[아이티데일리] 전 세계적인 디지털 전환(Digital Transformation) 움직임에 따라 클라우드 중심의 비즈니스 환경을 구축하려는 발걸음이 더욱 빨라지고 있다. 대다수 금융·공공 기관들은 전통적인 온프레미스(On-Premise) 환경에서 벗어나, 온프레미스와 퍼블릭 클라우드를 조합한 하이브리드 클라우드 또는 다수의 퍼블릭 클라우드를 조합한 멀티 클라우드를 활용하는 데 속도를 내고 있다. 비즈니스에 가장 적합한 서비스를 이용함으로써, 비즈니스의 효율성과 생산성을 극대화하기 위해서다.

이러한 변화는 보안 환경에도 영향을 미치고 있다. 전통적인 보안 환경에서는 통합보안관제센터(SOC)를 토대로 침해 대응을 위한 정보보호체계·개인정보보호체계를 구축해 보안관제를 수행했다. 이와 달리 클라우드 환경에서는 자동화된 보안 체계에 기반한 서비스의 개념으로 보안을 바라보고 있다.

▲클라우드 환경의 보안성을 높이기 위해 클라우드 서비스 사업자들은 어떤 보안 서비스를 제공하고 있는지 ▲클라우드 보안 표준은 어떤 내용을 담고 있는지 알아보고자 한다.

클라우드 보안, 전통적인 보안과 비교해 무엇이 다른가?

먼저 클라우드 보안 체계와 전통적인 보안 체계를 비교해 보도록 하겠다. 전통적 보안은 크게 망 분리된 네트워크에 구축되는 네트워크 보안과 사용자 PC, 모바일 단에 설치되는 엔드포인트 보안으로 구분할 수 있다.

보안 담당자는 방화벽, 침입탐지시스템/침입방지시스템(IDS/IPS), 웹 애플리케이션 방화벽(WAF) 등의 네트워크 보안 장비 등에서 발생한 보안 이벤트와 시스템 정보를 통합보안관제(SIEM) 솔루션에 연동해 모니터링하고 발생한 경보(Alert)를 처리한다. 또한 엔드포인트 위협 탐지·대응(EDR)등의 엔드포인트 솔루션을 활용해 랜섬웨어와 악성코드를 탐지하고 사용자 프로세스를 통제하게 된다.

전통적인 보안 환경과 달리 클라우드 관점에서의 보안은 기업 내부에 설치하는 솔루션이 아닌 서비스 관점으로 정의되고 있다. 온프레미스에 비해 개방적인 네트워크 환경이므로 가상머신(VM), 컨테이너, 계정 관리 등 클라우드 영역의 보안도 요구된다. 네트워크에 대한 접근이 자유로운 만큼, 내부자와 외부자를 아우르는 접근 관리 역시 필수적이다. 멀티 클라우드 사용 환경을 아우르는 일관적인 보안 정책 적용 역시 중요한 부분이다.

이러한 배경에서 <표 1>과 같은 내용을 담은 ‘클라우드 기반 보안 서비스(SECaaS, Security as a Service)’ 구현의 중요성이 부각되고 있다. 또한, 멀티 클라우드 환경에서 다양한 보안 솔루션을 연결 및 관리하는 ‘클라우드 접근 보안 중계 서비스(CASB, Cloud Access Security Brokers)’와 기존의 경계 보안 체계에서 나아가 모든 것을 의심하는 ‘제로 트러스트(Zero Trust) 모델’이 부상하고 있다.

AWS, MS 애저의 클라우드 보안 서비스

주요 클라우드 서비스 기업들은 어떤 보안 서비스를 제공하고 있을까? 아마존 웹 서비스(AWS, Amazon Web Service)와 마이크로소프트 애저(Microsoft Azure)에서 선보인 보안 서비스를 살펴보고자 한다.

