??? ???? ?? ?? ??? ?????, ?????? ??? ?? ???? ?? ??? ?? ? ??? ???? ?????. ?? ?????? ?????? ???? ?? ???? ? ?? ??? ???? ???. Credit: alphaspirit.it / Shutterstock 멀티클라우드는 이제 중견 및 대기업에 있어 표준적인 전략이 됐다. 기술 리더들은 유연성과 복원력을 높이고, 다양한 클라우드가 제공하는 부가적인 이점을 활용하기 위해 여러 클라우드 서비스 제공업체를 동시에 사용하는 방식을 택하고 있다. 하지만 이 같은 접근법에는 상당한 보안 과제가 뒤따른다. 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)가 발간한 ‘2‘에 따르면, 최고정보보호책임자(CISO)들은 멀티클라우드 및 하이브리드 클라우드 관리가 자사 보안 전략에서 가장 큰 도전 과제 중 하나라고 답했다. 이는 고가치 자산 및 지식재산 보호, 위협 가시성 및 탐지 향상에 이어 세 번째로 큰 과제로 꼽혔다. 멀티클라우드 보안은 단일 과제가 아닌 복합적인 문제다. CISO와 보안팀이 직면하는 핵심 과제 다섯 가지를 정리했다. 1. 클라우드 전반의 가시성, 놓치면 사각지대 생긴다 이 문제는 많은 보안 리더가 가장 먼저 언급하는 핵심 과제다.프로티비티(Protiviti)에서 글로벌 인프라 및 클라우드 보안 엔지니어링 부문을 총괄하는 랜디 암크네히트(Randy Armknecht)는, 온프레미스든 클라우드든 IT 환경을 정확하고 완전하게 파악하는 일은 늘 어려운 과제였다고 설명한다. 그는 멀티클라우드 환경에서는 이 과제가 훨씬 더 복잡해진다고 강조했다. 암크네히트는 “보안 책임자는 전체 환경을 총체적으로 바라보고 있는지, 모든 리스크를 포착하고 있는지, 놓친 부분은 없는지 확신하기 어려운 상황”이라고 설명했다. 일반적으로 조직은 첫 번째로 도입한 클라우드에 대해선 높은 수준의 가시성을 확보하고 있지만, 이후 확장된 클라우드에 대해서는 시간과 역량, 도구가 부족해 같은 수준의 통찰력을 유지하지 못하는 경우가 많다. 또한 각 클라우드 사업자가 제공하는 관측 도구에 능숙하더라도, 서로 다른 도구에서 수집된 정보를 통합 관리하는 데 어려움을 겪는 것이 현실이다. 그는 “보안 실무자 대부분은 특정 클라우드에 더 익숙하고 자신감도 크지만, 다른 클라우드에 대해선 그렇지 않다”고 말했다. 암크네히트는 멀티클라우드 관측 기능을 제공하는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)과 같은 도구가 이 문제를 해소하는 데 도움이 된다고 설명했다. 그는 “빠르게 전체 가시성을 확보하는 것이 매우 중요하다”며 “문제가 발생한 뒤 ‘왜 몰랐느냐’는 질문을 받고 싶지 않다”고 강조했다. 2. 보안 전략, 통합과 최적화 사이에서 길을 잃다 일부 CISO는 전체 클라우드 환경에 단일 보안 프로그램을 적용하는 반면, 다른 이들은 각 클라우드에 특화된 방식으로 접근한다. IANS 리서치의 펠로우이자 공공부문 CISO인 는 각 전략이 장단점을 지닌다고 설명했다. 그는 “모든 클라우드를 동일하게 다루면 통합된 보안 프로그램을 운영할 수 있지만, 각 클라우드의 고유 보안 도구를 활용하지 못하게 되고, 일부 솔루션은 각 클라우드에서 데이터를 완전하게 수집하지 못하거나, 네이티브 도구만큼 세분화된 기능을 제공하지 못할 수도 있다”라고 전했다. 반대로 괴를리히는 “클라우드별로 깊이 있는 접근을 하면 더 많은 기술이 필요하고, 각기 다른 클라우드를 넘나들며 일할 수 있는 인력을 갖추기 어려워 프로세스, 인력, 기술 측면에서 추가적인 과제가 생긴다”라고 설명했다. 괴를리히는 어느 쪽이 더 낫다고 단정하지 않고, 각 전략의 이점을 비교해 조직의 보안 계획에 맞게 결정해야 한다고 강조했다. 그는 “결국 트레이드오프 문제”라며 “클라우드별 팀을 조직해 네이티브 기능의 가치를 극대화할 수도 있고, 각 클라우드에 대한 기본 이해를 가진 팀을 운영하거나, 높은 수준에서 네이티브 도구를 쓰지 않는 방식을 택할 수도 있다”라고 말했다. 3. 