세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
맞춤형 애플리케이션, 클라우드와 맞물린 ‘대재앙’
  |  입력 : 2017-04-10 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
줄어들고 있지 않은 은둔의 IT... 그 상태로 활발해지는 클라우드 도입
기업들이 자체적으로 만드는 맞춤형 애플리케이션 보안 문제 대두


[보안뉴스 문가용 기자] 지난 수 년 동안 클라우드 서비스의 도입이 빠르고 거침없이 진행됐다. 이는 다른 IT 앱의 구매와 설치로도 이어졌는데, 아무도 IT 팀이나 보안 담당자에게 보고하고 앱을 설치하지는 않았다. 그래서 은둔의 IT(Shadow IT)라는 개념이 생겨났고, 바늘을 찾아야 하는 보안 담당자들에게 주어진 모래밭은 점점 더 넓어지고 있다.

▲ 그림자가 점점 길어지고 있다


개인적으로 이야기를 나눠보면 CIO들은 “아마 우리 기업 내에서 등록되지 않은 채 사용되는 앱은 한 100개 정도 될 듯 싶다”고 이야기 한다. 그러나 실제 수를 조사해보면 놀랍게도 약 1000개의 클라우드 서비스가 CIO 몰래 사용되고 있다고 한다. 이것이 2015년 초에 등장한 숫자이니 지금쯤은 더 늘어났을 가능성이 높다.

그래서 그때부터도 이미 많은 기업들이 애플리케이션을 정리해보고자 많은 노력들을 기울였다. 오피스365, 세일즈포스, 박스 등 직원들이 필요로 하는 기능을 가진 앱을 전사적으로 도입해 다른 앱 사용을 줄여나가기도 했다. 직원들도 회사가 합법적으로 사용 가능한 프로그램을 통일해주니 나쁠 게 없었다. 그런데 클라우드를 둘러 싼 은둔의 IT 시대가 새로운 국면으로 접어들었다. 기업이 자체적으로 만들어 클라우드에 호스팅하는 ‘맞춤형 애플리케이션’의 등장이 바로 그것이다.

이제 누구나 소프트웨어 개발을 하는 시대다
최근 보안 업체인 스카이하이네트웍스(Skyhigh Networks)가 300명의 기술 전문가들을 대상으로 진행한 연구 결과를 보면 “보안 팀들은 조직 내 사용되는 맞춤형 애플리케이션의 수가 평균 179개인 것으로 파악”하고 있다는 걸 알 수 있다. 하지만 실제 해당 조사에 참여한 기업들을 직접 검사해본 결과 평균 464개의 맞춤형 애플리케이션들이 사용되고 있었다. 직원이 5만 명이 넘는 대기업의 경우 평균 맞춤형 애플리케이션 수는 788개라고 한다. 실제의 38%만이 보안의 감시 범위에 있다는 것이다.

맞춤형 애플리케이션이란 회사 내 개발자들이 타 부서 업무나 비즈니스 서비스 제공을 위해 자체 개발한 소프트웨어를 말한다. 하지만 이렇게 ‘인하우스’에서 만들어진 소프트웨어는 보안 점검을 꼼꼼하게 받지 않는다. 내부 직원들, 서드파티 파트너, 고객들을 위해 만들어지는 이런 소프트웨어들은 인사관리 프로그램, 코드공유 플랫폼, 각종 문서 결재 프로그램 등 다양한 기능을 수행하지만, 공통적으로는 중요한 정보를 처리하거나 담아내는 역할을 한다.

