Offcanvas

보안 / 클라우드 / 통신|네트워크

블로그 | '문만 잠그고 창은 열어뒀다' 클라우드와 레거시 보안의 역설

2022.06.23 David Linthicum  |  InfoWorld
"문만 잠그고 창문을 열어뒀다"라는 속담이 있다. 전체적인 보안 수준이 전체 보안의 가장 약한 부분에서 결정된다는 의미다. 이 속담은 IT에도 그대로 적용된다. 예를 들어 레거시 시스템 보안을 클라우드 보안과 비교하면 어떨까? 수많은 조사 결과는 클라우드 보안이 데이터센터 내 전통적인 시스템보다 더 혹은 훨씬 더 우월하다는 것을 일관되게 보여 준다.
 
ⓒ Getty Images Bank

그런데도 많은 기업이 레거시 시스템이 더 안전하다고 믿는다. 단지 이들 시스템이 기업의 자체 데이터센터 내에 있다는 이유다. 하지만 실상은 전혀 그렇지 않다. 지난 10여 년간 퍼블릭 클라우드 기반 보안에 대한 R&D 투자는 전통적인 플랫폼에 대한 투자를 크게 앞섰다. 이런 경향성은 서드파티 업체는 물론 하이퍼스케일 즉, 퍼블릭 클라우드 업체 모두 마찬가지다. 게다가 레거시 보안을 업데이트하고 개선하는 투자조차 일반적으로 클라우드와 관련된 것이었다.

이런 상황에 대해 보안 기술 업체를 비난할 수는 없다. 그들은 매출을 늘리기 위해 신흥 시장에 집중했을 뿐이다. 그러나 이와 같은 클라우드에 대한 집중은 레거시 시스템에 대한 소외라는 '의도하지 않은' 결과로 이어졌다. (기업마다 차이가 있기는 하지만) 오늘날 기업 데이터의 80% 가까이 저장된 레거시 시스템이 위기에 처한 것이다.

결국 기업 IT 보안망의 가장 약한 고리가 이제는 퍼블릭 클라우드를 이용해 기업 데이터에 접속하는 원격 시스템이 아니다. 지난 10년여 동안 관심을 받지 못해 퍼블릭 클라우드보다 더 많은 보안 취약점을 가진 레거시 시스템이다. 레거시 시스템이 해커 공격의 표적이 된 것도 이 때문이다.

문제는 많은 기업이 외부에서 기업 내부로 들어오는 공격을 막는 데 집중하는 동안 연결된 시스템 혹은 내부 시스템을 이용한 공격을 놓치고 있다는 점이다. 대표적인 경우가 클라우드 기반 플랫폼에 연결됐지만 내부 시스템만큼 보안이 강력하지 않은 레거시 플랫폼이다. 그 결과 레거시 시스템은 해커가 클라우드 기반 시스템과 데이터에 간접적으로 접근하는 주요 공격 경로가 됐다. 레거시 시스템을 해킹하는 것이 퍼블릭 클라우드 내 시스템과 데이터에 접근하는 더 쉬운 방법인 셈이다.

사실 이런 상황은 새로운 것이 아니다. 가정용 컴퓨터는 보안이 더 느슨한 스마트 TV를 통해 해킹되곤 했다. 생산 공장의 로봇 같은 사물인터넷(IoT) 기기는 다른 내부 시스템 접속 권한을 탈취하는 경로로 악용됐다. 그렇다면 이런 상황을 개선하기 위해서는 무엇을 해야 할까? 정답은 레거시 시스템 보안을 업그레이드하는 것이겠지만, 클라우드 기반 시스템에 집중된 전체 R&D 투자의 방향을 바꾸는 것은 현실적으로 쉽지 않다.

일단 기존 작업에서 보안 취약점을 최소화하고 보안 소프트웨어와 테스트, 감사 같은 보안 설정을 업데이트하는 것부터 확실히 할 필요가 있다. 그 이후에는 내부 시스템을 어떻게 다룰 것이냐의 문제인데, 필자는 퍼블릭 클라우드에 연결된 모든 시스템에 제로 트러스트(zero-trust) 접근법을 적용할 것을 추천한다. 물론 이렇게 하면 레거시-클라우드 혹은 그 반대로 진행되는 내부 시스템 통신에서 복잡성이라고 하는 매우 값비싼 새로운 계층이 생긴다. 그러나 현재 보안 상황을 고려하면, 이것이 클라우드 데이터(잠긴 문)를 레거시 시스템(잠기지 않은 창문)으로부터 보호하는 유일한 방법이다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.