보안 전문가들이 본 2017년 클라우드, '데이터의 피난처 될까'

CSO
보안에 대한 우려가 퍼블릭 클라우드 도입의 가장 큰 걸림돌이었던 때가 있었다. 그러나 2017년부터는 더 이상 아니다.

에비던트 아이오(Evident.io) CEO 팀 프렌더개스트에 따르면, 퍼블릭 클라우드의 보안이 견고하다는 인식이 점차 확산되면서 기업의 주요 관심사도 보안에서 컴플라이언스로 옮겨가고 있다. 클라우드로 전환하는 기업들은 안전하게, 규정에 맞는 방식으로 업무를 처리하고 있음을 입증할 수 있어야 하기 때문이다.

프렌더개스트는 "PCI, HIPAA, NIST-800 53 또는 내부 컴플라이언스 표준 등 조직은 클라우드에서 일어나는 빠른 변화 속에서도 컴플라이언스를 유지할 수 있음을 입증해야 한다"면서, "이를 위해서는 손쉽게 측정하고 보고할 수 있게 해주는 보안 및 컴플라이언스 자동화 솔루션을 도입해야 한다"고 말했다.

프로텍트와이즈(ProtectWise) CEO이자 공동 창업자인 스콧 체이신은 클라우드 덕분에 보안은 유틸리티가 될 것이라며 "2017년에는 더 많은 기업 보안 조직이 클라우드를 사용해 가시성을 높이고 지속적인 분석 처리를 하게 될 것"이라고 말했다.

체이신은 레거시 어플라이언스 시스템이 민첩한 분산 모델로 대체됨에 따라 클라우드를 통한 기업 보안 기능 제공은 궁극적으로 보안 인프라의 비용과 복잡성을 낮추게 될 것이라고 말했다. 체이신은 "보안은 안전을 전제할 수 있는 기본적인 유틸리티로 취급해야 한다는 요구가 확산되고 있다. 스토리지 옵션, 확장성, 배포의 용이함과 같은 장점을 갖춘 클라우드는 이를 실현하기 위한 열쇠"라고 말했다.

블루록(Bluelock) CTO 팻 오데이는 하드웨어 갱신 시점이 되면 더 많은 기업들이 새로운 하드웨어보다는 클라우드를 선택할 것으로 예견했다.

오데이는 "하드웨어 분야는 가상화로 인해 많은 변화가 일어나고 있다. 기업들은 5년마다 새로운 하드웨어로 IT 시스템을 갱신하는 데 점차 지치고 있다. 사람들은 더 모바일화되기를 원하고 클라우드는 그러한 환경으로 가는 길이다. 또한 빠른 기술 혁신이 경쟁을 더 심화시켰다(예를 들어 인공 지능의 부상)"고 말했다.

이런 이유로 점점 더 많은 기업이 즉각적인 가치 창출 시간을 활용하고 지속적으로 최신 기술을 확보할 수 있게 해주는 모델을 도입하고 있다. 클라우드를 통해 이제는 중소 기업도 IT 전선에서 경쟁할 수 있게 됐다.

공격의 대상이 될 IaaS
워치가드(Watchguard) CTO 코리 나크라이너는 "공격자들이 서비스 형태의 인프라(IaaS)를 공격 플랫폼과 공격 표면, 두 가지 모두로 이용할 것"이라고 경고했다.

오피스 365, 세일즈포스, 드롭박스와 같은 서비스 형태의 소프트웨어(SaaS)든 아마존 AWS, 마이크로소프트 애저와 같은 퍼블릭 서비스 형태의 인프라(IaaS) 플랫폼이든 모든 규모의 기업들이 지난 5년 동안 클라우드 서비스를 도입해왔다.