이런 앱들이 IaaS 플랫폼에서 호스팅되기 시작하면 문제가 커진다. 마치 비공식 앱들을 불법적으로 잔뜩 받아놓고 사용하는 것과 다를 바가 없어지는 것이다. 맞춤형 앱 사용량은 2017년에 더 많아질 것으로 예측되고 있는데, 이는 SaaS나 IaaS 등 클라우드 도입 증가와 맞물려 안 좋은 방면으로 더 큰 시너지를 낼 것으로 보인다. 스카이하이의 연구 내용 중 “61%의 맞춤형 애플리케이션이 현재는 기업 내 데이터 센터에서 호스팅 되는데, 연말까지 46%로 줄어들 것”이라는 예측이 있다. 데이터 센터 내에 있던 앱들이 클라우드로 옮겨갈 것이라는 뜻이다.

맞춤형 애플리케이션의 보안, 아직까지는 ‘미싱 링크’
그렇기에 기업들은 현재 네 개의 치명적인 보안 영역에서 지속적인 투자와 개발을 진행해야 할 것으로 보인다. 그 네 가지 영역은 다음과 같다.

위협 보호 : 위협들을 실시간으로 탐지하기 위해서는 행동 분석을 할 수 있어야 한다. 탈취된 계정은 그 계정 자체가 멀웨어로 득실거리는 게 아니라, 탈취된 이후부터 이상한 행동들을 자꾸만 시도하기 마련이다. 기업용 SaaS 서비스들은 API나 사건 로그를 제공해 다른 보안 업체에서도 활용할 수 있도록 해주는데, 맞춤형 애플리케이션들은 역시 맞춤형으로 개발된 솔루션들이 있어야만 활동 데이터를 분석하는 게 가능하게 된다. 결과적으로 맞춤형 애플리케이션들에는 커다란 사각지대가 형성된다.

암호화 : 몇몇 정부기관이나 산업 단체들은 기업들에게 민감한 데이터를 반드시 암호화해서 클라우드로 업로드시키라고 요구한다. 그러니 클라우드가 아니라 데이터 센터에서 호스팅된 맞춤형 애플리케이션의 경우 이러한 요구 사항에서 면제되었다. 하지만 이제 애플리케이션들이 IaaS로 넘어가고 있다. 이제 맞춤형 애플리케이션을 사용하는 데에 있어 컴플라이언스가 중요한 고려사항이 될 것이다.

데이터 손실 방지 : SaaS는 어디에서나 데이터 접속이 가능한 플랫폼이다. 클라우드에서 호스팅된 맞춤형 애플리케이션들 역시 공공 인터넷을 통해 언제 어디에서나 접근이 가능하다. 이 자체로 이미 데이터에는 높은 리스크가 적용된다. 더더욱 데이터 손실 방지 기술에 대한 고민이 깊어져야 한다는 것이다. 맞춤형 애플리케이션으로 직원들 월급을 관리하고, IP 주소나 파일 이름도 정리해왔다면, 이제 데이터 손실 방지를 위한 새로운 기술과 정책이 필요한 때이다.

활동 모니터링 : 사건 대응 및 감사 팀은, 사건 포렌식 수사 후에도 애플리케이션의 활동을 위한 감사 추적을 할 필요가 있다. 마찬가지로 맞춤형 애플리케이션이 데이터 센터를 떠나 IaaS 플랫폼에 이식된 후에도 사건 로깅을 계속해서 해야 한다. 그러나 이런 조치를 취하는 기업은 아직까지 극히 드물다. 애플리케이션을 누가 어떻게 왜 활용하는지 알 수 없다면 보안 팀이 할 수 있는 일이 극히 드물어진다.

맞춤형 애플리케이션이 클라우드로 대거 이주를 시작하고 있는데, 이에 대한 보안은 잘 논의되고 있지 않다. 최근 아페리온(Apperion) 등 맞춤형 애플리케이션을 위한 배포 솔루션까지도 등장하는 판에, 기업들이 소프트웨어를 알아서 만들 듯 보안까지 알아서 잘 하리라고 그냥 기대하는 건 옳지 않다. 애플리케이션 보안이 대상으로 하는 앱들이 더 넓어져야 한다.

글 : 코시크 나라얀(Kaushik Narayan)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)