또한 24년 7월에는 ServiceNow의 클라우드 서비스 관리 플래폼에서 심각한 취약점이 발견되어 105개 이상의 조직에 영향을 주었으며, 같은 월 Toyota는 클라우드 환경에서 240GB규모의 직원, 고객 정보, 계약정보, 재무 정보, 네트워크 인프라 정보등의 데이터를 해킹당했습니다. 인공지능 선두 업체인 GhatGPT도 23년에 클라우드 인프라의 잘못된 구성으로 인해 10만명이 넘는 사용자 데이터가 유출되는 사고가 발생하였습니다. 이처럼 클라우드는 기업의 혁신에 많은 도움을 주지만 또 그만큼 많은 보안 위험에 노출되어 있다는 것도 여러 사례를 통해 방증되었고, 피해를 받은 기업은 매출감소, 혁신속도 저하, 자본 유치난항, 인재이탈 등의 비즈니스 근간이 흔들리는 어려움을 겪고 있다는 점도 간과할 수 없는 부분입니다.
3. 클라우드 보안 리스크 및 도전 과제
그렇다면 클라우드 보안 사고가 많이 나타는 이유가 무엇일까요? 그것은 기업의 폐쇄망에 있던 IT 시스템이 클라우드로 전환되면서 공격표면이 확대된 점, 레가시 시스템의 서버가 다양한 클라우드 서비스로 분할되거나, 멀티클라우드 사용으로 인해 클라우드 환경의 복잡성이 증가된 점, 클라우드 보안에 대한 이해가 부족한 가운데 레가시 보안 방식 그대로 클라우드에 적용되 점, 매년 새로운 기술이 생겨나는 점 등을 들 수가 있습니다. 하지만 무엇보다도 가장 큰 원인은 기업의 클라우드 보안 정책 부재와 클라우드 보안 담당자의 역할과 권한에 대한 거버넌스 체계 부재를 들 수 있습니다. 이 때문에 Gartner는 클라우드 보안 문제의 99%가 고객의 잘못이라고 예측하였습니다.
[그림1. 클라우드 보안 과제]
클라우드 보안의 준비가 부족한 현 디지털시대, 최근 클라우드 보안 사고와 데이터 유출사고는 전년대비 2배가 증가했고(verizon), 기업의 비즈니스 위협 중 사이버 침해가 34%로 가장 높게 발표되는 등 클라우드 보안 사고가 기업의 근간을 흔들고 있습니다. 따라서 클라우드 보안 역량은 Digital Transformation 시대의 핵심 역량중 가장 먼저 확보되어야 합니다. 클라우드 기술이 레가시 기술과 상이하고, 레가시에 없었던 기술이 봇물처럼 생겨나고 있는 상황인만큼 클라우드 보안에 대한 기업의 보안 정책, 보안 기술 전략, 보안 인력의 전문성 및 거버넌스 체계를 새롭게 구축해야 합니다.
[그림2. 사이버 침해 비즈니스 위협]
Lesson 2. 클라우드 보안 전략
1. 일반 보안과 클라우드 보안의 차이
앞서 클라우드 사고가 많아진 가장 큰 원인을 기업의 클라우드 보안 정책의 부재와 클라우드 보안 담당자의 역할과 권한에 대한 거버넌스 체계 준비되지 않은 점을 들었는데 이는 클라우드 보안이 기존 보안과 다르기 때문입니다. 상황적으로 볼 때 이는 너무나 당연합니다. 클라우드서비스는 기업 데이터센터 내에 있지 않으며, 보호해야할 기업의 자산이(데이터, 애플리케이션 등) 기존 기술과 동작하는 방식이 다르거나 아예 없었던 기술에서 동작됩니다. 따라서 보안의 책임 주체, 통제 대상, 통제 요건이 다르기 때문에 이를 관리해야 하는 관리적, 기술적 보안 정책이 새롭게 만들어져야 합니다.
구체적인 차이점을 살펴보면 첫째로 보안 책임의 영역이 다릅니다. 클라우드 보안에서는 책임공유모델이 존재합니다. 기존 레가시 환경에서는 IT 서비스를 위한 하드웨어, 인프라, 애플리케이션, 데이터 등 모든 책임이 사용자에게 있어서 기업자체에서 전체 시스템에 대한 보안 대책을 마련했습니다. 하지만 클라우드 환경에서는 책임공유모델에 따라 클라우드서비스 사업자와 사용자간에 역할이 나누어집니다. 클라우드 사업자는 하드웨어, 네트워크, 시스템 등에 대한 보안 책임을 가지고, 클라우드 사용자는 권한 및 인증, 데이터 보안, 애플리케이션, 클라우드 자원의 보안을 책임져야 한다는 점을 알아야합니다. 클라우드를 사용하는 많은 엔지니어들이 클라우드사업자가 모든 보안을 책임지는 줄 아는데 이는 잘못된 생각입니다.