역량 불균형, 멀티클라우드 보안의 숨은 리스크 멀티클라우드 환경을 안전하게 운영하려면 단일 클라우드 환경보다 훨씬 더 많은 역량이 필요하다. 이는 이미 다양한 보안 역량 확보에 어려움을 겪고 있는 CISO에게 더 큰 부담으로 작용한다.게다가 보유한 역량조차 특정 클라우드에 치우쳐 있는 경우가 많다. IANS 리서치 펠로우이자 베드록 시큐리티(Bedrock Security) 최고보안책임자(CSO)인 는 “대부분의 기업은 특정 클라우드에 집중하며 해당 클라우드 중심으로 역량을 키우기 때문에 다른 클라우드에 대한 이해도는 낮다”고 지적했다. 그는 “예를 들어 AWS 로그 수집에 능숙한 팀이라도, 동일한 작업을 애저(Azure)에서 수행하는 데는 자신이 없을 수 있다”고 설명했다. 클라우드마다 로그 형식이 다르기 때문에, 보안 분석을 위한 로그 수집 방식이나 취약점 탐지 방법도 서로 달라진다는 것이다. 이 문제는 앞서 언급한 ‘단일 보안 프로그램과 클라우드별 접근법 간 균형’ 전략을 통해 필요한 역량을 명확히 정의함으로써 해결의 실마리를 찾을 수 있다. 이후 CISO는 조직의 멀티클라우드 전략을 실행할 수 있도록 구성원에게 필요한 역량을 갖추게 하기 위한 체계적인 교육 프로그램을 마련해야 한다. 거초우는 “각 클라우드에 대해 실질적으로 업무를 수행할 수 있도록 직원 교육에 충분한 투자를 해야 한다”고 강조했다. 4. 설정 하나 잘못하면 생기는 보안 구멍 모든 IT 환경에서 보안 설정을 정확하게 적용하는 일은 쉽지 않지만, 멀티클라우드에서는 그 난이도가 기하급수적으로 높아진다. 거초우는 그 원인으로 각 클라우드 제공업체가 제공하는 서비스, API, 관리 인터페이스는 물론 설정 방식과 정책이 모두 다르다는 점을 꼽았다. 결과적으로 보안팀은 각 클라우드의 고유한 도구와 기법을 익히고 숙달하는 동시에, 어떤 설정이 어떤 클라우드에 적용되는지를 정확히 파악해야 하므로 부담이 커질 수밖에 없다. 설정 오류는 실제로도 빈번하게 발생한다. 체크포인트의 ‘‘에 따르면, 퍼블릭 클라우드 보안 사고를 경험한 응답자의 23%는 그 원인으로 설정 오류를 꼽았다. 주요 설정 오류로는 과도하게 허용된 접근 제어, 외부에 노출된 스토리지 버킷, 암호화되지 않은 데이터, 미흡한 네트워크 분리 등이 있으며, 이는 모두 데이터 유출 및 무단 접근으로 이어질 수 있다. 5. 계정·권한 관리 체계의 취약성 멀티클라우드 환경에서 CISO는 계정 및 접근 권한 관리(IAM)에서도 큰 어려움을 겪는다. 마이크로소프트(MS)에서 금융 및 공공부문 사이버 보안 자문을 맡고 있는 은, 단일 클라우드나 온프레미스 환경에서도 IAM은 도전 과제이지만, 멀티클라우드에서는 그 복잡성이 더 커진다고 지적했다. 각 클라우드 제공업체는 고유한 IAM 시스템, 운영 모델, 정책, 프로세스를 갖고 있으며, CISO는 이 모든 환경에 대해 사용자 ID, 역할, 접근 제어 메커니즘을 각각 관리해야 한다. 게다가 멀티클라우드 환경은 API나 서비스처럼 비인간 사용자 계정도 많아, IAM의 범위와 복잡성을 더욱 키우는 요인이 된다. IAM 정책은 수명 주기 전체에 걸쳐 관리돼야 하기 때문에, 정책 간 일관성이 무너지거나 접근 제어의 모니터링·강제 적용에 있어 편차가 생기기도 쉽다. 브라운은 IAM을 멀티클라우드 환경에서 가장 큰 보안 과제로 꼽으며, “정식 프로그램이 없다면 즉시 정립해야 한다”고 강조했다. 그는 “해당 프로그램을 책임질 명확한 임원을 지정해야 하며, 그게 CISO 본인이든 아니든 관계없이 반드시 필요하다”고 말했다. 또한 “전반에 걸쳐 강력한 인증 체계를 적용하고 통합된 전략을 수립해야 한다”라고 조언했다. 그는 이 과제를 어려워하는 CISO들에게 우선순위를 두고 접근할 것을 권했다. “우선, 시스템과 데이터에 높은 접근 권한을 가진 주요 사용자를 중심으로 시작하라”고 조언했다. 이들은 일반 사용자보다 해커에게 더 자주 노리는 대상이기 때문이다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????