2020.03.03

잇단 보안 침해 사건으로 주목 '클라우드 보안 형상 관리'

Clint Boulton | CIO
최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다. 

과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다. 
 
ⓒGetty Images Bank

고객의 오류 구성이 문제 
대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다. 

맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다. 

랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다. 

일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 했다. 

클라우드 보안 태세를 점검하라  
IaaS, PaaS 등 클라우드 플랫폼의 자동화 및 이용자 자가-서비스 수준이 높아지면서 정확한 클라우드 구성 및 컴플라이언스가 지극히 중요해졌다고 가트너의 맥도널드는 지적했다. 

가트너는 위험을 방지하기 위해 CSPM에 투자하라고 권고한다. CSPM은 SaaS의 보안, 컴플라이언스, 거버넌스 정책을 강화하기 위해 구축된 클라우드 접속 보안 중계서비스 (Cloud Access Security Broker, CASB)의 연장이다. 현재 팔로알토 네트웍스, 디비 클라우드(Divvy Cloud), 맥아피 등이 CSPM 패키지를 제공한다. 

랜드 오레이크의 테일러는 CASB 및 CSPM 소프트웨어를 이용해 수천 개의 계정이 누구에게 제공되는지, 각 이용자가 어떤 권한을 가졌는지, 누가 어떤 데이터를 누구와 공유하는지 파악한다. 맥아피의 MVISION 클라우드 소프트웨어는 포트 및 데이터베이스, 그리고 암호화되지 않은 기술 서비스에서의 오류 구성을 파악하고, 연방 및 주 법률을 기준으로 정책에 어긋나는 시스템을 조사한다. 또한 소프트웨어는 수상한 접근 등 비정상 거동을 보안 직원에게 자동으로 경고한다. 

이 보호 기능은 미국 캘리포니아 소비자 개인정보 보호법(CCPA) 같은 주 프라이버시 법률, 유럽연합(EU)의 개인정보보호규정(GDPR) 등에 준해 개인 정보를 보호해야 하는 기업에게 지극히 중요하다. 테일러는 “MVISION을 사용하기 전에는 우리의 보안 태세를 파악하기가 쉽지 않았다”라고 말했다. 

사이드 윈도우  
클라우드 환경에서 보안은 어려운 과제다. 방화벽과 여타 경계 보호가 배치된 온-프레미스 기술과 다르게, 클라우드는 여러 고객의 데이터가 동일 컴퓨터에 상주하는 경우가 흔하고, 이는 클라우드 멀티-텐넌시 아키텍처로 인한 것이다. 맥아피의 클라우드 수석 부사장이자, CASB 스타트업 스카이하이 네트웤스(Skyhigh Networks)의 설립자인 라지브 굽타는 고객의 클라우드 환경 구성도 저마다 다르다고 지적했다.  

굽타는 다양한 구성으로 인해 취약점도 기하급수적으로 늘어나 해커가 침입해 데이터를 훔쳐갈 수 있다고 밝혔다. 굽타는 2017년 스카이하이를 맥아피에 매각했다. 분명히, 이 취약점은 온-프레미스 인프라에서도 마찬가지이긴 하지만, 오류 구성의 대부분이 숨겨진 채로 남아있다. 굽타는 “클라우드 서비스는 그러한 안전망이 존재하지 않는다”라고 말했다. 

게다가, 개발자는 신규 서버를 가동할 때 무심코 취약점을 생성할 수 있다. 시간이 지나면서 새 포트를 열고 격상된 권한이 축적된다. 굽타에 따르면, 이러한 구성 변화는 보안 태세를 약화시킨다. API를 통해 비즈니스 인텔리전스 툴 같은 써드-파티 앱을 클라우드 서비스에 연결하면 문제가 한층 복잡해진다. 회사에 알려지지 않은 써드-파티 서비스가 모든 데이터를 복제해간다. 너무나 빈번하게, 기업은 침해 사건이 발생할 때까지 스스로 만든 이러한 ‘사이드 윈도우’의 존재를 알지 못한다. 

굽타는 “클라우드 네이티브 컴포넌트 사이의 복잡성과 사이드 윈도우가 너무 많은 것이 심각한 문제다. 일단 침투하면 횡적 이동 공격이 가능하다”라고 말했다. 

CIO의 클라우드 보안 책임  
CIO들은 <CIO닷컴>에게 이러한 점을 인정하고, 아울러 AWS-캐피탈원 사건은 하나의 경종이 되었다고 이야기했다. 

