Home > 전체기사
멀티클라우드 시대, 설정 오류와 보안위협이 사용자를 노린다
  |  입력 : 2020-06-15 17:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
세계는 지금 멀티클라우드로 전환중... 클라우드 활용에 대한 관리전략 마련 시급
넷앤드, HIWARE PAM for Cloud로 클라우드 관리에 특화된 보안기능 제공


[보안뉴스 원병철 기자] 최근 몇 년 동안 빠르게 성장해온 클라우드 시장이 코로나19로 인한 ‘비대면 환경’의 영향으로 급속도로 팽창하고 있다. 실제로 IT 리서치 전문기관 시너지리서치그룹(Synergy Research Croup)은 2020년 1분기 전 세계 클라우드 시장규모가 전년대비 37% 성장한 290억 달러(한화 약 35조 5,000억 원)에 이른다고 발표한 바 있다.

[이미지=utoimage]


특히, 우리나라는 국내 재계서열 2위인 현대·기아자동차 그룹이 2019년 모든 ERP를 클라우드로 전환하고, IT 개발 클랑드 플랫폼을 전면 도입하는 등 본격적인 클라우드 환경 조성에 나섰으며, SK그룹은 2023년까지 전 계열사 클라우드 전환을 공표하고 TF 구성과 클라우드 전환 로드맵 수립을 발표하는 등 대기업을 중심으로 본격적인 클라우드로의 전환이 시작됐다. 가트너는 국내 클라우드 시장이 2019년 2조 3,427억 원에서 2020년 2조 7,818억 원, 2021년 3조 2,400억 원, 2020년 3조 7,238억 원 등 급성장할 것이라고 내다봤다.

실제로 세계 4대 클라우드 사업자로 꼽히는 아마존웹서비스(AWS)와 마이크로스프트 애저, 구글 클라우드와 알리바바 클라우드는 2018년부터 2019년까지 모두 1.5배 이상의 성장세를 보였다. 글로벌 리서치 기업인 카날리스에 따르면 점유율 1위 AWS(32.8%)는 2018년 24억 4,000만 달러에서 2019년 34억 6,000만 달러로 실적이 올랐으며, 마이크로소프트는 2018년 11억 달러에서 2019년 18억 1,000만 달러, 구글 클라우드는 2018년 3억 3,000만 달러에서 2019년 6억 2,000만 달러, 알라바바 클라우드는 2018년 3억 2,000만 달러에서 2019년 5억 2,000만 달러로 각각 올랐다.

국내 클라우드 서비스 플랫폼 기업들도 발 빠르게 움직이고 있다. 금융권 최대 클라우드 사업으로 꼽히던 한화생명의 선택을 받은 네이버 비즈니스 플랫폼(NBP)은 금융전용 SOC 인증을 취득하는 한편, 코스콤과 함께 금융클라우드센터를 개소하는 등 금융권을 중심으로 실적을 쌓고 있다. 2015년 통합 클라우드 서비스 토스트(TOAST)를 빠르게 선보였던 NHN은 삼성SDS와 손잡고 고객사 클라우드 구축사업에 공동으로 참여하는 것은 물론, 상호협력을 통해 클라우드 서비스 사업 경쟁력 제고에 나섰다.

클라우드 서비스를 위한 데이터센터도 많이 생겨났다. 세계 4대 클라우드 사업자 중 AWS와 마이크로소프트는 이미 한국에 데이터센터를 구축했다. NHN은 경남 김해에 두 번째 데이터센터인 ‘토스트 클라우드 센터(TCC2)’를 구축 중이며, 네이버 역시 세종시에 두 번째 클라우드 데이터센터를 짓고 있다.

클라우드의 급성장, 문제는 제대로 활용하는 법을 모른다는 것
이처럼 클라우드 서비스는 전 세계에서 대중화 단계에 접어들었다. 특히, 우리나라는 삼성과 현대·기아차 등 대기업을 중심으로 빠르게 클라우드 서비스를 도입하고 있다. 게다가 2020년 전 세계를 덮친 코로나19로 인해 이러한 경향은 더 심화되고 있다.

문제는 클라우드에 대한 의존도가 커지면서 발생하는 문제들이다. 현재 클라우드 서비스를 도입하면서 발생하는 문제 중 가장 큰 문제는 자연재해 등 각종 문제들로 인해 클라우드 서비스 제공자가 서비스를 제대로 제공하지 못하는 경우다. 2018년 11월 22일 세계 최대의 클라우드서비스 기업인 AWS가 DNS 오류로 84분간 서비스를 하지 못하면서 AWS를 이용하던 많은 고객들이 큰 피해를 입었다. 당시 <보안뉴스> 보도에 따르면, AWS 서울리전의 서비스 장애로 삼성전자의 AI 서비스 △빅스비를 비롯해 온라인 마켓을 운영하는 △쿠팡 △마켓컬리, 배달서비스 △배달의민족, 저비용 항공사 △이스타항공, 금융 서비스 △카카오스탁 △클레이온, 암호화폐 거래소 △업비트 △코인원 등 다양한 기업의 홈페이지와 서비스가 먹통이 됐다.

