BLOG

[키워드로 읽는 클라우드 #보안] 클라우드 납량 특집: 아무것도 믿지 마세요…
작성일: 2022-06-29

클라우드 납량 특집: 아무것도 믿지 마세요…

 

 

 

코로나19 이후 IT 업계에 덮친 ‘사이버 범죄’의 공포를 기억하시나요? 역사상 최악의 보안 취약점으로 불리는 log4j 위협을 필두로 랜섬웨어 공격, 가상 자산을 노리는 블록체인 해킹까지 각종 사이버 범죄가 나날이 증가하고 있습니다.

 

실제로 Cyber Security Ventures의 보고에 따르면 2021년 한 해 동안 랜섬웨어 공격으로 인한 전 세계 기업 손실이 무려 200억 달러가 넘었다고 합니다.

문가들은 우크라이나 전쟁으로 인한 지정학적 위험과 더불어 팬데믹 이후 재택 근무가 보편화된 상황과 멀티 클라우드의 부상에 따른 클라우드 환경의 복잡성 증가 등을 그 이유로 꼽고 있습니다.

 

 

충격 실화, 방심하면 털린다 🙀

 

 

 

최근 국내에서는 스타트업을 대상으로 한 고객 정보 유출 사고가 연달아 일어났습니다. 유명한 스타트업 기업인 ‘밀리의 서재’와 ‘발란’ 등이 그 타깃이 되었는데요, 사이버 범죄에 대응할 적절한 보안 솔루션을 갖추지 못한 스타트업을 노린 것입니다. 실제로 과학기술정보통신부와 한국인터넷진흥원이 작년 연말 발표한 자료에 따르면 2021년 한 해 동안 랜섬웨어 피해를 본 국내 기업의 93%가 이처럼 사이버 보안에 취약한 중소기업이었다고 합니다. 

 

이뿐만이 아닙니다. 가상자산 거래량의 증가로 이를 노리는 Defi(탈중앙화금융) 서비스 해킹 또한 크게 증가하고 있습니다. 데이터 플랫폼 기업 체이널리시스는2022 가상자산 범죄 보고서’에서 2021년에 발생한 가상자산 범죄 피해액이 역대 최고치인 140억 달러를 넘었다고 밝혔습니다. 지난 2월에는 국내 최대 DeFi 서비스인 ‘클레이스왑’이 총 22억원 규모의 암호화폐를 탈취당해 큰 충격을 주기도 했습니다.

 

작년 연말 세계를 강타한 Log4j도 언급하지 않을 수가 없죠. Log4j는 JAVA 기반의 프로그램을 개발할 때 로깅 기능을 지원하는 Apache 재단의 무료 오픈소스 프로그램입니다. JAVA를 기반으로 하는 전 세계 대부분의 서버와 응용프로그램에서 사용하고 있기 때문에 그 파장이 더욱 컸는데요, 이 Log4j 취약점은 작년 12월 마인크래프트에서 처음 발견되었습니다. Log4j 공격 문구가 포함되어 있는 모든 웹이 공격 대상이 될 수 있을 뿐만 아니라 심지어는 JAVA 프로그램을 이용하지 않더라도 미들웨어에서 JAVA와 Log4j를 사용하는 경우까지 공격 대상에 포함될 수 있기 때문에 ‘역사상 최악의 보안 취약점’이라는 오명을 얻었습니다.

 

 

사이버 위협에 오히려 웃는다?

 

 

그러나 반대로 사이버 범죄의 급증과 함께 폭풍성장을 하고 있는 업계가 있습니다. 바로 ‘사이버 보안 시장’인데요, 위와 같이 빈번하게 발생하는 보안 위협 사례들로 인해 많은 기업들이 보안 강화에 더욱 몰두하게 된 덕분입니다.

 

글로벌 시장조사 업체 리서치앤마켓츠 역시 전 세계 클라우드 보안 시장은 2021년 340억 달러에서 2026년 676억 달러에 이를 것이라는 전망을 제시하였습니다.

 

AWS, Microsoft, Google 등 빅테크 기업은 사이버 보안 시장의 주도권을 확보하기 위해 자본력을 바탕으로 공격적인 인수합병을 단행하고 있습니다. 특히 Google은 지난 3월 미국의 사이버 보안업체인 맨디언트를 약 7조에 인수한다고 발표하여 세간의 주목을 받기도 했죠. Microsoft 역시 지난해 Azure Cloud의 보안을 강화하고자 멀티 클라우드 권한을 관리하는 플랫폼인‘CloudKnox Security’를 인수했으며, 이외에도 사이버 보안 업체 RiskIQ, IoT 보안 스타트업인 ‘CyberX’와 ‘Refirm Labs’를 인수하였습니다. AWS도 작년 6월 메시지 암호화 서비스 업체인 Wickr를 인수하며 본격적으로 보안 통신 서비스에 뛰어들었다고 해요.

 

국내에서는 SK쉴더스, 시큐아이, 안랩 등의 사이버 보안 기업이 클라우드 보안 투자에 앞장서고 있는 형국입니다.

 

 

아무것도 믿지 마세요, Zero Trust!

 

 

이처럼 사이버 보안에 대한 관심이 증가하면서 보안의 패러다임도 변화하고 있습니다. 여러분은 제로 트러스트(Zero Trust)라는 말을 들어보셨나요?