뉴저지 트랜짓(New Jersey Transit)의 CIO인 룩먼 페이절은 신생 기술이 으레 그렇듯이, 클라우드는 CIO에게 위험이기도 하고 기회이기도 하다고 말했다. AWS 클라우드를 이용하는 페이절은 “이는 오래된 담론이다”라고 밝혔다. 

페이절은 클라우드로 이동하면서 AWS의 99.99%의 유효 가동 시간, 회사 데이터센터의 사건 보안 대응 속도 등을 조사했다. 페이절은 “유효 가동 시간 및 보안의 KPI에서 AWS가 회사 데이터센터보다 월등했다”라고 전했다. 

나아가 AWS는 정전 시 보조 데이터센터로의 시스템 이동 비용에 필적하는 재난 복구를 뉴저지 트랜짓에 보장한다. 클라우드 마이그레이션은 매우 저렴하기도 했다. 자체 데이터센터를 운영하면서 인력 및 기술 리소스에 소비하는 800만 달러의 1/4인 200만 달러에 불과했고, 따라서 의문의 여지가 없었다. 

84 럼버 CIO인 폴 예터는 적정 클라우드 사업자를 선택하는 것 역시 결정적이라고 말했다. IT 리더는 고객으로서 적절한 점검 포인트와 감사 프로토콜이 구비되어 있는지 확인해야 한다. 

예터는 클라우드 사업자에 대해 “이들이 하는 모든 것이 정확하다고 단정할 수 없다”면서 “클라우드 사업자를 사내 IT 조직의 일부로 생각해야 한다. 따라서 CIO는 과거와 동일한 수준의 보안 책임을 진다”라고 지적했다. 
 
클라우드 서비스를 보호하는 비결 
IT 리더들은 클라우드에서 보안을 보장하는 비결을 제시했다. 

프런트엔드 보안이 가장 중요. 랜드 오레이크스의 테일러는 개발자가 클라우드 서비스를 가동하기에 앞서 고객이 정책과 절차를 미리 구현해 놓는 것이 매우 중요하다고 강조했다. IT 리더는 회사 환경의 전면에 있는 취약점을 일일이 교정해야 한다. 즉, 데이터가 인터넷에 노출되어서는 안 된다는 것이다. 그리고 데브옵스 모델을 견실하게 구축해야 한다고 테일러는 덧붙였다. 

클라우드의 경제성. 예터는 클라우드 사업자에게 침투 테스트와 추적을 실증하도록 요구하고, 방화벽, 센서, 여타 네트워크 접속 사이의 트래픽을 모니터하는 툴에 관해 문의하라고 말했다. 아울러 고객을 보호할 수 있는 적절한 데이터 유지 정책이 있는지 확인해야 한다.  

모두의 책임. 보안은 ‘책임 공유’의 맥락에서 이행되어야 한다. 굽타는 외부 침입자나 불순한 직원으로부터 데이터를 보호하는 데 있어서 회사나 클라우드 사업자가 각각 책임을 부담해야 한다고 강조했다. 그는 “사람들은 책임을 부담한다는 것이 무슨 의미인지 이해해야 한다”라고 전했다. ciokr@idg.co.kr



2020.03.03

잇단 보안 침해 사건으로 주목 '클라우드 보안 형상 관리'

Clint Boulton | CIO
최근 캐피탈원에서 발생한 보안 침해 사건으로 새로운 보안 소프트웨어에 대한 관심이 높아지고 있다. 이 새로운 기술은 클라우드 보안 형상 관리(Cloud Security Posture Management, CSPM)라고 알려져 있고, 클라우드 환경을 상세히 조사하고, 대부분 인간 오류에서 기인하는 구성 문제 및 컴플라이언스 위험을 인간에게 경고한다. 

과거 아마존웹서비스(AWS)에서 일했던 직원이 캐피탈원의 웹 애플리케이션 방화벽(WAF)의 구성 오류를 악용해 데이터를 탈취하여 기트허브에 저장한 사건이 있었다. 캐피탈원은 AWS에서 호스팅 되는 업무를 목적으로 WAF를 이용 중이었다. 2018년에는 월마트의 한 협력사와 고대디(GoDaddy)가 AWS스토리지 인스턴스를 인터넷에서 접근할 수 있도록 방치하며 위험에 노출된 적이 있다. 
 
