[아이티데일리] 기업들의 클라우드 전환은 거부할 수 없는 흐름이 됐다. 애플리케이션이 비즈니스 경쟁력을 좌우하는 상황에서 클라우드가 주는 유연함과 확장성을 갖출 수 없다면 고객의 다양한 요구사항에 대응하기 힘들다. 물론 클라우드 전환만으로 애플리케이션의 유연성과 확장성을 담보할 수는 없다. 이에 대한 해답으로 클라우드 업계 전문가들은 ‘클라우드 네이티브(Cloud Native)’라는 개념에 집중하며 클라우드 환경에 적합한 애플리케이션을 구동해야 한다고 입을 모은다.

이에 컴퓨터월드/IT DAILY는 기업들이 클라우드 네이티브 환경을 구현하는 과정에서 효율성과 고려해야 할 사항 등을 제시하고자 지난달 6~7일 양일간 ‘2022 클라우드 네이티브 구현 전략 웨비나’를 개최했다. 국내 클라우드 업계 발전을 위해 바쁘게 뛰고 있는 산업계·학계의 전문가들로부터 클라우드 네이티브 구현 전략에 대해 들어본다.

“CISO가 전하는 클라우드 네이티브 보안 전략”

‘2022 클라우드 네이티브 웨비나’의 첫날 키노트는 클라우드 매니지드 서비스 제공사(MSP)인 베스핀글로벌의 CISO 정현석 상무가 ‘CISO가 전하는 클라우드 네이티브 보안 전략’을 주제로 발표했다.

정현석 상무는 “코로나19 이후 언택트 시대가 본격적으로 펼쳐지면서 많은 기업들에게 디지털 전환이 요구되고 있고, 그 속도가 더욱 빨라지는 것을 모두가 경험하고 있다. 베스핀글로벌은 다양한 환경에서의 클라우드 도입 및 운영 관리 서비스를 제공하면서 기업의 성공적인 디지털 트랜스포메이션을 돕고 있다. 기업 비즈니스와 사회 전반에 디지털 기술이 확장되는 상황과 함께, 그 중요성이 더욱 부각되고 있는 것이 클라우드 보안이다”라고 강조하면서 발표를 시작했다. 베스핀글로벌은 많은 기업들의 클라우드를 실제로 운영하면서 보안 이슈로 어려움을 겪는 상황을 지켜봤고, 클라우드 보안의 중요성을 깨달아 지속적으로 투자 및 연구를 이어오고 있으며, 전문인력 확보에도 힘쓰고 있다게 정 상무의 설명이다.

정현석 상무는 △2020년 1월부터 4월까지를 기준으로 클라우드 서비스에 대한 공격이 630% 증가했다는 맥아피의 조사 결과와 △2020년 국내 24개 대기업의 평균 데이터 침해 피해액에 연간 38억 원에 달한다는 IBM의 조사 △그리고 클라우드 침해 사고의 99%가 사용자 실수에 의한 것이라는 가트너의 조사 등 3가지를 언급하면서 “IT가 비즈니스의 중심이 될수록 사이버 공격이 폭발적으로 늘어나며, 특히 클라우드의 핵심 기술을 사용하면 할수록 보안이 복잡해지고 어려워진다”고 설명했다.

최근 들어 가장 많이 발생하는 침해 사고 유형은 기존에 모바일과 웹상에서 자주 사용하는 비밀번호를 클라우드 환경에서도 동일하게 사용한다는 점을 이용한 해커의 공격이다. 해커는 보안에 취약한 사이트를 탐지해 아이디와 비밀번호를 쉽게 알아낸 후, 이를 클라우드에 무차별 대입해 계정을 탈취한다. 탈취한 계정은 비트코인 채굴이나 다른 공격의 거점으로 활용된다. 다크웹에 올라온 계정 정보를 구매하거나, 깃허브에 실수로 공개된 주요 인증정보를 활용해 주요 인증정보를 탐색하기도 한다. 그리고 인증정보를 활용해 클라우드에 접속, 중요 데이터를 탈취하거나 2차 공격을 위해 권한을 상승하고 로그 및 백업을 삭제한 후 대규모 공격을 감행한다.