[그림3. 클라우드 책임 공유모델]
둘째로 보안 방식이 다릅니다. 기존 네트워크 중심의 보안에서 제로트러스트 방식으로 전환되었고, 한번 구축한 보안 시스템의 관리에 초점을 맞추는 방식에서, 봇물처럼 쏟아지는 새로운 기술에 따라 보안도 지속적인 변화가 요구되고 있으며, 운영(Producttion) 중심의 보안 환경에서, 개발시부터 보안을 고려하는 Shift Left방식으로 전환되었습니다. 기존에 발견된 보안 위협을 탐지하는 방식에서 사전 예방하는 방식으로 전환되었습니다.셋째로 기존 레가시에 없었던 보안 기술이 새롭게 생겨났습니다. 클라우드 네이티브 애플리케이션 보호 플랫폼인 CNAPP, 클라우드 계정의 권한을 관리하는 CIEM, 클라우드 자원의 보안 형상을 관리하는 CSPM, 클라우드 워크로드를 보호하는 CWPP 등 다양한 기술이 쏟아지고 있습니다.
이러한 보안 기술 발전은 넷째로, 보안 담당자에게 새로운 역량을 요구하고 있습니다. 예전에는 단일 보안 기술을 요구했다면 이제는 Cross Functional skill이 요구되는데 즉, 클라우드 보안 기술 역량, 클라우드 설계 역량, 보안 자동화를 위한 개발 역량 등을 필요합니다.
[그림4. 사이버 보안의 PPT 변화]
2. 보안 모델의 변화(ZeroTrust and DevSecOps)
클라우드서비스 활용은 그동안 변화가 없었던 보안 모델을 크게 변화시켰습니다. 기존 보안 모델은 기업 내부의(폐쇄망) 활동은 암묵적으로 신뢰한다는 원칙하의 내⦁외부 네트워크 경계 기반의 보안 모델(성곽모델)이었습니다. 마치 왕궁을 보호하기 위해서 높은 성을 쌓아올린 것과 같습니다. 그래서 이 모델에서는 FW, ISP, NAC, VPN, WAF, 망연계 등과 같은 네트워크 보안 기술이 중요했습니다. 하지만 클라우드서비스는 기업 데이터센터 내에 기술이 없이 구름 넘어 어딘가에 있습니다. 특히 SaaS는 전용망 서비스도 제공되지 않기 때문에 기존 네트워크 경계 모델로 보안이 해결될 수 없습니다. 뿐만아니라 기업의 글로벌 비즈니스, 코로나 19과 같은 이슈가 스마트워크 환경을 증가 시키면서 시스템에 접속하는 환경도 완전히 변화했습니다.
[그림5. 제로트러스트 원칙]
그래서 만들어진 모델이 ZeroTrust입니다. ZeroTrust는 어떤것도 신뢰하지 않고 항상 확인하라는 의미를 가지고 있습니다. 따라서 신뢰 구역은 없고 데이터와 애플리케이션을 중심으로 보호영역을 설정하여 모든 데이터 요청이나 애플리케이션 접속시 신원과 권한을 검증하는 모델로 변경하였습니다. 클라우드보안 실무 가이드에서는 이를 공항형 보안 모델이라 부릅니다. 공항은 누구나 갈 수 있지만 어느 나라로 출국하려면 입국 심사장에서 여권으로 신분을 확인받아야 들어 갈 수 있듯시 항상 검사와 허가를 받는 시스템입니다. Zerotrust는 아무것도 신뢰할 수 없기 때문에 항상 검증한다는 원칙으로 설정된 정책에 따라 모든 자원에 대한 엄격한 인증을 요구하여 사용자가 올바른 데이터에 올바를 접근 권한을 가지도록 합니다. 최근 금융위원회에서 ‘금융분야 망분리 개선 로드맵’ 을 통해 생성형 AI 허용, 클라우드 이용확대, 연구⦁개발 분야 망분리 개선 등을 추진하겠다고 발표하였습니다. 그렇다면 금융권도 다양한 SaaS서비스를 사용할 텐데 이제 기존 방식의 보안 방식으로는 안전할 수 없습니다. 이때 반드시 제로트러스트 방식을 채택하여 보안을 설계해야 합니다.
