[이슈분석]제공사? 고객사? 클라우드 보안사고 누구 책임?

Photo Image

미국 대형 금융사 캐피탈 원(Capital One) 해킹 사고가 수면 아래있던 클라우드 보안 책임 논쟁에 다시 불을 붙였다. 고객 1억600만명에 이르는 개인정보가 유출된 가운데 클라우드 자체에 대한 보안뿐 아니라 누구에게 책임이 있느냐에 대한 논란이 더해진다.

과거 데이터센터 중심 온프레미스 환경과 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 환경이 혼합된 멀티·하이브리드클라우드 시대로 진입하면서 새로운 인프라를 도입하는 기업의 고민은 더 켜졌다.

전문가는 클라우드 시스템은 이전에 없던 아예 새로운 시스템으로 클라우드 보안도 기존과 다른 접근방식을 취해야 한다고 지적한다.

Photo Image

◇클라우드 데이터 보안은 '책임 공유'

최근 캐피탈원은 해킹을 당해 1억600만명 이르는 고객 개인정보가 유출됐다. 피해액만 1억 5000만달러에 달할 것으로 추정된다.

범인은 아마존웹서비스(AWS) 엔지니어 출신 페이지 톰슨으로 알려졌다. 해커는 고도의 해킹프로그램을 제작하거나 최근 유행하는 스피어피싱을 이용하지 않았다. 캐피탈 원 AWS 방화벽 정책 설정 오류를 악용했다. AWS는 캐피탈원 방화벽 설정 오류 때문이라고 설명하지만 범인이 AWS 근무 이력을 갖고 있는 만큼 책임에서 자유롭지 못할 것이라는 주장도 나온다. 해커가 캐피탈 원 외 30여개 계정을 해킹한 정황까지 발견 돼 클라우드 데이터 유출, 보안 사고에 대한 책임 공방은 당분간 지속될 전망이다.

클라우드 내 고객 데이터 보안 책임 소재가 어디에 있느냐에 대한 논쟁은 퍼블릭 클라우드 도입 초부터 계속 됐다. 실제 기업 클라우드 도입의 가장 큰 고민은 '보안'을 꼽을 정도다.

최근 베스핀글로벌이 발표한 '클라우드 도입의 현주소' 설문조사에 따르면 클라우드 도입 시 겪는 가장 큰 어려움으로 보안(47%)을 꼽았다. 이어 전문 인력 부족(44%), 비용관리 어려움(40.3%)이 뒤를 이었다.

클라우드 도입 기업 우려에도 클라우드 서비스 제공업체(CSP)는 클라우드 데이터 보호, 보안 책임은 '공유'한다고 설명한다.

AWS는 '공동 책임 모델'을 설명하며 사용자와 AWS 책임을 구분한다. AWS는 'AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임있다'고 명시한다. 이는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성된다. 반면 고객 책임은 이보다 방대하며 복잡하다. IaaS, PaaS, SaaS 등 수준에 따라 책임져야하는 요소도 다르기 때문이다.

마이크로소프트(MS) 애저(Azure)도 공동책임 모델이 중심이다. 애저는 자사 홈페이지 보안 설명에서 '보안 위협으로부터 귀사 리소스를 보호하고 관리하는 것은 보안 제공 업체와 고객의 공동 책임입니다'로 명시한다. 구글 클라우드도 “구글은 프로젝트 보안을 유지하기 위해 최선을 다하고 있지만 보안 책임은 구글과 고객 모두에게 있습니다”로 설명한다.

Photo Image

◇하이브리드 클라우드 확산 “보안 경계 불확실 높아져”

클라우드 장애 사례가 전무한 것은 아니다. 2015년 AWS 내부 작업 중 장애가 발생해 넷플릭스, 에어비앤비 서비스가 중단됐다. 2017년 3월에도 애플, 에어비앤비, 핀터레스트 서비스가 중단되는 사고를 겪었다. 2018년 11월 서울리전 DNS 서버 설정오류로 넥슨, 쿠팡 등 서비스 중단됐다.

클라우드 보안 사고도 있었다. 지난해 5월 인도 혼다자동차 개인정보 유출, 7월 중국 텐센트 고객사 데이터 및 백업파일 삭제, 올해 1월 A 고객 정보 대량 유출 등 보안사고가 발생했다.

그러나 이들 사고 모두 '내부자 관리 실수'라는 공통점을 갖고 있다. 우리가 흔히 접하는 '해킹'과는 거리가 멀다. 상황이 이렇다보니 클라우드 보안 사고에 대한 실제 책임 소재에 대한 검토가 이뤄지지 못했다. 참고할 사례가 없는 셈이다.

