Home > 전체기사

‘사용자 권한 지도’, 클라우드 가시성의 힌트 되려나

  |  입력 : 2020-11-27 12:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오래 전부터 보안 업계가 지적해 온 문제, “클라우드의 가시성”
한 연구원, 사용자 계정의 권한을 지도처럼 만드는 프로젝트에 착수


[보안뉴스 문가용 기자] 사용자들이 클라우드 내에서 할 수 있는 행동들에 대한 가시성을 100% 갖춘 조직은 거의 없다. 누가 어떤 아이덴티티를 사칭하는지, 어떤 권한을 적절하게 혹은 부적절하게 활용하고 있는지, 어떤 허가가 그런 행동의 기반이 되거나 안 되었는지 모든 것을 알기란 무척 힘든 일이다. 그리고 그것 때문에 기업의 사업 활동이 위기에 처하기도 한다.

[이미지 = utoimage]


보안 업체 넷스코프(Netskope)의 수석 보안 전문가인 콜린 에스텝(Colin Estep)은 제일 먼저 구글 클라우드 플랫폼(Google Cloud Platform, GCP)에 있을 수 있는 보안 구멍들을 찾아 나섰다. 약 1년 전의 일이었다. 원래는 클라우드 사용 기업들의 아이덴티티 및 접근 관리 현황을 평가하는 것이 목적이었다. 그것이 점점 “당신의 클라우드 환경에서 일어나는 일들을 알고 계십니까?”에 대한 답을 찾는 것으로 바뀌었다.

“질문 자체는 정말로 마음에 들었습니다. 기본적이면서도 반드시 답이 필요한데, 정작 아무도 선뜻 대답할 수 없는 그런 질문인 것이었죠. 그러자 탐구의 방향성이 훨씬 명확해졌습니다.” 에스텝의 설명이다. “일단 시작점은 반박할 수 없었습니다. 저 질문의 답은 ‘아니오’인 경우가 거의 대부분이라고 봐도 무방하니까요.”

클라우드 내에서의 아이덴티티 및 접근 관리 문제는, 클라우드라는 환경의 태생적 ‘역동성’ 때문에 발생한다고 볼 수 있다. 자원들이 언제나 들락날락거리며 거의 항상, 끊임없이 변화가 일어난다는 것이다. 잠시라도 가만히 있질 못하니, 그 모든 사항들을 일일이 추적하며 가시성을 확보한다는 건 어려운 일이다.

“이런 클라우드를 한 손에 쥐고 다룰 수 있다는 건, 사실 위대한 능력이라고 볼 수 있습니다. 그 중에서도 클라우드 내 아이덴티티를 관리한다는 건 가장 중요한 일 중 하나입니다. 클라우드 내 모든 자원에 대한 가시성을 확보할 수 없다면, 아이덴티티부터라도 제대로 정립해 놓아야 합니다. 그렇지 않으면 민감한 데이터가 어느 새 밖으로 나가 있을 겁니다. 아니면 특정 자원이 조작되어 있거나 삭제될 수도 있고요.” 에스텝의 설명이다.

GCP를 연구 과제로 삼은 건, 그 독특한 구조 때문이었다. “구글은 클라우드에 다양한 계급 구조(hierarchy)를 적용했고, 각 ID에도 이러한 구조에 따라 권한을 부여할 수 있습니다. 또한 GCP에는 ‘거부(deny)’ 정책이 없습니다. 권한 부여와 관련된 정책을 보다 간소화 한 것입니다. 구글의 의도는 이해합니다만 오히려 이러한 시도 때문에 관리자가 여러 레이어들을 검토할 때 더 복잡해질 수 있습니다.”

악성 행위자가 클라우드 내에서 너무 많은 접근 권한을 갖게 되었을 때 일어날 수 있는 일은 무엇일까? 에스텝은 “무궁무진하다”고 말한다. “상상하는 모든 일이 가능하다고나 할까요. 충분한 접근 권한을 가진 공격자를 막을 방법은 사실상 존재하지 않는다고 봐도 무방합니다. 만약 생산과 관련된 클라우드에 접근했다면, 기업으로서는 최악의 사태가 발생할 수도 있습니다. 공격자는 전체 인프라를 삭제하는 것 빼고는 다 할 수 있거든요.” 따라서 “누가 어떤 권한을 가지고 있으며, 어떤 식으로 이 권한을 어떤 환경과 상황에서 발휘하는지 파악하고 제어하는 게 중요하다”고 에스텝은 강조한다.

그러면서 에스텝은 “클라우드 가시성은, 클라우드가 태생적으로 가진 복잡성과 역동성 때문에 확보하기 어려운 것이므로, GCP만 이런 문제를 가지고 있다고 말할 수 없다”고 설명했다. “클라우드 내 권한이라는 요소를 제어하는 장치들은 클라우드 바깥에 있을 수도 있습니다. 클라우드 환경을 더 복잡하게 만들죠. 이건 GCP만이 아니라 거의 모든 클라우드가 직면한 문제라고 볼 수 있습니다.”

에스텝이 전술했듯이 GCP는 많은 계층 구조와 그에 따른 권한 부여 시스템을 가지고 있다. 이를 전부 이해하려면 모든 레이어들과, 레이어들 간 관계를 다 보고 이해할 수 있어야 한다. “콘솔로만 이런 작업을 수행하기에는 무리가 있습니다. 콘솔과는 다른 ‘사용자 계정별 권한 지도’가 필요합니다. 이를 최대한 간략하게, 한 눈에 들어오도록 만들 수 있는 방법을 찾고 있습니다.”

결국 그가 던진 질문인 ‘당신은 당신의 클라우드 안에서 일어나는 일들을 다 알고 있습니까?’에 답을 내기 위해 ‘계정들의 권한 지도’를 그리는 프로젝트에까지 이른 것이라고 말할 수 있다. “이것만 가지고 그 질문에 답을 할 수 있을까요? 아직 확실하지 않습니다. 권한 지도를 한 눈에, 깔끔하게 들어오도록 그려내는 방법을 찾아낸 후에도 또 다른 프로젝트가 시작될 수도 있지요. 어쩌면 그 다음 질문은 ‘당신은 당신 클라우드의 사용자들이 실제 어떤 일을 할 수 있는지 아십니까?’가 될 수도 있습니다.”

에스텝은 이 프로젝트의 중간 성과를 블랙햇 유럽에서 발표할 예정이다. “아마존이나 마이크로소프트의 클라우드에는 또 다른 접근법이 필요할 수 있습니다. 저는 오로지 GCP를 위주로만 연구한 것이고요. 물론 다른 클라우드에도 본질적으로 같은 문제가 있을 겁니다만, 그렇다고 해결법까지 다 똑같아야 한다는 건 아닙니다.”

그러면서 에스텝은 “일단 권한이라도 한 눈에 들어오게 하고, 그 다음은 추후에 생각해 보자”고 설명한다. “가시성 문제를 업계에서 오래 전부터 제기해왔는데, 솔직히 아무도 해결을 못했죠. 제 연구는 거대한 문제만을 지적하지 말고, 구체적인 해결의 한 걸음을 떼어보자고 제안하는 데에 의의가 있다고 볼 수도 있습니다.”

3줄 요약
1. 클라우드 안에서 일어나는 일, 아무도 몰라. 며느리도 몰라.
2. 가시성, 가시성, 문제는 계속 제기되어 왔는데 해결책은 없음.
3. 그래서 한 연구원이 ‘권한의 지도부터 완성해보자’고 제안.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협