아마존 웹 서비스(AWS)
아마존 웹 서비스(AWS)는 미국 국립표준 기술연구소(NIST)의 사이버 보안 프레임워크에 기반해 AWS의 보안 서비스를 식별, 방어, 탐지, 대응, 복구 단계로 분류할 수 있다. 이 중 탐지 및 대응 단계의 서비스에 대해 살펴보고자 한다.

■ 탐지 단계 서비스
탐지 단계에는 ‘아마존 가드듀티(Amazon GuardDuty)’, ‘아마존 메이시(Amazon Macie)’, ‘AWS 시큐리티 허브(AWS Security Hub)’ 등의 서비스가 포함될 수 있다. ‘아마존 가드듀티’는 머신러닝 기술을 토대로 AWS 계정 및 워크로드에 대한 악성·무단 행위를 모니터링할 수 있는 지능형 위협 탐지 서비스다.

AWS 사용자들은 별도의 에이전트를 설치하지 않고도 ‘AWS 클라우드트레일(CloudTrail)’ 서비스와 아마존 VPC 플로우 로그(Flow Log) 기능을 이용해 정상 패턴을 벗어나는 이상 행동을 손쉽게 식별할 수 있다. 또한 ‘람다’ 연계를 통해 가상 머신에서 네트워크를 격리하거나 아마존 엘라스틱 블록 스토어(Amazon Elastic Block Store)에서 스냅샷을 생성하는 등의 자동화된 대응 조치를 취할 수 있다.

‘아마존 메이시’는 머신러닝 기술을 토대로 AWS에 저장된 개인식별정보(PII, Personally Identifiable Information) 등의 민감 데이터를 식별하고 이 데이터가 유출되는 것을 차단하는 서비스다. 이름, 주소, 주민등록번호 등의 민감 데이터 식별 시에는 모니터링 및 관찰 기능 서비스인 ‘아마존 클라우드워치(Amazon CloudWatch)’에 이벤트 형태로 전송해 통합적으로 모니터링할 수 있다.

‘AWS 시큐리티 허브’는 AWS 계정 전반에 걸쳐 우선적으로 대응해야 할 고위험군 보안 경고와 규정 준수 여부를 통합적으로 확인할 수 있는 서비스다. 자동화된 로그 수집과 파싱, 연관 분석을 지원하고, 핵심 보안 절차와 글로벌 결제 데이터 보안 인증(PCI DSS) 요구 사항 등에 대한 점검과 대응 가이드를 제공한다. 통합보안관제(SIEM) 및 보안 오케스트레이션·자동화·대응(SOAR)과 연동해 사용할 수 있다.

■ 대응 단계 서비스
대응 단계에 해당되는 주요 서비스로는 침해 조사를 수행하는 ‘AWS 클라우드트레일’, ‘아마존 클라우드워치’, ‘아마존 디텍티브(Amazon Detective)’등을 꼽을 수 있다. ‘AWS 클라우드트레일’은 표준 응용프로그램 인터페이스(API) 호출 내역을 기록(로깅)하는 서비스다. 머신러닝을 토대로 AWS 인프라에서 계정 활동과 관련된 작업을 지속적으로 모니터링함으로써, 갑작스러운 가상 머신 생성, 비정상적인 계정 활동 등의 의심스러운 API 호출 내역을 찾아낼 수 있다.

‘아마존 클라우드워치’는 AWS 리소스와 AWS에서 실행되는 애플리케이션에 대한 모니터링 서비스다. CPU, 메모리, 디스크 I/O, 네트워크 모니터링 데이터와 애플리케이션 로그 등을 수집·모니터링하고 경보(Alerts)를 설정해 자동 대응할 수 있다. AWS 사용자는 ‘AWS 클라우드트레일’과 ‘아마존 클라우드워치’를 병행 사용해 보안 위협에 대한 대응을 자동화할 수 있다. ‘아마존 디텍티브’는 대량의 AWS 로그를 분석해 보안 사고의 원인을 규명하는 서비스다. 머신러닝과 시각화 기술을 토대로 잠재적인 보안 위협이 될 수 있는 비정상적 행위를 직관적으로 확인 및 조사할 수 있다.