ⓒGetty Images Bank

고객의 오류 구성이 문제 
대다수 CIO는 데이터가 클라우드에서 더 안전하다고 말한다. 그러나 인간 오류는 아무리 견고한 컴퓨터 네트워크라도 공격에 취약하게 만든다. 가트너의 애널리스트인 닐 맥도널드에 따르면 취약점은 부분적으로 다양한 허가 및 액세스 포인트 때문이다. 가트너는 2025년 실제 99%의 클라우드 보안 실패가 고객의 실수로 발생할 것으로 예측했다. 

맥도널드는 “기업이 가장 우려하는 문제는 이들을 위험에 노출시키는 오류 구성이나 실수”라고 지적했다. 

랜드 오레이크스(Land O’Lakes)의 CISO인 토니 테일러는 데브옵스 개발자가 마감 시한에 쫓겨 서둘러 새 가상 머신을 가동하다가 무심코 네트워크를 위험에 노출시킨다고 예를 들어 설명했다. 

일반적으로, 오류 구성 실수는 클라우드 스토리지 폴더와 데이터 전송 프로토콜을 노출시켜 인터넷에서 접근할 수 있도록 만든다. 아울러 이용자 계정에 과도한 접근 권한을 주는 것도 문제다. 과거에는, 직원이 수작업으로 이러한 허점을 검사했고, 심지어 취약점을 검출하기 위해 자동화된 스크립트를 작성하기도 했다. 

클라우드 보안 태세를 점검하라  
IaaS, PaaS 등 클라우드 플랫폼의 자동화 및 이용자 자가-서비스 수준이 높아지면서 정확한 클라우드 구성 및 컴플라이언스가 지극히 중요해졌다고 가트너의 맥도널드는 지적했다. 

가트너는 위험을 방지하기 위해 CSPM에 투자하라고 권고한다. CSPM은 SaaS의 보안, 컴플라이언스, 거버넌스 정책을 강화하기 위해 구축된 클라우드 접속 보안 중계서비스 (Cloud Access Security Broker, CASB)의 연장이다. 현재 팔로알토 네트웍스, 디비 클라우드(Divvy Cloud), 맥아피 등이 CSPM 패키지를 제공한다. 

랜드 오레이크의 테일러는 CASB 및 CSPM 소프트웨어를 이용해 수천 개의 계정이 누구에게 제공되는지, 각 이용자가 어떤 권한을 가졌는지, 누가 어떤 데이터를 누구와 공유하는지 파악한다. 맥아피의 MVISION 클라우드 소프트웨어는 포트 및 데이터베이스, 그리고 암호화되지 않은 기술 서비스에서의 오류 구성을 파악하고, 연방 및 주 법률을 기준으로 정책에 어긋나는 시스템을 조사한다. 또한 소프트웨어는 수상한 접근 등 비정상 거동을 보안 직원에게 자동으로 경고한다. 

이 보호 기능은 미국 캘리포니아 소비자 개인정보 보호법(CCPA) 같은 주 프라이버시 법률, 유럽연합(EU)의 개인정보보호규정(GDPR) 등에 준해 개인 정보를 보호해야 하는 기업에게 지극히 중요하다. 테일러는 “MVISION을 사용하기 전에는 우리의 보안 태세를 파악하기가 쉽지 않았다”라고 말했다. 

사이드 윈도우  
클라우드 환경에서 보안은 어려운 과제다. 방화벽과 여타 경계 보호가 배치된 온-프레미스 기술과 다르게, 클라우드는 여러 고객의 데이터가 동일 컴퓨터에 상주하는 경우가 흔하고, 이는 클라우드 멀티-텐넌시 아키텍처로 인한 것이다. 맥아피의 클라우드 수석 부사장이자, CASB 스타트업 스카이하이 네트웤스(Skyhigh Networks)의 설립자인 라지브 굽타는 고객의 클라우드 환경 구성도 저마다 다르다고 지적했다.  

굽타는 다양한 구성으로 인해 취약점도 기하급수적으로 늘어나 해커가 침입해 데이터를 훔쳐갈 수 있다고 밝혔다. 굽타는 2017년 스카이하이를 맥아피에 매각했다. 분명히, 이 취약점은 온-프레미스 인프라에서도 마찬가지이긴 하지만, 오류 구성의 대부분이 숨겨진 채로 남아있다. 굽타는 “클라우드 서비스는 그러한 안전망이 존재하지 않는다”라고 말했다. 