이러한 사이버 공격의 피해는 △랜섬웨어로 데이터 암호화 후 금액 요구 △클라우드 자원으로 암호화폐 무단 채굴 △기업 데이터 탈취해 판매 △사이버 공격용 서버로 활용 등 크게 4가지로 나타난다. 정현석 상무는 “이와 관련해 최근 국내에서도 많은 피해 사례가 발생하고 있으나, 사이버 공격자의 검거가 어렵고 기업의 중요한 IT 자산이 한 번에 무너질 수 있을 정도로 위험도가 높기 때문이 예방만이 최선이다”라고 강조하고 “클라우드 보안 역량은 보안 규정을 지속적으로 만들어 혁신의 속도를 유지하게 만들어주는 것으로부터 시작해 기술에 대한 보안과 데이터 보안, 그리고 집단지성을 활용한 조직의 보안까지 전체 영역의 보안 역량을 확보하는 것이 중요하다”고 설명했다.

이어 정현석 상무는 클라우드 보안 사고의 99%가 사용자 실수에 의해 발생하고 있다는 점을 다시 한 번 짚으면서, 이는 클라우드 보안이 기존 레거시 환경과 완전히 다른 기술에 기반하고 있기 때문이라고 설명했다. 클라우드 보안은 매년 새로운 기술이 추가되고 있으며, 클라우드 서비스 제공사와 사용자 간 책임공유모델이 존재한다는 점도 유념해야 한다. 또한 클라우드에서는 사람뿐만 아니라 자원과 API에 대한 권한 등을 통제해줘야 하므로 기존과 비교해 굉장히 복잡하다는 점도 다르다.

베스핀글로벌은 클라우드 보안이 복잡하고 사용자 실수에 의한 보안 사고가 많기 때문에, 클라우드 보안에서는 가시성이 중요하다고 판단해 이에 관한 점수를 만들어 매일 90점 이상이 되도록 관리했다. 베스핀글로벌은 많은 기업들을 상대로 클라우드 보안 점수를 측정하는 서비스를 제공하고 있는데, 평균이 39.7점에 불과할 정도로 취약한 실정이라고 한다. 이와 함께 베스핀글로벌은 20개 이상의 클라우드를 활용하면서 코로나19로 재택근무를 해야하는 상황이었기 때문에, 정의된 사용자와 등록된 디바이스만 보안 네트워크에 접속이 가능하고 이를 통해서만 모든 애플리케이션과 데이터에 접속 가능한 제로 트러스트(Zero Trust) 환경을 만들었다. 베스핀글로벌은 이러한 보안 노하우를 전체 서비스에 적용해 고객사에 제공하고 있다.

정현석 상무는 “고객들의 강력한 클라우드 보안을 위해 베스핀글로벌에서 적용하고 있는 보안 가시화 솔루션을 ‘옵스나우 시큐리티(OpsNow Security)’라는 상품으로 출시했다. 아주 합리적인 가격으로 보안 위협을 예방할 수 있으며, 클라우드 보안 취약점 진단 컨설팅도 무료로 제공하고 있다”면서, “또한 국내에서 유일하게 제로 트러스트 얼라이언스를 결성해 보안정책에서부터 사용자 인증(IDP)은 ‘옥타(Okta)’, 네크워크 보안(SASE)은 ‘지스케일러(Zscaler)’, 모바일 디바이스 제어 및 관리(MDM)는 ‘마이크로소프트 인튠(윈도우용)’와 ‘잼프(맥용)’, 그리고 엔드포인트 탐지·대응(EDR)은 ‘크라우드스트라이크’ 등과 통합 구축해 운영하는 서비스를 제공하고 있다. 최근에는 현대중공업그룹 계열사의 클라우드 기반 스마트워크를 설계할 만큼 국내 최고의 경험을 갖고 있으니 클라우드 보안에 고민이 있으면 베스핀글로벌을 찾아달라”고 덧붙이며 발표를 마무리했다.