섀도우 클라우드 증가로 보안 위협 높아져
클라우드 보안을 위협하는 가장 치명적인 요인은 섀도우 클라우드와 섀도우 데이터다. 비용을 내면 언제든지 서비스를 이용할 수 있는 퍼블릭 클라우드에서 섀도우 클라우드는 매우 심각한 문제로 지적된다.

실제 업무 현장에서 IT 관리 조직의 승인을 얻지 않고 현업부서 혹은 직원 개인이 직접 서비스를 구입해 이용하는 경우가 자주 발생한다. 임의로 퍼블릭 클라우드를 사용할 때 보안 정책을 고려하지 않고 비즈니스와 데이터를 클라우드로 이관하는가 하면, 내부 직원은 물론이고 외부 협력사나 파트너와 클라우드 계정정보를 공유한다.

해당 업무가 종료된 후 클라우드에 저장된 데이터를 정책에 맞게 폐기하거나 이관해야 하는데, 그렇지 않고 방치하는 경우도 비일비재하다. 사내에서 사용하는 계정 정보를 클라우드에서 그대로 쓰는 경우가 일반적인데, 관리되지 않은 섀도우 클라우드에서 계정 정보가 유출됐을 때 공격자가 해당 계정으로 접근할 수 있는 모든 시스템에 다 접근하게 된다. 심지어 개인 계정과 업무용 계정을 동일하게 유지하는 경우도 있어 계정 정보 유출 공격은 매우 심각한 문제다.

이때 악의적인 사용자나 해커가 정상 권한을 위장해 중요한 애플리케이션까지 침투할 수 있으며, 최고권한관리 계정을 추가로 탈취해 사내 중요한 시스템과 인프라에 접근하는 것도 가능하다. 고객정보, 개인정보를 클라우드에 보관하다 관리소 홀이나 실수로 유출했을 경우 대규모 집단소송을 당할 수 있으며, 심각할 경우 EU GDPR 같은 해외 규제 위반으로 막대한 벌금을 물어야 할 수 있다.

클라우드 설정 오류로 인한 장애 ‘심각’
시만텍 조사에 따르면 69%의 기업이 위험한 행동을 하는 사용자를 보유한 것으로 파악하고 있었다. 고위험 사용자나 악의적인 내부자 또는 해커에 의해 발생하는 클라우드 계정 해킹 시도가 25%, 무작위 대입공격 시도가 46%에 이르는 것으로 나타났다. 이와 같은 이유로 클라우드 보안 문제가 해결되지 않고 있다고 생각하는 기업들도 여전히 존재하고 있다.

포스포인트의 ‘2019년 정보보안 예측 보고서’에서는 31%의 기업들이 보안 문제로 클라우드에 데이터를 저장하는 것을 제한하고 있는 것으로 나타났다. 클라우드 운영 중 발생하는 실수나 침해사고 역시 심각한 문제로 지목된다.

팔로알토네트웍스 보고서는 “2020년 퍼블릭 클라우드에서 발생하는 보안 문제의 95%가 고객 과실이 될 것”이라고 전망한 바 있다. 가트너의 2018년 조사에서는 기업의 62%가 ‘클라우드 구성 잘못과 부적절한 셋업으로 인해 클라우드 보안이 위험하다’고 여기고 있었으며, 84%는 ‘기존 보안 툴이 클라우드에서 보안 효과가 없거나 기능이 부족하다’고 답했다.

클라우드 장애로 인해 비즈니스에 피해를 입은 대표적인 사례가 2018년 11월 우리나라에서 발생한 AWS 전산 장애이다. AWS 서울 리전에서 DNS 설정 오류로 장애가 발생해 국내 대표적인 O2O 서비스, 암호화폐 거래소, 금융기관 등의 서비스가 2시간 이상 중단됐다.

내부 직원의 실수로 데이터가 공개되는 사고도 종종 존재한다. 기밀 데이터를 전체공개로 설정하거나 고객 및 파트너와 공유하는 클라우드에 공개하는 등의 실수로 인한 피해가 자주 발생한다. 클라우드 민첩성을 극대화하기 위해 새로운 서비스의 개발-테스트-배포 과정을 단축시키고 있는데, 이 과정에서 취약점 테스트를 제대로 이행하지 않아 보안 취약점이 있는 상태로 서비스가 배포되는 경우도 비일비재하게 일어난다.

클라우드 스토리지 서비스에 악성 코드가 감염되면 순식간에 기업 전체 네트워크로 확산될 수 있다. 클라우드 보안에 있어 가장 심각한 오해는 ‘클라우드는 안전하다’고 맹목적으로 신뢰하는 것이다. 특히 퍼블릭 클라우드는 해당 분야의 전문가들이 IT 시스템을 운영하기 때문에 자체 구축·운영하는 IT 센터보다 안전하다고 믿는 것이다.

그러나 클라우드는 사업자와 사용자가 보안책임을 공유하는 모델을 택하기 때문에 클라우드 안전성에 대해 맹목적으로 신뢰하는 것은 위험하다. AWS 서울 리전 장애에서도 볼 수 있듯, 클라우드 서비스 사업자도 오류나 실수로 인한 서비스 장애를 일으킬 수 있다.

또한 클라우드 사용자의 책임 하에 있는 서비스 영역도 분명히 있다는 점을 명심해야 한다. 클라우드 사업자들은 자사가 제공하는 서비스가 안정적으로 운영될 수 있도록 SLA를 통해 보장한다. 그러나 해당 서비스에서 실제로 가동되는 비즈니스와 데이터는 클라우드 사용자가 책임져야 한다. 따라서 클라우드 사용자는 멀티 클라우드 전체 영역을 아우르는 보안 전략을 수립·운영해야 한다.