MS 애저(Microsoft Azure)
AWS에 이어 MS 애저의 주요 보안 서비스를 알아보도록 하겠다. MS 애저는 클라우드 보안 위협 대응을 위해 ‘애저 모니터(Azure Monitor)’, ‘애저 센티넬(Azure Sentinel)’, ‘애저 액티브 디렉터리(Azure Active Directory)’ 등의 서비스를 제공하고 있다.

‘애저 모니터’는 애플리케이션, 인프라, 네트워크를 포함한 애저 클라우드 리소스에 대한 모니터링을 수행하는 서비스다. 가상머신(VM) 로그와 CPU, 메모리, 디스크 I/O 등의 메트릭 데이터를 수집해 리눅스 및 윈도우 VM의 성능과 상태를 분석한다. 또한 애저 및 온프레미스 환경의 로그를 수집하는 ‘애저 로그 애널리틱스’ 에이전트를 활용해 컨테이너화 된 워크로드와 서비스 모니터링도 수행할 수 있다.

‘애저 센티넬’은 클라우드 환경에서 효율적으로 작동하도록 개발된 ‘서비스형 소프트웨어(SaaS)’ 형태의 클라우드 네이티브 통합보안관제(SIEM) 솔루션이다. 클라우드 상에 방화벽, IDS/IPS, WAF 등의 가상화된 보안 시스템을 구축한 뒤 로그를 수집한다. 기존 온프레미스형 SIEM에서 제공되는 룰 기반 위협 탐지 및 사고 대응 기능과 더불어 머신러닝 기반 분석과 잠재적인 위협 요인을 능동적으로 탐지해 제거하는 ‘위협 헌팅(Threat hunting)’ 기능 등을 제공한다.

‘애저 액티브 디렉터리’는 클라우드 기반의 인증·계정 접근 관리 서비스다. 단일 계정으로 여러 클라우드 애플리케이션에 로그인하는 싱글사인온(SSO) 및 다단계 인증 서비스 등을 제공한다. 사용자 계정 생성 후 조직에 부합하는 디렉터리를 생성해 사용자별 권한을 설정하고, ID와 접근 수명 주기를 관리할 수 있다. ‘애저 시큐리티 센터’는 보안 정책 및 자동화 기능을 토대로 MS 애저 리소스에 대한 가시성을 제공하는 서비스다. 신속하게 위협을 식별해 대응하고, 조직의 보안 정책 준수 여부를 점검할 수 있다.

클라우드 보안 표준 동향

다음으로 클라우드 보안과 관련된 국제 표준에 대해 알아보도록 하겠다. 클라우드 전환의 핵심 고려 사항 중 하나인 클라우드 데이터 보안과 개인정보 보호에 대한 내용을 주로 포함하고 있다.

■ISO/IEC 27000 계열 표준
ISO/IEC 27000은 아래 이미지와 같이 ISO/IEC 27000 계열 표준 전반에 대한 원칙과 용어를 담고 있다. ISO/ IEC 27001은 요구사항, ISO/IEC 27002는 일반적인 지침을 뜻하며, ISO/IEC 27002를 토대로 통신·에너지·의료 정보 등 특정 분야에 대한 표준이 제공된다. 클라우드 서비스 분야를 위한 표준은 ISO 27017, 퍼블릭 클라우드 분야에 해당되는 표준은 ISO 27018이다.

■ISO/IEC 27017:2015
ISO/IEC 27017:2015는 클라우드 서비스를 제공하거나 사용할 때 적용되는 정보 보안 통제에 대한 가이드라인이다. 37가지의 ISO/IEC 27002 보안 통제 항목에 대한 가이드라인과 함께 ▲클라우드 서비스 공급자와 클라우드 고객 간의 사안별 소재 ▲계약 종료 시 자산 제거 및 반납 ▲고객의 가상 환경 보호 및 분리 ▲가상 머신(VM) 구성 ▲클라우드 환경과 관련된 관리 작업 및 절차 ▲고객의 클라우드 내 활동 모니터링 ▲가상 및 클라우드 네트워크 환경의 정렬을 포함한 7가지의 신규 클라우드 통제 항목에 대한 가이드를 제공한다. 개인정보보호와 더불어 클라우드 컴퓨팅과 관련된 광범위한 정보 보안 이슈를 다루기 위한 목적에서 보통 ISO/IEC 27018:2019와 함께 제공된다.