특히 퍼블릭 IaaS는 중소 기업들 사이에서도 빠르게 성장하고 있다. 라이트스케일(RightScale)의 2016 클라우드 현황 보고서에 따르면, 중소기업의 71%가 AWS 또는 애저에서 하나 이상의 애플리케이션을 운용하고 있다. 그러나 나크라이너는 "이런 플랫폼을 도입하는 기업이 많아질수록 클라우드는 사이버범죄자들의 더 큰 목표물이 된다"고 말했다.

나크라이너는 "과거 공격자는 퍼블릭 클라우드 서비스에서 실행되는 서버를 감염시켰지만 최근에는 이런 견고한 가상화 플랫폼을 활용해 공격 인프라를 구축하고 있다. 2017년에는 공격자들이 퍼블릭 IaaS를 잠재적 공격 표면으로, 그리고 악성코드를 설치하고 네트워크를 공격하기 위한 강력한 플랫폼으로 활용하는 경우가 모두 증가할 것으로 보인다. 퍼블릭 IaaS 서비스를 목표로 하거나 이런 서비스에서 실행된 대대적인 사이버 공격이 하나 이상 발생할 것"이라고 말했다.

빅판다(BigPanda)의 보안 직원들은 이런 예상에 동의하지 않는다. 빅판다 측은 "고객은 AWS, 애저, 구글과 같은 클라우드 제공업체의 보안에 대한 걱정을 접을 필요가 있다. 이러한 퍼블릭 클라우드 제공업체들의 보안은 대부분 기업의 내부 애플리케이션보다 더 견고하다"고 주장했다.

시트릭스 CSO 스탠 블랙은 클라우드 제공업체에 대한 종속성이 기업에게 문제로 돌아오게 될 가능성을 언급하며 "최근 딘(Dyn)이 받은 공격은 앞으로 벌어질 일에 대한 작은 예시에 불과하다. 주요 클라우드 데이터와 액세스 관리가 공격받는 경우가 앞으로 증가할 것으로 전망된다"고 말했다.

클라우드 전환시 기업들이 확인해야 할 것
기업은 클라우드 제공업체 계약을 면밀하게 검토해 데이터 라이프사이클 전반에 걸쳐 데이터 및 액세스 관리를 위한 프로세스가 있는지 확인해야 한다.

예를 들어 제공업체 또는 다른 계약 업체와의 비즈니스가 완료되면 데이터 또는 데이터에 대한 계약 업체의 액세스 권한은 어떻게 처리되는가? 블랙은 "액세스를 어떻게 관리하는가? 데이터를 어떻게 제공하고 어떻게 저장하는가?와 같은 질문을 던져야 한다"고 말했다.

에퀴닉스(Equinix) CIO 밀린드 와글은 "멀티 클라우드 수요로 인해 정보보안 담당자들이 바빠질 것"이라면서 "2017년은 기존 기업 데이터센터가 구내, 코로케이션, 클라우드 기반 환경의 다양한 조합으로 성숙해지는 시기가 될 것"이라고 말했다.

게다가 글로벌 고객과 직원을 지원하기 위한 지리적으로 분산된 인프라에 대한 수요가 증가하면서 상황은 더욱 복잡해진다. 이런 추세에 대처하기 위해 CIO와 CSO는 올바른 멀티 클라우드 아키텍처를 구축해야 할 뿐만 아니라 이 아키텍처를 지속적으로 분산시키고 다듬고 서비스하고 보호해야 한다.

와글은 "최선의 클라우드 및 고객 경험을 향해 가는 유일한 길은 여러 클라우드 서비스에 연결하는 적절한 상호 연결 전략"이라고 주장했다. 

아피리오(Appirio)의 공동 창업자이자 글로벌 서비스 부사장 겸 CISO인 글렌 와인스타인은 2017년에는 위험 완화 전략으로서의 클라우드 마이그레이션이 증가할 것으로 전망했다. 기업 네트워크 경계 방어에 계속 투자하는 것보다 아마존, 구글과 같은 주요 클라우드 제공업체에 강력한 보안을 위임하는 것이 더 안전하고 확장성도 높은 방법으로 인식될 것이다.