당시 AWS는 피해를 입은 기업들에게도 제대로 된 설명을 하지 않은 것으로 알려졌다. 암호화폐 거래소 업비트는 홈페이지 공지를 통해 “아마존 내부 DNS 이슈로 업비트 서비스를 이용할 수 없게 된 점에 대해 죄송하다”면서, “업비트도 사전에 아마존으로부터 관련 안내를 받지 못한 상황이었기 때문에 회원들에게 점검관련 공지를 신속하게 드리지 못했다”고 사과했다. 사용자들에게 서비스를 제공하는 기업들이 상황에 대한 설명을 제대로 받지 못하자 그 피해는 고스란히 사용자들에게 돌아갔다. 서비스가 멈춘 이유를 모른 기업들이 사용자에게 제대로 설명하지 못하고, 언제쯤 정상화가 될지, 이번 사고로 얼마만큼의 피해를 입었을지 알리지 못하면서 피해 기업들은 이중고를 겪어야 했다.

그동안 클라우드 서비스의 편리함에만 빠져있던 사용자들은 단일 서비스를 받는 상황에서 문제가 생길 경우 대처할 수 있는 방안이 없다는 걸 알게 된 후, 2개 이상의 클라우드 서비스를 사용함으로써 업체 종속을 피하고, 클라우드 서비스에 장애가 발생했을 때에도 자사의 서비스에 피해를 주지 않을 방법을 찾아냈다. 바로 멀티클라우드 서비스의 등장이다.

멀티클라우드는 서로 다른 클라우드를 이용해 하나의 서비스를 운영하는 것을 말한다. 즉, 2개 이상의 업체를 선택해 각각 서비스를 이용하는 방법이다. 멀티클라우드는 여러 장점 때문에 이제 많은 기업들이 선택하고 있는 상황이다.

이와 관련 가트너는 2021년까지 중견 및 대기업의 75% 이상이 멀티 클라우드나 하이브리드 IT 전략을 채택할 것으로 전망했으며, IBM의 기업가치연구소(IBV)도 설문조사를 통해 20개국 19개 산업 담당자 1,000명 중 응답자의 85%가 멀티클라우드를 도입했다고 밝혔다.

하지만 멀티클라우드를 도입했다고 해서 모든 문제가 해결되는 것은 아니다. IBM IBV(Institute for Business Value)에서 발표한 ‘클라우드 오케스트라 구성(Assembling your cloud orchestra)’ 보고서에 따르면, 멀티클라우드 환경을 유지하는 기업은 일반적이며, 최근 조사에 따르면 85%의 조직이 이미 멀티클라우드 환경에서 운영되고 있다.

다만 멀티클라우드 환경을 통해 성공적으로 관리하기 위해서는 마치 지휘자가 개별 악기를 결합하고 분리해서 하나의 소리로 오케스트라를 통합하는 것처럼 해야 한다는 점이다. 이는 조직에 적합한 퍼블릭, 프라이빗 및 하이브리드 클라우드 포트폴리오를 구축하고 전용 IT 인프라와 통합하는 것을 의미한다.

문제는 상대적으로 소수의 조직만이 이것을 어떻게 하는지 정확히 알고 있다는 것이다. 설문조사에 따르면, 98%의 조직이 2021년까지 멀티클라우드 환경에서 운영될 것으로 예상하고 있지만, 이들 중 41%만이 멀티클라우드 관리전략을 수립하고 있으며, 38%만이 이러한 환경에서 운영하는 데 필요한 절차와 툴을 갖추고 있는 것으로 알려졌다.

여러 클라우드를 조정함으로써 얻을 수 있는 잠재적인 이점은 전략, 운영 및 인프라의 주요 비즈니스 차원에서 운영 및 인프라 비용을 절감하는 것 등이다. 하지만 클라우드 전략이 없는 기업은 이러한 이점과 그 밖의 이점(예를 들면, 고객 경험 개선, 운영에 대한 경영진 통찰력 향상, 새로운 시장으로의 확장)을 놓칠 위험이 있다. 그리고 결국 그들은 경쟁에서 뒤처질 위험이 있다.