게다가, 개발자는 신규 서버를 가동할 때 무심코 취약점을 생성할 수 있다. 시간이 지나면서 새 포트를 열고 격상된 권한이 축적된다. 굽타에 따르면, 이러한 구성 변화는 보안 태세를 약화시킨다. API를 통해 비즈니스 인텔리전스 툴 같은 써드-파티 앱을 클라우드 서비스에 연결하면 문제가 한층 복잡해진다. 회사에 알려지지 않은 써드-파티 서비스가 모든 데이터를 복제해간다. 너무나 빈번하게, 기업은 침해 사건이 발생할 때까지 스스로 만든 이러한 ‘사이드 윈도우’의 존재를 알지 못한다. 

굽타는 “클라우드 네이티브 컴포넌트 사이의 복잡성과 사이드 윈도우가 너무 많은 것이 심각한 문제다. 일단 침투하면 횡적 이동 공격이 가능하다”라고 말했다. 

CIO의 클라우드 보안 책임  
CIO들은 <CIO닷컴>에게 이러한 점을 인정하고, 아울러 AWS-캐피탈원 사건은 하나의 경종이 되었다고 이야기했다. 

뉴저지 트랜짓(New Jersey Transit)의 CIO인 룩먼 페이절은 신생 기술이 으레 그렇듯이, 클라우드는 CIO에게 위험이기도 하고 기회이기도 하다고 말했다. AWS 클라우드를 이용하는 페이절은 “이는 오래된 담론이다”라고 밝혔다. 

페이절은 클라우드로 이동하면서 AWS의 99.99%의 유효 가동 시간, 회사 데이터센터의 사건 보안 대응 속도 등을 조사했다. 페이절은 “유효 가동 시간 및 보안의 KPI에서 AWS가 회사 데이터센터보다 월등했다”라고 전했다. 

나아가 AWS는 정전 시 보조 데이터센터로의 시스템 이동 비용에 필적하는 재난 복구를 뉴저지 트랜짓에 보장한다. 클라우드 마이그레이션은 매우 저렴하기도 했다. 자체 데이터센터를 운영하면서 인력 및 기술 리소스에 소비하는 800만 달러의 1/4인 200만 달러에 불과했고, 따라서 의문의 여지가 없었다. 

84 럼버 CIO인 폴 예터는 적정 클라우드 사업자를 선택하는 것 역시 결정적이라고 말했다. IT 리더는 고객으로서 적절한 점검 포인트와 감사 프로토콜이 구비되어 있는지 확인해야 한다. 

예터는 클라우드 사업자에 대해 “이들이 하는 모든 것이 정확하다고 단정할 수 없다”면서 “클라우드 사업자를 사내 IT 조직의 일부로 생각해야 한다. 따라서 CIO는 과거와 동일한 수준의 보안 책임을 진다”라고 지적했다. 
 
클라우드 서비스를 보호하는 비결 
IT 리더들은 클라우드에서 보안을 보장하는 비결을 제시했다. 

프런트엔드 보안이 가장 중요. 랜드 오레이크스의 테일러는 개발자가 클라우드 서비스를 가동하기에 앞서 고객이 정책과 절차를 미리 구현해 놓는 것이 매우 중요하다고 강조했다. IT 리더는 회사 환경의 전면에 있는 취약점을 일일이 교정해야 한다. 즉, 데이터가 인터넷에 노출되어서는 안 된다는 것이다. 그리고 데브옵스 모델을 견실하게 구축해야 한다고 테일러는 덧붙였다. 

클라우드의 경제성. 예터는 클라우드 사업자에게 침투 테스트와 추적을 실증하도록 요구하고, 방화벽, 센서, 여타 네트워크 접속 사이의 트래픽을 모니터하는 툴에 관해 문의하라고 말했다. 아울러 고객을 보호할 수 있는 적절한 데이터 유지 정책이 있는지 확인해야 한다.  

모두의 책임. 보안은 ‘책임 공유’의 맥락에서 이행되어야 한다. 굽타는 외부 침입자나 불순한 직원으로부터 데이터를 보호하는 데 있어서 회사나 클라우드 사업자가 각각 책임을 부담해야 한다고 강조했다. 그는 “사람들은 책임을 부담한다는 것이 무슨 의미인지 이해해야 한다”라고 전했다. ciokr@idg.co.kr

X