클라우드 컴퓨팅 기술이 IT 기업에게 기술적 혁신을 가져다 준 최고의 선물이라는 것은 부정할 수 없는 사실이다. 클라우드 환경에선 누구나 컴퓨팅 자원을 원하는만큼 빌려쓰고 신속하게 어플리케이션을 배포하여 고객에게 향상된 서비스를 빠르게 제공한다. 그야말로 디지털 혁신의 세상이 도래한 것이다.
이러한 클라우드의 이점 덕에 지난 몇 년간 기업들은 주요 데이터 및 워크로드를 클라우드로 이전했다. 여기에 더불어 지난 10월 윤석열 정부의 디지털플랫폼정부가 2026년까지 공공기관의 정보 자원 70%를 클라우드 네이티브 환경으로 전환한다고 발표하면서 기업의 클라우드 전환은 더욱 가속화될 전망이다.
그러나 여전히 대부분의 기업들은 클라우드 전환 시 '보안' 문제를 가장 우려한다. 클라우드 환경에선 보안 담당자가 관리해야할 리소스가 기하급수적으로 늘어나고 기업의 기밀 데이터가 클라우드 제공 업체(CSP)에 보관되어 잠재적인 보안 위협에 노출된다. 또한 자산 변동성이 심하여 클라우드 내 취약점이 발생해도 보안 담당자가 즉각적으로 알아차리기 어렵다는 문제점이 있다.
실제로 2023 탈레스 클라우드 보안 보고서에 따르면 응답자의 43%가 클라우드 환경에서 최근 12개월 내 감사 실패를 경험했다고 답했고 응답자의 75%가 중요 데이터를 클라우드에 보관중이라고 답한 반면 그중 45%만이 클라우드 데이터가 암호화되어 있다고 답했다. 이는 클라우드 보안 위협에 대한 기업들의 보안 수준이 미미함을 뜻한다.
아직도 대부분의 고객들은 클라우드 환경에서 보안 사고가 발생하면 클라우드 제공 업체가 책임져 줄 것이라고 생각하지만 실상은 그렇지 않다. 클라우드 책임 공유 모델에 따르면 클라우드 인프라 자체에 대한 보안만 클라우드 제공 업체가 책임지고 데이터 관리, 비밀번호 설정, 접근 권한 부여 등의 클라우드 구성 영역은 고객인 기업이 책임지기 때문이다. 이에 따라 고객은 클라우드 전환 시 기업의 중요 데이터를 안전하게 보호할 수 있도록 보안 컴플라이언스 준수 방안에 대한 관리체계를 반드시 확립해야 한다. 그렇지 않을 경우 자연스레 다양한 클라우드 보안 위협에 노출되게 된다.
그렇다면 주요 클라우드 보안 위협에는 어떤 것이 있을까. 기존의 주요 클라우드 보안 위협이었던 ▲잘못된 구성, ▲취약한 자격 증명, 인증 부족, ▲내부자 위협, ▲악의적인 오픈소스 소프트웨어 패키지 등과 더불어 ▲AI 기반 악성코드 공격 ▲AI 기반 클라우드 취약점 탐지 및 공격 등의 위험도 증가하고 있다. AI 기술을 활용하여 클라우드 내 악성 코드를 심고 소스 코드 상의 취약점을 찾아내어 시스템에 침투하는 등의 새로운 기법을 시행한다. 최근 생성형 AI 시장의 급부상으로 클라우드 보안 위협도 지능화·고도화되고 있는 것이다.
국내에서는 이러한 클라우드 보안 위협에 대응할 수 있는 솔루션으로 클라우드 네이티브 보안 솔루션, CNAPP(Cloud Native Application Protection Platform)가 주목받고 있다.
가트너에 따르면 CNAPP는 CSPM(Cloud Security Posture Management), CWPP(Cloud Workload Protection Platform), CIEM(Cloud Infrastructure Entitlement Management) 등의 다양한 보안 기능을 하나의 플랫폼에서 통합하여 제공하며 보안 관리의 복잡성을 줄이고 클라우드 환경에 특화된 보안 환경을 구현할 수 있다는 것이 특징이다.
최근에는 고도화된 보안 위협에 대응하기 위해 AI 기술을 활용한 클라우드 위협 탐지 및 대응 솔루션인 CDR(Cloud Threat Detection and Response)도 CNAPP에 통합되고 있는 추세다.
제대로 된 클라우드 혁신을 이루기 위해선 클라우드 전환과 보안은 반드시 함께 가야만 한다. 기업은 클라우드 환경에 적합한 보안 솔루션을 필수적으로 구축하고 서버의 정기적 감사 수행, 핵심 시스템에 대한 액세스 제한, 보안 담당자 중심의 교육 시행 등 다양한 정책 수립을 통해 일관된 클라우드 보안 관리 체계를 확립해야 한다. 또한 국가 차원에서도 클라우드 보안 산업 지원, 관련 가이드 발간, 클라우드 보안 법규 규제화 등 국내 기업들이 클라우드 보안을 실질적으로 도입할 수 있도록 제도 및 가이드를 적극적으로 수립할 필요가 있다.
클라우드 환경이 발전할수록 새로운 형태의 클라우드 공격 방식은 계속해서 등장할 것이며, 비즈니스의 영속을 위한 안정적인 보안 환경 구성을 위해 기업과 정부 차원의 끊임없는 고민이 필요한 시점이다.
지윤석 세종대학교 정보보호학과 산학협력중점교수