[그림6. 제로트러스트 원칙]
두 번째 보안모델의 변화는 기존 Production 중심에서 Shift Left 즉 개발환경 보안에 집중하는 방식인 DevSecOps 모델로의 전환입니다. 레가시 환경에서 개발환경은 폐쇄망에서 이루어졌기 때문에 항상 운영 환경인 Production에 보안이 집중되어 왔습니다. 하지만 최근 Log4j, Solarwinds, Crowdstrike 등 SW공급망에서의 보안문제가 전세계를 마비시키면서 그 파급력이 확인됐고, SW공급망 보안 피해가 19년 이후 3년동안 742배 증가함에 따라 SW개발에서부터 보안의 중요성이 부각되면서 한국을 비롯해 미국, 유럽, 일본 등 주요국가 모두 SW공급망 보안 강화를 노력하고 있습니다.
[그림7. 공급망 이슈]
또한 SW개발 시 76% 정도 오픈소스를 활용하는데 그 중 48%에서 고 위험군의 보안 취약점을 포함하고 있어 SW안에 있는 오픈소스 취약점 관리의 중요성이 강조되고 있습니다. 최근 클라우드 이점을 극대화 하는 목적으로 많은 기업들이 클라우드 네이티브 전환하면서 DevOps, Container, Microservice architecture, agile 등의 새로운 기술이 늘어나는 상황에서 소프트웨어 개발 라이프사이클에서 부터 일찍 보안점검을 진행하는 Shift Left 보안을 중요시 하고 있습니다. 무엇보다도 개발환경에서 보안문제를 발견하면 릴리즈된 상태에서 발견되는 것보다 문제처리 비용이 30~100배 저렴하기 때문에 DevSecOps환경이 중요합니다.
[그림8. Shift Left]
DevSecOps는 기존 개발보안과 달리 DevOps 철학과 문화를 함께하면서 소프트웨어 전 개발 수명주기(SDLC)에 걸쳐 보안 프로세스와 자동화된 보안 툴을 통합함으로써 SW를 빠르게 개발하고자 하는 목적이 있습니다. 미국 국방성은 DoD Enterprise DevSecOps Fundamentals를 통해 DevSecOps는 볼트온 혹은 사일로된 개발 플랫폼에 의존해서는 클라우드 운영환경에서 강력한 보안을 제공할 수 없다는 철학과 정서로, 개발환경 내에 모든 것을 자동화하여 보안의 지표를 가시화하는 목적으로 추진해야 한다고 말했습니다. DevSecOps의 특징은 개발환경 내의 모든 프로세스를 자동화하고 CI/CD, Security Tools, Container, Cloud 등을 통합하고 자동화하여, 소프트웨어 아티팩트(소프트웨어 개발 산출물) 전반에 걸처 지속적으로 보안을 점검함으로써 강력한 보안이 적용된 현대화된 애플리케이션을 빠르게 만들 수 있는 환경을 제공한다는 것입니다.
[그림9. DevSecOps 예시]
3. 보안 기술 활용 방식의 변화(3rd Party에서 SECaaS로 변화)
세 번째 보안모델의 변화는 보안 기술을 사용하는 방식이 구축형에서 SECaaS(서비스형) 모델로 변화된 점입니다. 레가시 보안에서 보안 기술은 대부분 하드웨어와 소프트웨어가 조합된 어플라이언스 방식이었습니다. 클라우드 활용이 늘어나면서 어플라이언스 방식이 SW방식으로 전환되어 보안 SW를 VM에 설치해서 사용하였습니다. 하지만 리소스를 수시로 확장하고 축소하는 클라우드 환경에서 잦은 장애가 발생하고, 자동화, 보안 기술의 통합, AI활용, 취약점 업데이트 등의 SW방식의 한계를 드러냈습니다. 그래서 이를 보완하기 위해서 SECaaS(Security as a Service)방식이 생겨났습니다. SECaaS는 모든 기술을 Full managed 방식으로 제공되기 때문에 기술 책임 영역이 적으며 무엇보다도 클라우드의 특징을 반영하여 보안 서비스를 제공하기 때문에 더욱 안전합니다. 최근 글로벌 Top10 보안 기업은 대부분 SECaaS 방식으로 보안을 서비스를 제공 중이며 향후 국내 보안 기업도 클라우드 방식으로 보안을 제공할 것입니다. 하지만 현재는 SECaaS에서 모든 보안 서비스를 제공하고 있지 않아서 기존 SW방식과 SECaaS 그리고 CSP에서 제공하는 Managed Security Sevice를 조합해서 보안 환경을 제공해야 합니다.
참 고 문 헌
- Gartner 2023
- Oliveworks(www.oliveworks.io)
- Bespinglobal
저작권 정책
SaaS 전환지원센터의 저작물인 『클라우드 보안 전략』은 SaaS 전환지원센터에서 올리브웍스 정현석 대표에게 집필 자문을 받아 발행한 전문정보 브리프로, SaaS 전환지원센터의 저작권정책에 따라 이용할 수 있습니다. 다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.