 

말 그대로 ‘아무것도 믿지 말라’는 뜻인데요, 제로 트러스트 모델하에서는 네트워크 경계와 상관없이 처음부터 아무것도 신뢰하지 않기 때문에 사용자가 네트워크나 데이터에 접근을 요청할 때마다 유효성을 새로 입증해야 합니다. 뿐만 아니라 IT 시스템에 접근한 이후에도 각각의 권한이 제한되어 있어 이를 사용하기 위해서는 시스템마다 별도의 인증이 필요합니다.

 

이는 2010년 포레스터 리서치(Forrester Research) 보안위협팀의 존 킨더백(John Kindervag) 수석 애널리스트가 처음 제안했다고 알려져 있는데요, 클라우드 및 보안 시장의 성장과 함께 다시금 재조명되고 있습니다.

 

점점 더 많은 기업과 기관에서 제로 트러스트를 차세대 보안 모델로 채택하고 있습니다. 내부에서 발생하는 악의적 해킹의 증가와 재택 근무의 확산으로 인한 개인용 기기 사용의 증가로 전통적인 보안 정책으로는 더 이상 데이터를 보호하기 어려워졌기 때문입니다. 2021년 5월, 미국의 바이든 대통령은 연방 정부와 클라우드 서비스 공급 업체가 제로 트러스트 보안 정책을 채택하고 이에 따른 원칙과 프레임 워크를 준수해야 한다는 행정 명령을 내리기도 하였습니다. ​제로 트러스트가 더 이상 개별 기업 차원의 원칙이 아닌 사이버 안보를 위한 필수 가이드라인으로 자리 잡은 것입니다.

 

 

CSP의 제로 트러스트 전략은?

 

 

 

 

앞서 AWS, Microsoft, Google 등 글로벌 빅테크 기업들의 보안 업체 인수전이 활발하며 제로 트러스트가 하나의 보안 패러다임으로 자리 잡고 있다고 말씀드렸습니다. 그렇다면 이러한 CSP(Cloud Service Provider) 기업들은 제로 트러스트 원칙을 과연 어떻게 준수하고 있는지 MS와 Google을 중심으로 살펴볼까요?

 

먼저, Microsoft는 제로 트러스트의 원칙을 다음과 같이 정의하고 있습니다.

 

1)명확하게 확인하기

2)최소 권한별 액세스 설정

3)위반 가정하기

 

풀어서 설명하면, 사용자 ID, 위치, 디바이스 상태 등 모든 내용을 항상 인증하고, 사용자별 최소한의 권한만 부여하여 액세스를 제한하며, 실제 위반 발생 시의 영향 및 세그먼트 액세스를 최소화하기 위해 항상 위반을 가정한다는 내용입니다. 이러한 제로 트러스트 원칙을 기반으로 Microsoft는 Azure Active Directory라는 클라우드 기반 ID 및 액세스 관리 서비스를 제공하고 있습니다. 사용자는 Single Sign On(SSO)을 통해  Microsoft 365, Azure Portal 및 내외부 리소스에 액세스할 수 있으며, Multi-Factor Authentication(MFA)을 통해 보안 수준을 높였습니다.  

 

*SSO(Single Sign On): 모든 인증을 하나의 시스템에서 이용할 수 있도록 개발된 가장 기본적인 인증 시스템

**MFA(Multi-Factor Authentication): 보안 강도를 높이기 위해 보안 키, 생체 인식, OTP 등 복수의 인증 수단을 조합하는 기법

 

Google은 어떨까요? Google 역시 BeyondCorp라 불리는 제로 트러스트 솔루션을 제공하고 있는데요, 이는 제로 트러스트 원칙 기반의 액세스 제어 모델입니다. BeyondCorp를 통해 사용자는 VPN 없이 언제 어디서든 클라우드나 온프레미스의 애플리케이션에 액세스하고 작업할 수 있습니다. BeyondCorp의 기틀이 된 제로트러스트 원칙은 다음과 같습니다.

 

1)서비스에 대한 액세스는 연결하는 네트워크에 의해 결정되어서는 안 된다.

2)서비스 액세스 권한은 사용자와 기기의 컨텍스트 요소를 바탕으로 제공되어야 한다.

3)서비스에 대한 액세스는 모두 인증, 승인, 암호화를 거쳐야 한다.

 

 

마무리하며

 

이번 <키워드로 읽는 클라우드>에서는 #보안을 키워드로 증가하는 사이버 위협 실태와 함께 사이버 보안 시장의 성장, 그리고 제로 트러스트 모델에 대해 다루었습니다.

알고 싶은 키워드나 문의 사항이 있다면 Contact Us에 내용을 남겨주세요!

 

 

추가적으로 메가존클라우드에서 사이버 위협을 차단하는 CDN 및 보안 서비스를 찾는 분을 대상으로 ‘사이버 위협을 차단하는 5초의 비밀, Cloudflare 활용법!’ 웨비나를 진행했는데요, 관심있으신 분들은 유튜브 영상으로 확인해보세요 🙂 

📺영상 확인하기: https://youtube.com/playlist?list=PLxTkO33QtxTIwUZAV6gwxrb48CRvrvt2p