멀티클라우드 환경, 사용자 설정 오류와 보안위협으로 위기
실제로 클라우드를 제대로 관리하지 못하고 전략 없이 관리했을 경우 생길 수 있는 문제 중 하나가 바로 사용자의 설정 오류다. 흔히들 클라우드 서비스를 사용하면서 사용자들이 착각하는 것이 있는데, 바로 클라우드 서비스가 ‘모든 것을 컨트롤 해주지 않는다’는 점이다. 특히, 클라우드 서비스는 사용자의 선택권이 다양하게 보장되어 있기 때문에 사용자가 자칫 잘못할 경우 엄청난 문제로 커질 수 있다.

2019년 1월 소프트웨어 개발사 루빅은 클라우드 설정 오류로 고객정보가 노출되는 문제를 겪었고, 2019년 12월 엘라스틱서치 DB에서 27억 개가 넘는 이메일 주소가 공개되기도 했다. 이중 10억 개 정도에는 평문으로 된 비밀번호까지 부착되어 있었다. 이메일 주소의 도메인들은 텐센트(Tencent), 시나(Sina), 소후(Sohu), 넷이즈(NetEase) 등 중국 업체의 것이었다. 물론 야후, 지메일 등 다른 나라의 것도 섞여 있긴 했다. 알고 보니 2017년에 발생한 대규모 정보 유출 사건 후 다크웹에서 거래되던 품목들이었다.

이와 관련 ‘클라우드 보안 위협(Untangling the Web of Cloud Security Threats)' 보고서를 발표한 트렌드마이크로의 그렉 영(Greg Young) 사이버 보안 부문 부회장은 “클라우드 기반 운영이 이제 예외사항이 아닌 하나의 규칙으로 자리 잡은 가운데, 사이버 범죄 조직은 설정 오류나 잘못 관리되고 있는 클라우드 환경을 악용하여 이익을 얻으려 하고 있다”고 밝혔다. 이어 “클라우드 마이그레이션은 기업 IT 경계와 엔드포인트를 재정의해 보안 문제를 해결할 수 있는 가장 좋은 방법이다. 그러나 이는 조직이 클라우드 보안에 대한 공유된 책임 모델을 따르고 있을 경우에만 해당한다”며, “데이터 보호를 위해 클라우드 데이터의 오너십(ownership)을 가지는 것이 무엇보다 중요하며, 트렌드마이크로는 기업이 이러한 과정에서 성공할 수 있도록 지원하고 있다”고 전했다.

또 다른 문제는 바로 보안위협이다. 글로벌 보안기업 탈레스의 ‘2020년도 탈레스 데이터 위협 보고서 글로벌 에디션(2020 Thales Data Threat Report: Global Edition)’에 따르면 설문 응답자의 50%가 자신들이 사용하고 있는 데이터가 클라우드에 저장되고 있으며 그중 절반가량(48%)은 민감 데이터라고 대답했다. 또한, 저장된 민감 데이터의 일부분은 암호화되지 않았으며, 응답자의 49%는 이미 데이터 유출 사고를 겪었다고 답변했다.

보안기업 파이어몬(Firemon)도 ‘하이브리드 클라우드 보안 현황(State of Hybrid Cloud Security)’ 보고서를 통해 IT 및 보안 전문가 중 절반 이상(59.4%)이 클라우드를 기반으로 하고 있는 서비스를 제대로 보호할 수 있을 것 같지 않다는 불안감을 가지고 있다고 발표했다. 가트너도 2020년까지 95% 이상의 클라우드 보안 사고는 클라우드 사용자의 관리 책임이 원인일 것이라고 발표했다.

다양한 클라우드 환경에서의 보안 문제를 해결하기 위한 선택, 넷앤드 ‘HIWARE PAM for Cloud’
이러한 상황에서 멀티클라우드 사용자들은 어떤 보안대책을 선택할 수 있을까? 현재 이와 관련된 솔루션은 그리 많지 않지만, 최근 넷앤드(NETAND, 대표 신호철)는 다양한 클라우드 환경에서의 보안문제를 해결하기 위해 국내 클라우드 매니지드 서비스(MSP) 기업 및 클라우드를 직접 관리하는 고객사의 니즈를 바탕으로 ‘HIWARE PAM for Cloud’를 출시했다.

HIWARE PAM for Cloud는 프록시 형태의 솔루션으로 클라우드 접근 사용자들을 자동 로그인시켜 주거나 임시 로그인 자격을 부여할 수 있으며, 서로 다른 클라우드 서비스 간(aws-azure/azure-gcp 등) 사용자 계정과 계정별 역할 정보를 동기화하거나 클라우드 서비스 사용 이력을 중앙 관리하는 등 클라우드 관리에 특화된 보안기능을 제공한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)