클라우드 보안 사고, 누가 책임질 것인가
상태바
클라우드 보안 사고, 누가 책임질 것인가
  • 김선애 기자
  • 승인 2019.09.30 09:52
  • 댓글 0
이 기사를 공유합니다

[클라우드 내비게이터] 복잡한 클라우드 책임 규명, 꼼꼼한 약관 확인 필수

[데이터넷] #1. 2018년 11월, AWS 서울리전의 DNS 오류로 AWS를 사용하는 국내 기업 다수가 2시간 가까이 장애를 겪었다.

#2. 2019년 7월 미국 대형은행 캐피탈원은 방화벽 취약점을 악용한 해킹으로 AWS에 올린 1억6000만여 고객 정보를 탈취당했다.

이 두 사건은 클라우드에서 발생한 보안 사고이지만, 본질적으로 큰 차이가 있다. 전자는 AWS가 책임져야 하는 사고이며, 후자는 캐피탈원이 책임져야 하는 사고다. 전자의 경우 AWS 잘못으로 일어난 사고지만 AWS가 전적으로 책임지지 않는다. AWS 서울리전 외에 다른 리전에 이중화 설정을 한 기업들은 서비스 장애를 겪지 않았다. 이중화 하지 않은 기업만 사고를 당했으며, 이들은 SLA에 의해 보상 범위가 달라질 것이다.

클라우드, ‘보안 퍼스트’ 전략 채택해야

클라우드 전환 속도가 빨라지면서 보안 문제가 수면위로 급부상하고 있다. 특히 퍼블릭 클라우드에서 발생하는 문제는 책임 소재를 밝히기도 어려우며, 사업자와 사용자의 책임 규모를 어떻게 책정하느냐를 가리기도 쉽지 않은 일이다.

지난 6월 미국 동부 지역에 구글 클라우드 장애로 유튜브, 스냅챗이 먹통이 됐으며 중국 베이징에서는 AWS가 장애를 일으켰다. 7월 CDN 서비스 기업 클라우드플레어가 오류를 발생시켜 온라인 게임 리그 오브 레전드, 디스코드 등이 장애가 발생했다. 지난달에는 AWS 도쿄 리전에서 장애가 발생해 다수의 일본 게임사 등이 피해를 입었다.

영국의 보안 기업 소포스가 올해 초 AWS 데이터센터 10곳에 허니팟을 설치하고 AWS 클라우드의 안전성을 테스트 한 결과, 허니팟 설치 52초만에 첫 번째 공격이 시작됐고, 한 달 평균 1분당 13번의 공격이 발생했다. 퍼블릭 클라우드에서 발생한 보안 사고의 대부분은 상요자 실수에 의해 발생하고 있다고 하지만, 클라우드 인프라를 노리는 공격이 이렇게 많은 상황에서 IT 전문가가 직접 운영하는 클라우드라고해서 안심할 수 없다는 이야기다.

클라우드 보안 전문 기관인 클라우드 보안연합(CSA)의 ‘클라우드 컴퓨팅에 대한 12가지 주요 위협’에서 공유 기술 취약점으로 인한 보안 문제를 지목했다. CSA는 퍼블릭 클라우드가 공유 기술을 사용하고 있으며, 클라우드 서비스 공급업체(CSP) 자체적으로 가진 취약점으로 인해 이 서비스를 이용하는 기업들이 피해를 입을 수 있다는 점을 지적했다.

‘CIO매거진’의 ‘클라우드와 보안 12가지 가려진 비밀’에서도 같은 문제의식을 공유했다. 클라우드 인스턴스는 하나의 호스트에서 구동되므로 하나의 버그가 발생하면 다른 인스턴스 지속적으로 영향을 미칠 수 있다. 수초의 간격으로 인스턴스가 발생하고 삭제되는 클라우드 환경에서 이 버그를 완벽하게 제거하는 것은 쉽지 않다.

또한 이 기사에서는 클라우드 인스턴스가 발생하는 OS 루트 액세스 권한을 사용자가 제어하지 못한다는 점도 지적한다. OS 취약점을 이용해 침투한 공격자가 인스턴스에 백도어를 몰래 심는다면 인스턴스가 배포되는 모든 서비스에 영향을 미칠 수 있다. 도커 컨테이너 취약점을 이용하는 공격자들은 이런 방법으로 대규모 서비스를 감염시킨다.

“CSP에 의한 보안 사고, 정당한 보상 받을 수 있나”

퍼블릭 클라우드 상에서 발생하는 문제의 책임 소재를 분명히 하기 위해 ‘책임공유모델(Shared Responsibility)’이 적용되고 있으며, CSP와 사용자가 책임져야 하는 부분에 대해서는 정확하게 나누고 있다. 그러나 책임공유모델이 모든 클라우드 사고의 책임 소재를 나누는 기준을 제공하지 못하는 경우가 있다. 클라우드 사용 약관, 계약서 등에 사업자가 어디까지 책임지는지 명시하고 있는데, 명백한 사업자의 잘못이지만 약관이나 계약서에 따라 모든 사고에 대해 책임지지 않는다는 문제가 있다.

▲클라우드 책임 공유모델(자료:CSA)

포네몬인스티튜트 조사에 따르면 상당수의 클라우드 사용자들이 클라우드 공급업체가 데이터 침해 사실을 통보할 것이라고 믿지 않고 있다고 답한 바 있으며, 소하시스템(Soha Systems)은 데이터 침해의 63%가 써드파티 업체를 통해 전개됐다고 분석하면서 공급업체로 인한 데이터 침해를 우려한다고 밝힌 바 있다. 이런 취약점으로 인해 사고가 발생했을 때, 이를 CSP가 투명하게 밝히고 고객의 피해에 정당한 보상을 할 것인지에 대해서는 논란이 분분하다.

CSP, 보안 서비스 다양하게 전개

CSP의 보안책임에 대한 불신의 시각이 존재하는 것은 사실이지만, CSP도 고객의 클라우드를 보호하기 위해 많은 노력을 전개하고 있다. 자사 클라우드 사용 고객에게 디도스 방어, 웹 방화벽, 네트워크 방화벽, 암호화, IAM, DLP, 침입 탐지, 취약점 점검, 보안 모니터링 등의 기능을 무료, 혹은 합리적인 비용으로 제공한다.

더불어 CSP는 자체 개발한 보안 서비스를 더욱 더 적극적으로 고객에게 어필하고 있다. CSP는 자사 서비스를 보호하기 위해 노력해 온 경험을 축적해 전문 보안 서비스를 내놓고 있으며, 글로벌 서비스를 제공하면서 쌓아온 위협 인텔리전스와 대응 역량까지 제공한다. 이들의 서비스는 보안 전문 기업의 기술을 적용하기도 하며, 자체 개발하기도 하면서 여느 보안 기업에 못지않은 높은 수준의 보안성을 보장한다.

CSP의 네이티브 보안 서비스를 이용하면 클라우드를 더 안전하고 민첩하게 운영할 수 있다. 고급 보안 서비스를 적용하고도 속도 저하 없이, 합리적인 비용으로 클라우드를 운영할 수 있다는 장점이 있다. CSP가 보안 서비스 시장 경쟁을 강화하는 것은 고객이 자사에 대한 종속성을 강화하기 위한 것이다. 멀티 클라우드는 운영이 복잡하기 때문에 단일 클라우드에 종속되는 경향이 있는데, 보안 서비스까지 단일 벤더로 통일해 종속성을 더욱 강화한다는 전략이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.