■The ISO/IEC 27018:2019
ISO/IEC 27018:2019는 퍼블릭 클라우드 상의 개인식별정보(PII)를 보호하기 위해 마련된 최초의 국제 표준 가이드다. 퍼블릭 클라우드 서비스 제공업체가 수행하는 PII 처리 방안 관련, 일반적으로 요구되는 목표와 제어 방안 및 지침을 제시하고 있다. ISO/IEC 27018:2019는 ISO/IEC 27002에서 규정한 11가지의 제어 장치 구현 지침에 대한 보다 상세한 내용을 담고 있다.

<표 3>은 PII 프로세서 역할을 하는 퍼블릭 클라우드 서비스 업체에 적용되는 지침이다. ISO/IEC 29100:2011의 11가지 개인정보보호 원칙에 기반한 것으로 일반적으로 ‘정보 기술-보안 기술-개인정보보호 프레임워크’로 지칭되고 있다.

클라우드 환경에 최적화된 보안 대책을 마련하라

지금까지 주요 퍼블릭 클라우드 서비스 업체의 보안 서비스와 클라우드 보안 국제 표준에 대해 살펴보았다. 전 세계적인 디지털 전환에 발맞춰 기업 인프라와 데이터가 온프레미스에서 클라우드로 이동하면서, 클라우드 시장은 지속적으로 성장할 전망이다. 가트너의 ‘2021년 세계 퍼블릭 클라우드 지출 전망 보고서’에 따르면, 올해 전 세계 퍼블릭 클라우드 컴퓨팅 시장은 전년 대비 182% 증가한 2,049억 달러 규모에 이를 전망이다. 코로나19 팬데믹을 계기로 클라우드 전환이 가속화됐다는 분석이다.

클라우드 생태계 확장에 따라, 클라우드 상의 정보 자산에 대한 가시성을 높이기 위한 클라우드 보안의 중요성도 지속적으로 부각되고 있다. 앞서 살펴본 바와 같이 머신러닝, 자동화 등의 기술에 기반한 서비스형 보안(SECaaS)과 클라우드 환경에 최적화된 형태의 보안 표준이 제시되고 있다. 사람이 일일이 판단하고 대응했던 기존의 방식과는 달리 머신러닝, 자동화 등의 기술을 토대로 실시간으로 위협을 탐지하고 대응하는 것이 특징이다.

국가적 차원의 클라우드 보안 강화 움직임도 더욱 빨라지고 있다. 과학기술정보통신부는 올해 클라우드 산업 육성에 800억 원을 투입해 공공·민간 부문의 클라우드 도입을 촉진하게된다. 한국인터넷진흥원 역시 ‘서비스형 보안(SECaaS) 개발 및 개선 지원 사업’을 추진하고 있다. 민간의 발걸음에도 속도가 붙었다. 퍼블릭 클라우드 서비스 제공기업은 물론, 이글루시큐리티를 비롯한 여러 보안 기업들 역시 클라우드 환경에 최적화된 보안 체계 구현을 위해 힘을 기울이고 있다.

보안 이슈로 인해 온프레미스에서 클라우드로의 전환을 망설이고 있는 기업이 적지 않다. 그러나, 클라우드는 더이상 거스를 수 없는 큰 흐름이 됐다. 그 구름에 올라타 전진할 수 있도록 클라우드 보안과 클라우드 상의 개인정보보호 이슈에 대해 지속적인 관심을 가졌으면 한다. 클라우드 환경 특성을 반영한 보안 서비스 활용과 표준 준수를 통해, 클라우드의 보안성을 한 단계 높였으면 하는 바람이다.