한국인터넷진흥원 관계자는 “해외서 일부 클라우드 사고 사례가 보도되고 있지만 실제 '해킹'이라고 할 수 있는 사고가 없으며 국내서는 클라우드 관련 개인정보 유출 사고 자체도 없었다”면서 “법원 판례처럼 실제 사고가 있어야 기준을 삼고 법적 판단, 책임 여부 등을 가리겠지만 현재로서는 사례조차 없어 판단이 어려운 게 사실”이라고 말했다.

멀티·하이브리드 클라우드로 이전은 클라우드 보안에 또 다른 복병이다. 기업이 확인해야할 보안 체크리스트는 더 방대해 졌다. 실제 IBM 기업가치연구소 조사 결과 85% 응답자가 멀티 클라우드를 운영 중이다. 3년 후 98%가 멀티 클라우드로 전환할 예정이다. 하이브리드 클라우드 환경에서 멀티 클라우드를 도입하겠다는 응답은 현재 77%에서 98%로 높아졌다. 3년 후에는 대부분 기업이 멀티클라우드 환경을 사용할 전망이다.

멀티클라우드 환경 도입은 비용절감과 단일 클라우드 장애 발생 시 겪을 수 있는 위험을 최대한 낮추기 위해서다. 최근에는 인공지능(AI), 오피스 등 특화 기능을 이용하기 위해 멀티 클라우드를 채택하기도 한다.

문제는 이들 대형 클라우드 사업자 간 동일한 보안 서비스에도 차이가 있다. AWS, 구글 클라우드, IBM 클라우드 등 비슷한 형태 서비스를 제공하지만 세부적인 차이로 동시 관리가 쉽지 않다.

업계 관계자는 “하이브리드, 멀티 클라우드 환경에서 보안 서비스를 활용할 때 고객은 서비스 제공자 특징을 구별해야 어떤 부분이 더 보강하고 추가할 것인지 계획을 내릴 수 있다”면서 “이들 세세한 특성까지 고객이 스스로 파악하기 어려워 현장에서 이들 클라우드 제공자 보안 특성이 어떻게 되는지 문의가 많이 들어오는 것이 사실”이라고 덧붙였다.

◇클라우드 보안 고민, 어떻게 접근해야 하나

전문가는 클라우드 보안 고민에 대해 기존 온프레미스 환경 연장선으로 생각해서는 안 된다고 강조한다. 클라우드 환경은 온프레미스와 기술 시작부터 다르기 때문에 새로운 인프라에 대한 정확한 전략이 있어야 한다.

실제 현장에서는 클라우드에 대한 이해부족 등 이유로 클라우드 보안체계 마련에 어려움을 겪는다. SK인포섹 관계자는 “금융권의 가장 많은 문의가운데 하나는 온프레미스에서 사용하는 솔루션을 클라우드로 옮길 수 있는지 등 적용성 분석 요청이 많다”고 말했다. 여전히 기존 온프레미스 환경 솔루션을 그대로 클라우드에 적용하고자 하기 때문이다.

김진광 트렌드마이크로 지사장은 “현재 시장에 존재하는 서버 접근 제어 솔루션은 가상화된 업무환경에서 발생하는 트래픽을 제대로 조절하지 못한다”면서 “이는 20년 전 나온 기술로 IT인프라가 변해야하는데 보안은 20년 전에 머물러 있기 때문에 문제가 된다”고 지적했다.

이어 “캐피탈 원 사고도 클라우드 적용 방화벽 정책 설정 잘못에서 시작된 것처럼 클라우드에 환경에는 이에 맞는 전문적 전략, 지식, 기술 노하우가 필요하다”고 덧붙였다.

윤영훈 한국IBM 보안사업부 솔루션 부문 상무는 “IaaS, PaaS, SaaS 등 클라우드 유형에 따라 고객과 벤더들이 각자 맡아야 하는 클라우드 보안에 대한 역할과 책임소재가 각기 다를 수 있다”면서 “실제 클라우드 서비스를 제공자와 계약 시 명확하게 집고 넘어가야하지만 이들 계약이 체계화 된 것이 아니며, 내재화 되어있지 않다”고 말했다.

이어 “클라우드 업무 수행 성격을 파악하고, 정부기관 규제 체크 등을 이행한 뒤 클라우드 이전을 결정해야 한다”면서 “클라우드 사업자가 제공하는 보안이 기존 내부 보안정책과 일치하는지 등 보안 영역 강화에 대한 계획을 미리 세워야 한다”고 덧붙였다.


정영일기자 jung01@etnews.com


브랜드 뉴스룸