"도어락 비번 설정을 잘못 해서 도둑이 들었다면 그건 집주인 잘못이다. 도어락 제조사 잘못이 아니라. 역대 클라우드 사용 기업들이 당했던 보안 사고가 이런 유형이라, 클라우드서비스공급자(CSP)는 어떤 책임도 지지 않았다."
삼성SDS 보안 전문가인 천준호 보안플랫폼팀 프로가 6일 온라인 개최된 삼성SDS 사이버 보안 콘퍼런스 2021의 클라우드보안을 주제로 한 발표 내용 한 대목은 이렇게 요약된다. 이 부분은 그가 꼽은 '클라우드 보안 관련 빈번한 질문 5선' 중 가장 자주 들었던 "클라우드 보안은 CSP가 해주는 것 아니냐"는 물음에 대한 답변이었다.
천 프로는 이 질문에 답하면서 "지난 10년간 정말 자주, 오랫동안, 매년 빠짐없이, 거의 매달, 매주, 매일 받았다"면서 "새로운 각도에서 새로운 답을 드릴 때가 됐다"고 운을 뗐다.
천 프로는 지난 2019년 알려진 미국 금융사 '캐피탈원'의 아마존웹서비스(AWS) 클라우드 서버가 해킹을 당해 1억6000만명의 개인정보가 유출된 것으로 추정되는 보안사고 사례를 소개했다. 당시 해커는 서버측 요청 변조(SSRF) 기법으로 방화벽의 부실한 보안설정을 악용해 AWS 클라우드에서도 돌고 있는 캐피탈원 서버에 침입할 수 있었다고 알려졌다. 이에 캐피탈원의 보안사고에 대한 AWS의 책임론이 제기됐지만, 실제로 AWS는 책임을 질 게 없다는 입장이었다.
천 프로는 "공동책임모델 때문에 클라우드보안사고를 당하는 대다수 고객은 CSP를 추궁하더라도 CSP는 책임을 지지 않는다"며 "CSP는 공용 인프라와 소프트웨어에 대한 보안을 점검하는 보안 활동을 수행하고, 클라우드 사용 기업은 자신이 할당받은 독립된 공간의 보안 활동을 해야 한다"고 설명했다. 그는 "기존 사고사례 모두 사용자가 관리할 영역에서 발생해 CSP가 책임을 지지 않은 것"이라고 덧붙였다.
클라우드 매니지드서비스공급자(MSP)와 클라우드 보안관제서비스공급자(MSSP)의 관계에 대해서도 부연했다. 그는 "MSSP같은 보안전담기업, 보안역량을 가진 기업이 고객에 직접 보안 위규 사항을 보고하고 MSP의 보안 위규 활동을 감시·견제할 수 있어야 하고, MSP는 반대로 MSSP를 가용성·안정성 측면에서 견제할 수 있는 삼각구도를 만들어야 한다"고 조언했다. 그는 "기존 사고의 또 다른 공통점은 MSP의 보안설정이 미흡했다는 것"이라며 "클라우드 고객이 밑에 MSP를 두고 그 밑에 MSSP를 두는데 이것은 위험한 구조"라고 경고했다.
천 프로는 이날 '클라우드 보안 FAQ - 10년 동안 클라우드 보안에 대해 가장 많이 받은 질문들'이라는 제목으로 강연을 진행했다. 강연은 그가 자주 받은 질문 가운데 5가지를 뽑아 5위부터 1위까지 역순으로 제시하며 답하는 형식으로 진행됐다. 2~5위 질문 답변을 마저 정리했다.
5위는 "클라우드 보안을 어떻게 공부해야 하느냐"는 질문이었다.
천 프로는 "보안을 공부하는 입장에서 가장 좋은 방법은 클라우드서비스를 직접 사용하면서 배우는 것"이라며 "체크리스트를 만들고 자동화툴이 아닌 손으로 하나하나 적용해 보는 것이 역량 강화에 도움이 된다"고 조언했다. 이어 "단순 점검방법 외에 보안 위험 수준, 점검 난이도, 모니터링 방법 등이 제시된 참고자료와 보안 취약점이 왜 발생했는지, 어떻게 예방할 수 있는지 찾아보면 더욱 좋다"고 덧붙였다.
4위는 "클라우드를 온프레미스만큼 안전하게 만들려면 어떻게 해야 하느냐"는 물음이다.
천 프로는 "이 질문은 물리 서버를 가상머신(VM)으로 바꾸는 단계에선 유효하나 컨테이너를 돌리고 데브섹옵스(DevSecOps) 등을 적용하는 클라우드 운영 심화단계에서는 그렇지 않다"며 "VM을 만들면 온프레미스처럼 몇년간 유지하지만 컨테이너를 도입하면 생성·보관·배포·실행이 몇주, 며칠, 몇시간 단위로 짧아져 기존 수작업에 의존하는 보안방법·솔루션이 유효하지 않다"고 지적했다.
천 프로는 또 "데브섹옵스를 도입한 환경에서는 담당자별 업무와 역할이 나뉘어 있던 기존 체계와 달리 운영자·개발자가 보안을 알아야 하고 보안담당자가 운영·개발을 알아야하는 식으로 업무의 경계가 흐려진다"며 "보안담당자가 아니더라도 정적 소스코드 분석과 암호화 키 관리 등을 최소한 다룰 줄 알고 여타 보안 툴체인에 대한 이해를 갖춰야 한다"고 덧붙였다.
3위는 "클라우드 보안 5종세트는 뭐냐"는 문의다.
삼성SDS가 클라우드 보안 개념을 설명하고 보급하기 위해 '보안 5종세트'라는 말을 만들어냈다. 분산서비스거부(DDoS) 공격 방어, 방화벽, 웹애플리케이션방화벽(WAF), 침입방어시스템(IPS), 안티맬웨어가 소위 말하는 '보안 5종'이다.
하지만 천 프로는 "이것만 다 하면 (보안조치가 다) 된다는 잘못된 선입관을 갖게 했다"며 "온프레미스의 경계형 보안에 한정된 것이고 실제 클라우드보안 환경은 절대 이렇지 않다"고 강조했다. 그는 "클라우드환경에서도 경계형 보안 개념은 여전히 필요하지만 DDoS와 WAF는 인터넷에, IPS는 에이전트로 서버에 배포되는 식으로 클라우드에 걸맞게 달라진다"고 설명했다.
2위는 "삼성SDS 클라우드의 보안 기준은 왜 그렇게 어렵느냐"다.
천 프로는 "국내 기준이 까다롭다고 생각하고 글로벌 기준을 따라가 달라고 얘기하는데 실제로는 글로벌 기준이 더 까다롭다"고 반박했다. 그는 "지금은 모바일앱으로 가능한 가상 다중요소인증(MFA)은 글로벌 기준을 적용하면 하드웨어기반 MFA로 바꿔야 하고, 운영자 활동 로그 처리는 국내기준으로 기록·암호화만 잘 하면 되지만 글로벌 기준으로는 이상 발생시 일일이 경고(Alert) 띄워야 하고, 관리계정 패스워드 설정도 더 길게 하면서 자주 바꿔야 한다"고 설명했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지