엔사일로(enSilo) 공동 창업자 로이 캣모어는 기업 네트워크 보안이 클라우드로 이전될 것으로 예상했다. 기업들은 기업 트래픽을 리다이렉팅하고 클라우드 기반 네트워크 보안 서비스를 통해 보안 정책을 적용 및 관리하도록 함으로써 분산 네트워크 보안을 통합해야 할 부담을 덜게 된다.

클라우드로 전환된 여타 서비스가 고객 비용을 낮춘 것과 마찬가지로 서비스 형태의 네트워크 보안은 여러 물리적 방화벽을 구매하고 유지하는 데 따르는 오버헤드 비용을 낮춰줄 것이다.

백업 솔루션
아피리오의 와인스타인은 CISO가 데스크톱 및 노트북에서 발생하는 보안 위험을 최소화하기 위해 저장 장치로서 데스크톱과 노트북에 대한 사용자의 의존도를 낮추게 될 것이라고 말했다.

사용자가 하드 드라이브가 아닌 클라우드에 손쉽게 데이터를 저장할 수 있도록 하는 워크플로우가 설계될 것이다. 사용자 쓰기가 가능한 하드 드라이브 부분을 사용자 세션 간에 지워지는 단기적 스토리지로 취급하는 크롬북의 사례를 따르는 노트북 개발업체가 증가할 것이다.

제르토(Zerto) 대표 폴 자이터는 백업과 재해 복구(DR)가 통합될 것으로 예상하면서 "고객은 DR 솔루션에서 장기 아카이빙 기능을 얻을 수 있게 될 것이고, 그렇게 되면 일부 백업 솔루션의 기능이 중복된다. 예를 들어 많은 DR 솔루션에는 특정 지점 복구 등 백업과 유사한 기능이 있다. 이런 기능은 전통적인 백업 옵션보다 더 세부적이므로 몇 시간이 아닌 몇 초 단위의 복구가 가능하다. 최대 30일 동안 공격 몇 초 전 상태로 데이터를 복구할 수 있다면 12시간 또는 그보다 더 이전의 백업을 사용할 이유는 없지 않겠는가"라고 말했다.

또한 자이토는 "악의적인 위협, 우발적인 위협, 자연 재해로 인한 위협 등 위협은 증가하고 있으며, 데이터 보호는 비즈니스 연속성을 위해 절대적으로 필요한 요소다. 2017년에는 SLA의 증가와 함께 DR 솔루션이 그 기능을 계속 확장해 백업 영역까지 잠식할 것으로 본다"고 말했다.

그 외의 예측
- 아피리오 CEO 와인스타인의 예상: 이중 요소 인증(2FA)이 클라우드 앱의 필수 기능이 된다. 개발업체는 옥타(Okta), ADFS와 같은 주요 클라우드 ID 제공업체에 네이티브 이중요소 인증 기능과 SAML 지원 통합을 제공해야 할 것이다.

클라우드 앱 제공업체는 관리자가 서드 파티 도구를 통해 사용자 활동을 가로챌 수 있도록 강제하는 기능 대신, 보안 담당자가 소스에서 사용자 활동을 모니터링하고 통제하는 데 도움이 되는 네이티브 로깅 및 감사 기능을 더 많이 구현할 것이다.

- 트위스트록(Twistlock)의 CEO이자 공동 창업자 벤 번스타인의 예상: 클라우드 네이티브 시스템이 제로 트러스트(zero trust) 네트워크를 유도한다. 더 많은 클라우드 네이티브 애플리케이션과 시스템이 나올수록 경계 기반 보안 보호는 끔찍한 일이 될 것이다.

또한 보호 기능이 클라우드 네이티브 형태로 데이터 및 애플리케이션과 함께 이동하는 제로 트러스트 보안 모델이 더 부상할 것이다. editor@itworld.co.kr