Home > 전체기사
클라우드 사용자들, “내가 뭘 모르는지조차 모르겠다”
  |  입력 : 2019-07-24 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드, 처음 발 들여놓으면 구름 가득 낀 미로...공격자들에겐 아냐
아무것도 모르겠다 싶으면 먼저 다중인증과 환경설정부터 검토


[보안뉴스 문가용 기자] 이전까지 클라우드에 ‘아니오’라고 답했던 조직들도 이제는 클라우드를 적극 활용하고 있다. 각종 서비스와 자원을 클라우드 기반 인프라로 옮기고 있으며, 그런 과정 중에 클라우드 환경에서의 보안을 새롭게 고민하기 시작했다. 클라우드가 주는 위험에는 어떤 것들이 있을까, 궁금해하기 시작한 것도 최근 몇 년 사이의 일이다.

[이미지 = iclickart]


마이크로소프트의 수석 프로그램 관리자인 마크 모로친스키(Mark Morowczynski)는 “클라우드 단위의 변화에 발맞춘다는 건 정말로 대단히 어려운 일”이라고 말한다. “클라우드에서 절대 사업할 수 없다고 버티는 게 오히려 더 쉬운 일처럼 보입니다. 시대의 흐름이 클라우드로 옮겨간다는 걸 깨닫고 클라우드로 왔지만, 유지보수 및 보안을 도저히 따라갈 수 없어서 헤매는 기업들을 정말 많이 봅니다. 그러면서 차라리 클라우드로 오지 말 걸, 하고 후회하죠.”

어려움은 경영과 운영, 관리 모든 부분에서 나타난다. “클라우드는 네트워크 환경이나 플랫폼의 변화가 아닙니다. 패러다임 전체가 변하는 거예요. 그러니 클라우드로 변하는 게 어려울 수밖에요.”

보안 업체 트림아크(Trimarc)의 CTO인 션 멧카프(Sean Metcalf) 역시 “클라우드로 일단 오긴 왔는데, 그 다음부터 뭘 어떻게 해야 할지 모르는 기업들이 정말 많다”고 말한다. “클라우드를 사용하기 시작했으니, 장소와 시간에 구애받지 않고 작업을 할 수 있다는 것은 이해하고 실천합니다. 하지만 클라우드에서 지켜야 할 기본 사항을 모르거나 잊어버리곤 하죠. 거기서 사고가 생겨요.”

일단 이렇게 클라우드에서 어리둥절한 기업들의 가장 큰 고민은 “내가 뭘 모르고 있는지 모르겠다는 것”이라고 멧카프는 설명을 잇는다. “즉 클라우드로 와서, 뭔가 달라진 건 알겠고, 새로운 위험거리가 생긴 것도 알겠는데, 그 정체와 정도가 무엇인지 손에 잡히지 않는 상태로 있다는 겁니다. 정말 희뿌연 구름에 휩싸인 것처럼. 정말 뜬 구름 속에 갇힌 것처럼 말입니다.” 그런 상태에서 마이크로소프트나 구글, 아마존과 같은 대형 클라우드 서비스를 덥썩 사용했다가는 문제가 더 커진다. 보안 제어 장치들이 다른 클라우드에 있기 때문이다.

그래서 올해 미국에서 열릴 블랙햇(Black Hat) 행사에서 모로친스키와 멧카프는 마이크로소프트 클라우드 서비스에서만 찾을 수 있는 위협들에 대해 “까놓고” 이야기할 예정이다. 마이크로소프트에서 근무하는 자로서, 적어도 마이크로소프트 클라우드에 낀 구름은 거둬주겠다는 것이다. “사람들이 저희 강연을 듣고 마이크로소프트 클라우드를 보다 더 확실하고 안전하게 이용했으면 좋겠습니다. 적어도 자기가 처한 상태는 확실히 알 수 있도록 클라우드의 이해도를 높이고자 합니다.”

그래서 멧카프는 “실제로 일어나는 공격들에 대해 구체적이고 가감 없이 논할 예정”이다. 그 중 하나는 이른바 ‘비밀번호 살포(password spraying)’라고 불리는 공격이다. 모로친스키에 따르면 “마이크로소프트 사용자들이 가장 흔하게 겪는 공격 유형 중 하나”라고 한다. “보통 사람들마다 비밀번호 설정 패턴을 가지고 있어요. 가장 흔한 건 바꾸는 날짜를 덧붙이는 거죠. 20190723_이름, 이런 식으로요.”

문제는 이런 패턴을 해커들도 알고 있다는 것이다. “그래서 공격자들은 이런 패턴에 입각해 여러 개의 비밀번호들을 만들어둡니다. 그리고 하나씩 대입해보죠. 만약 다중인증이 아닌, 오래된 시스템을 관리자가 보유하고 있다면, 꽤나 높은 확률로 성공합니다. 다중인증 시스템만 도입해도 비밀번호 살포 공격은 막을 수 있는데, 생각보다 많은 고객들이 다중인증 도입을 꺼려합니다.”

멧카프는 “클라우드 이전의 온프레미스 환경에서도 이는 흔한 문제였다”고 말한다. “클라우드에서는 이게 더 심해졌어요. 왜냐하면 데이터가 있을 곳이 뻔하거든요. 그러니 클라우드에서 내가 어느 정도나 위험한지 모르겠다 싶으면 제일 먼저 1) 내 데이터 위치가 바깥으로 노출되어 있다고 여기고, 2) 그러므로 다중인증을 도입하는 게 큰 도움이 될 수 있습니다. 간단하지만 효과는 좋습니다.”

또 하나 우선 처리해야 할 건 환경설정 문제다. 인터넷에 연결된 클라우드를 디폴트 그대로 쓰거나 전체공개를 해서 사용하는 바람에 외부인들도 클라우드 주소만 찾으면 쉽게 접근할 수 있게 되는데, “어쩌면 지금 클라우드 관련 보안 사고 중 가장 빈번하게 발생하는 것”이라고 멧카프는 설명한다. “이건 클라우드 내 데이터를 어디서나 처리함으로써 생산성을 극대화시키는 것에 무게중심이 쏠려있을 때 나타나는 현상입니다. 나의 클라우드 상태를 모르겠다면, 먼저 환경설정부터 살피는 것이 좋습니다.”

모로친스키는 “클라우드는 온프레미스와 전혀 다른 환경”이라며 “지금 당장 아무것도 모르는 것처럼 느껴지는 건 자연스럽다”고 말한다. “중요한 건 이런 저런 클라우드 행사나 교육 기회를 놓치지 않고, 꾸준하게 지식을 늘려가는 것입니다. 최근 클라우드와 관련해서 어떤 사건이 일어나고 있는지 파악하고, 공격자들이 어떤 전략을 즐겨 구사하는지 알아가는 등, 공격자의 눈으로 클라우드 환경에 가득찬 구름을 걷어내면 길이 보일 겁니다.”

3줄 요약
1. 클라우드로 옮겨간 사용자 조직의 가장 큰 고민, “내가 뭘 모르는지도 모르겠다.”
2. 그럴 때 먼저 고려해야 할 건 다중인증 시스템 도입과 환경설정 점검.
3. 공격자의 눈으로 클라우드 바라보면 좀 더 빠르게 리스크 이해할 수 있을 것.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)