[디지털데일리 이종현기자] “2019년 미국의 10대 은행 중 하나인 캐피털원은 아마존웹서비스(AWS)를 사용하다가 보안 사고를 당했습니다. 캐피털원은 AWS에 책임을 묻고 싶어했지만 AWS에게 돌아온 답은 ‘나는 책임 없다’였습니다. 보안 사고가 사용자의 책임 범위에서 발생했기 때문입니다.”(천준호 삼성SDS 보안플랫폼팀 프로)
천준호 삼성SDS 보안플랫폼팀 프로는 6일 온라인으로 개최된 ‘사이버 시큐리티 콘퍼런스 2021’에서 클라우드 보안과 관련한 자주 나오는 질문을 소개하며 각 경우에 대한 보안 전략을 소개했다.
삼성SDS가 클라우드 보안과 관련해 가장 많이 받은 질문은 ▲클라우드 보안은 클라우드 서비스 프로바이더(CSP)가 해주는 것 아닌가요 ▲삼성SDS 클라우드 보안 기준은 왜 그렇게 어려운가요 ▲보안 5종 세트는 무엇인가요 ▲클라우드가 온프레미스 만큼 안전해지려면 어떻게 해야 하나요 ▲클라우드 보안은 어떻게 공부해야 하나요 등 5개 순이다.
천준호 프로는 “지난 10년간 가장 많이 받은 질문은 ‘클라우드 보안은 CSP가 해주는 것 아닌가요’입니다. 거의 매일 빠지지 않고 받았던 질문인데요. 결과적으로 클라우드 보안 사고의 책임 대부분은 고객에게 돌아옵니다”라고 말했다.
이는 CSP의 공동책임모델 때문이다. CSP는 모든 사용자가 공유하는 공용의 인프라와 소프트웨어(SW) 만을 보안 점검하고 책임진다. 사용자가 각자 할당받은 독립된 공간에서의 보안 책임 활동을 해야 한다.
서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS) 등 경우에 따라 책임 범위가 달라지지만 어떤 유형에서건 개별 사용자의 책임 범위가 있기 때문에 해당 범위에서 문제가 발생하면 사용자의 책임이 되는 구조다. AWS를 비롯해 마이크로소프트(MS), 구글, 오라클, IBM 등 각기 다른 표현을 사용하지만 원리는 같다.
천준호 프로는 이를 “도어락의 비밀번호를 1234로 맞춰놓고 도둑이 들었다면, 그 책임은 도어락 사용자에게 있는 것이지 도어락 제조사에 있지 않다는 것”이라고 비유했다.
그는 “모든 보안 활동을 사용자가 직접 하는 것은 어렵다. 그렇다고 매니지드 서비스 프로바이더(MSP)에 모든 보안을 맡기는 역시 위험하다. 클라우드 보안의 공통점 중 하나가 MSP의 보안 설정 미흡이기 때문”이라며 “역량 있는 매니지드 시큐리티 서비스 프로바이더(MSSP)를 활용해 MSP가 가용성과 안정성을, MSSP가 보안을 상호 견제하는 역할을 맡기는 것이 좋은 선택”이라고 조언했다.
삼성SDS의 클라우드 보안 기준이 어렵다는 질문에는 정량적 기준으로는 글로벌 기준이 더 엄격하고, 정성적 점검은 삼성SDS가 더 까다롭다고 답했다. 또 일반적으로 사용하는 ▲안티 디도스 ▲방화벽 ▲침입방지시스템(IPS) ▲웹앱방화벽(WAF) ▲안티 악성코드 등 ‘보안 5종 세트’ 만으로는 클라우드를 지키기 어렵다고 전했다. 클라우드 환경이 변화함에 따라 경계형 보안으로는 불충분하다는 설명이다.
이밖에 클라우드 보안의 공부가 어렵다는 질문에는 자동화 도구를 사용하기보다는 직접 클라우드의 계정을 만들고 사용해볼 것을 권했다. 또 클라우드와 온프레미스는 특성 자체가 다르기 때문에 같은 수준으로 안전해진다는 말은 성립하지 않으며, 컨테이너나 데브섹옵스(DevSecOps)와 같은 클라우드 네이티브가 본격화될 때 다른 질문으로 바뀌게 될 것이라고 전했다.
천준호 프로는 “클라우드에서 보안은 속도나 안정성을 위협하는 걸림돌로 생각되기 쉽다. 반대로 보안 문제만 잘 해결할 수 있다면 클라우드를 손도하는 지렛대 역할도 할 수 있다”고 피력했다.