2017.10.17

칼럼 | 클라우드 보안 ‘헛똑똑이’가 되지 마라

Steven J. Vaughan-Nichols | Computerworld
클라우드 보안에 대해 걱정하는 사람들을 보면, 통제 범위를 벗어나는 명확하지 않은 버그를 겁내는 것이 대부분이다. 하지만 클라우드 보안의 진정한 ‘구멍’은 다른 곳에 있다.



최근 액센추어(Accenture)의 사고 사례를 보자. 수백 기가에 달하는 고객과 기업 데이터를 보안 설정을 하지 않은 AWS S3 클라우드 서버에 올려뒀다. 여기에는 암호와 복호화 키가 들어 있었다. 이 정도 보물상자에 접근하는 데 필요한 것이 무엇이었을까? 서버의 웹 주소뿐이었다. 아이디도, 패스워드도, 아무것도 필요없었다.

보안 업체 업가드(UpGuard)의 사이버 위험 연구소 이사 크리스 비커리에 따르면 이번 사고는 생각보다 심각하다. 액센추어가 노출한 데이터에는 AWS KMS(Key Management System) 마스터키가 들어 있었기 때문이다. 해커 손에 들어가면 액센추어의 모든 암호화된 AWS 데이터를 제어할 수 있는 정보다. 이 정도면 그냥 ‘잘못된 일이었다’라고 할 수 있는 수준이 아니다. 모든 사용자 ID와 암호를 거저 내주는 것이라고 해도 무방하다.

흔치 않은 사례라고 생각하겠지만 그렇지 않다. 놀랍게도 정말 많은 기업이 보안의 기본을 놓치고 있다. 퍼블릭 클라우드 보안 업체 레드록(RedLock)의 설문조사 결과를 보면, 아마존 S3 같은 클라우드 스토리지 서비스를 사용하는 기업의 53%가 1개 혹은 그 이상의 서비스를 무심코 웹에 공개한 적이 있다고 답했다.

더 우려스러운 것은 지난 5월 초 조사에서는 이 응답이 40%였다는 점이다. 잘못된 클라우드 설정의 위험성에 대한 인식이 확산하고 있지만 무심코 노출한다는 응답 비율이 오히려 커지는 것이다. 이런 이해할 수 없는 현실을 어떻게 해석해야 할까? 그동안 배웠던 보안의 ABC를 다 잊은 것일까? 아니면 우리가 서비스와 데이터를 보호하는 방법을 제대로 알지 못했던 것일까?

필자는 후자가 더 정답에 가깝다고 생각한다. 터무니없는 보안 방법론들이 클라우드로 데이터를 저장하거나 인터넷 서비스를 이전할 때 실제로 활용된다. 문제는 클라우드 시대로 이행하면서 이러한 실수를 그 전처럼 자사의 데이터센터 내에 숨길 수 없다는 것이다. 전 세계에 노출되고 당연히 해커도 호시탐탐 노리고 있다.

이퀴팩스(Equifax) 보안 사고도 시사하는 바가 크다. 이 업체의 허술한 보안과 취약한 시스템 관리 개념 덕분(?)에 미국인의 사회보장번호가 이제 개인정보가 아닌 것이 됐다.

이퀴팩스 사태에서 비교적 덜 알려진 것이 있다. 바로 이 데이터가 전혀 암호화되지 않았다는 것이다. 여러분 기업의 클라우드 데이터는 암호화됐는가? 레드록 조사결과를 보면 퍼블릭 클라우드의 데이터베이스 64%가 암호화되지 않았다. 제발, 데이터는 암호화하자. 해커가 탈취한 데이터를 샅샅이 뒤지는 과정에서 그나마 최소한의 안전장치가 될 수 있다.

다시 액센추어로 돌아오자. 우리가 모두가 세계 최고의 전문 서비스 업체라고 믿었던 그 액센추어다. 그러나 이번 사고로 이런 평가가 완전히 환상이었음이 드러났다. 이퀴팩스는 말해 뭐하나. 사상 최악의 보안 사고를 일으킨 업체로 역사에 기록될 것이다. 쟁쟁한 기업들이 이런 상황인데, 여러분의 회사는 어떤가? 문제가 없을까? 정말로?

따라서 이제는 자신을 돌아보고, 기본 보안 수칙을 다시 점검해야 할 때다. 액센추어가 실패한 바로 그 지점이다. 또한, 명심해야 할 것이 있다. AWS, 구글 컴퓨트, 마이크로소프트 애저를 포함한 모든 퍼블릭 클라우드 업체는 우리에게 서비스로서 인프라(IaaS)를 제공할 뿐 서비스로서 보안을 제공하지는 않는다는 사실이다. 결국 데이터 보안은 우리에게 달렸다. 클라우드 업체가 거저 주지 않는다.

* Steven J. Vaughan-Nichols는 CP/M-80이 첨단 PC 운영체제였고 300bps 모뎀이 고속 인터넷 연결 수단이었던 시절부터 기술 분야에 대한 글을 써왔다. ciokr@idg.co.kr 



2017.10.17

칼럼 | 클라우드 보안 ‘헛똑똑이’가 되지 마라

Steven J. Vaughan-Nichols | Computerworld
클라우드 보안에 대해 걱정하는 사람들을 보면, 통제 범위를 벗어나는 명확하지 않은 버그를 겁내는 것이 대부분이다. 하지만 클라우드 보안의 진정한 ‘구멍’은 다른 곳에 있다.



최근 액센추어(Accenture)의 사고 사례를 보자. 수백 기가에 달하는 고객과 기업 데이터를 보안 설정을 하지 않은 AWS S3 클라우드 서버에 올려뒀다. 여기에는 암호와 복호화 키가 들어 있었다. 이 정도 보물상자에 접근하는 데 필요한 것이 무엇이었을까? 서버의 웹 주소뿐이었다. 아이디도, 패스워드도, 아무것도 필요없었다.

보안 업체 업가드(UpGuard)의 사이버 위험 연구소 이사 크리스 비커리에 따르면 이번 사고는 생각보다 심각하다. 액센추어가 노출한 데이터에는 AWS KMS(Key Management System) 마스터키가 들어 있었기 때문이다. 해커 손에 들어가면 액센추어의 모든 암호화된 AWS 데이터를 제어할 수 있는 정보다. 이 정도면 그냥 ‘잘못된 일이었다’라고 할 수 있는 수준이 아니다. 모든 사용자 ID와 암호를 거저 내주는 것이라고 해도 무방하다.

흔치 않은 사례라고 생각하겠지만 그렇지 않다. 놀랍게도 정말 많은 기업이 보안의 기본을 놓치고 있다. 퍼블릭 클라우드 보안 업체 레드록(RedLock)의 설문조사 결과를 보면, 아마존 S3 같은 클라우드 스토리지 서비스를 사용하는 기업의 53%가 1개 혹은 그 이상의 서비스를 무심코 웹에 공개한 적이 있다고 답했다.

더 우려스러운 것은 지난 5월 초 조사에서는 이 응답이 40%였다는 점이다. 잘못된 클라우드 설정의 위험성에 대한 인식이 확산하고 있지만 무심코 노출한다는 응답 비율이 오히려 커지는 것이다. 이런 이해할 수 없는 현실을 어떻게 해석해야 할까? 그동안 배웠던 보안의 ABC를 다 잊은 것일까? 아니면 우리가 서비스와 데이터를 보호하는 방법을 제대로 알지 못했던 것일까?

필자는 후자가 더 정답에 가깝다고 생각한다. 터무니없는 보안 방법론들이 클라우드로 데이터를 저장하거나 인터넷 서비스를 이전할 때 실제로 활용된다. 문제는 클라우드 시대로 이행하면서 이러한 실수를 그 전처럼 자사의 데이터센터 내에 숨길 수 없다는 것이다. 전 세계에 노출되고 당연히 해커도 호시탐탐 노리고 있다.

이퀴팩스(Equifax) 보안 사고도 시사하는 바가 크다. 이 업체의 허술한 보안과 취약한 시스템 관리 개념 덕분(?)에 미국인의 사회보장번호가 이제 개인정보가 아닌 것이 됐다.

이퀴팩스 사태에서 비교적 덜 알려진 것이 있다. 바로 이 데이터가 전혀 암호화되지 않았다는 것이다. 여러분 기업의 클라우드 데이터는 암호화됐는가? 레드록 조사결과를 보면 퍼블릭 클라우드의 데이터베이스 64%가 암호화되지 않았다. 제발, 데이터는 암호화하자. 해커가 탈취한 데이터를 샅샅이 뒤지는 과정에서 그나마 최소한의 안전장치가 될 수 있다.

다시 액센추어로 돌아오자. 우리가 모두가 세계 최고의 전문 서비스 업체라고 믿었던 그 액센추어다. 그러나 이번 사고로 이런 평가가 완전히 환상이었음이 드러났다. 이퀴팩스는 말해 뭐하나. 사상 최악의 보안 사고를 일으킨 업체로 역사에 기록될 것이다. 쟁쟁한 기업들이 이런 상황인데, 여러분의 회사는 어떤가? 문제가 없을까? 정말로?

따라서 이제는 자신을 돌아보고, 기본 보안 수칙을 다시 점검해야 할 때다. 액센추어가 실패한 바로 그 지점이다. 또한, 명심해야 할 것이 있다. AWS, 구글 컴퓨트, 마이크로소프트 애저를 포함한 모든 퍼블릭 클라우드 업체는 우리에게 서비스로서 인프라(IaaS)를 제공할 뿐 서비스로서 보안을 제공하지는 않는다는 사실이다. 결국 데이터 보안은 우리에게 달렸다. 클라우드 업체가 거저 주지 않는다.

* Steven J. Vaughan-Nichols는 CP/M-80이 첨단 PC 운영체제였고 300bps 모뎀이 고속 인터넷 연결 수단이었던 시절부터 기술 분야에 대한 글을 써왔다. ciokr@idg.co.kr 

X