클라우드 시대의 보안, 간단히

Column 053

2017-07-21-1500597132-9864308-53_00.jpg

IT 보안, 어렵다. 쉽다더라도 제대로 해내기 힘든 일일텐데 어려우니까 더 힘들다. 고작 서버 하나 운영하려 해도 해야 하는 일들이 너무나 많다. 게다가 요즘은 클라우드가 대세다. 기업의 컴퓨팅 환경을 기업이 직접 관리하지 않으니 기존 온갖 보안 문제들로부터 자유로워진 셈일까. 그렇지 않다. 클라우드 서비스 제공자는 하드웨어 수준에서의 보안은 제공해 주지만 어플리케이션 그리고 데이터 보안은 여전히 서비스 이용자의 몫이다. 이에, 오늘날 IT 보안의 핵심, 정말 필수적인 핵심만 간단히 짚어 보자. 물론 이게 IT 보안의 전부는 아니다. 하지만 이 정도만 따르더라도 대부분의 IT 보안 사고는 가볍게 막을 수 있다.

막을 수 있었던 사고들 : WAF

보안 사고의 종류는 다양하다. 뉴스를 봐도 매일 이런 사고 저런 다양한 사고들이 끊임없이 터지니까, 저 수없이 많은 공격들을 어떻게 일일이 다 막아 낸단 말인가, 애초에 포기해야 하나 싶은 생각마저 들 정도다. 하지만 최근 일어나는 모든 보안 사고의 90% 이상은 웹 어플리케이션을 통해서 일어난 사고다. 사고 종류는 다양하지만 그 시작점은 웹 어플리케이션, 특히 웹 컨텐츠 레벨에서의 취약점에서부터 시작되어 이후 여러 다양한 종류의 사고로 이어진 것들이다. 즉, 진작에 웹 어플리케이션 방화벽만 가동했더라도 충분히 막을 수 있었던 사고들이다.

그럼에도 막지 못한다면? : 암호화
그럼에도 사고는 꼭 발생하고야 만다. 이는 아주 중요한 시각이자 인식이다. 흔히 IT 보안은 사고가 아예 일어나지 않을 것을 전제하고 하는 일이라고 생각한다. 그렇지 않다. IT 보안은 사고가 일어날 것을 전제하고 하는 일이다. 무조건 완전한 방어만을 전제한다면 만약의 사고 발생 이후 원상으로의 회복력이 현저히 떨어지기 때문에 기업에 있어 가장 중요한 일인 비즈니스 연속성을 유지할 수 없다. 따라서 사고 발생을 전제한 채 “문제는 회복력”, 이것이 요즘 IT 보안의 패러다임이다. 세상 모든 방어망은 뚫릴 가능성을 가지고 있고 모든 데이터는 유출될 가능성을 가지고 있다. 그것이 데이터란 것의 애초 성질이다. 따라서 데이터 유출을 막기 위해 최선을 다하되, 동시에 데이터가 유출되는 경우까지 대비해야 한다. 그런 일이 벌어졌을 때에도 최악의 상황, 즉 데이터 내용의 노출을 막을 방법은 데이터 암호화뿐이다. 범죄자들이 데이터를 훔치는 일까지는 혹시 성공하더라도 데이터의 내용을 볼 수는 없게끔, 즉 훔친 데이터를 써먹을 수는 없게끔 만들어야만 피해를 최소화할 수 있다.

클라우드는 클라우드로 : 클라우드 보안
클라우드 컴퓨팅에 대한 의심은 아직 완전히 사라지지 않은 것 같다. 클라우드는 아직 완성도가 낮은 기술이고 기존 시스템 사용에 비해 쓸데없이 복잡하기만 할 뿐 왠지 안전하지 않을 것 같다는 부정적 편견이 여전하다. 하지만 이는 아직 클라우드를 써 보지 않은 사람들의 오해일 뿐, 실제로 클라우드를 도입해 사용해 본 기업은 태도가 완전히 반대로 바뀌어 완전 찬양 일색으로 돌아선다. 특히 클라우드를 통해 신규 어플리케이션 및 서비스 적용에 소요되는 시간이 전과 비교할 수 없을 정도로 단축되고 유지 및 보수 비용 또한 크게 절감했다며 만족한다. 그리고 아직 클라우드로 전환하지 않은 기업들은 이미 클라우드로 전환한 기업의 비즈니스 속도를 따라잡지 못할 것이라고 한 목소리로 답한다. 즉, 클라우드는 확실한 대세다.
그래서 요즘은 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 아주 유명하고 거대한 클라우드 회사가 대신 맡아서 처리해 주고 있으니까 보안 문제도 아예 없을 거라고 믿는다. 하지만 이는 아주 심각한 오해다. 클라우드 서비스 제공자는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 어플리케이션 그리고 데이터 보안에 대한 책임은 순전히 서비스 사용자의 몫이다. 이는 컴컴한 비밀도 아니고 서비스 제품 설명서에 명백히 쓰여져 있는 사실이다. 그럼, 무엇을 어떻게 해야 할까. 이를테면 웹 어플리케이션 보호를 위해 예전처럼 WAF 하드웨어를 직접 설치해 운용할 수 없을 때, 어떻게 해야 할까. 클라우드는 클라우드로 막는다. 클라우드 환경에 부합하는 클라우드 보안 시스템을 도입해 운영할 수 있고, 복잡한 설치 과정 없이 단지 클릭 몇 번으로 기존 하드웨어 WAF와 동일한 클라우드 보안 서비스를 제공 받을 수도 있다.

스타트업의 보안 : 클라우드 보안 서비스
아주 중요한 주제가 또 있다. 스타트업이다. 스타트업은 파괴적 혁신과 아이디어를 통해 단기간 초고속 성장을 지향하는 신생 기업이며 대개 자유로운 기업 문화를 자랑한다. 이는 다시 말해 보안이나 안전을 크게 신경 쓰지 않을 위험이 크다는 뜻이기도 하니, 스타트업의 보안 사고는 정말이지 끊임없이 일어난다. 사업 확장과 마케팅에만 집중하다 보니 보안을 중요하게 여기지 않는 것이다. 그러다가 다른 스타트업이 보안 사고 때문에 와르르 무너지는 걸 보고 그제서야 보안의 필요를 깨닫곤 한다. 그러나, 깨닫기만 한다.
하지만 규모가 작은 스타트업이 대기업 수준의 보안 시스템을 갖출 방법이 없다는 호소도 무시할 수는 없다. 대기업 수준의 보안 시스템은 돈이 아주 많이 드는 일인데, 사업을 시작할 때부터 돈이 많은 스타트업은 거의 없으니까. 그러나, 방법은 있다. 클라우드 시대라, IT 보안 또한 클라우드 서비스로 제공된다. 클라우드 서비스란 네트워크를 통해 컴퓨팅 환경과 기능을 제공하는 서비스다. 기술적으로 말하자면 ‘탄력적 온-디맨드 가상 머신’이며, 따라서 사용량에 따라 자원량이 늘기도 줄기도 하는 신축성을 지니므로 서비스를 사용한 양만큼만 비용을 지불하면 된다. 요즘은 기업정보보안의 가장 중요한 3대 요소 웹 보안, 데이터 암호화, 인증 보안 모두 다 클라우드 서비스 형태로 제공되므로 스타트업이더라도 얼마든지 대기업 수준의 보안 역량을 갖출 수 있다.

클라우드 시대의 보안
요약하면,
– 사고는 대부분 웹 어플리케이션에서 일어난다. WAF를 이용해 방지하자.
– 그럼에도 사고가 일어난다면 데이터 암호화를 통해 최악의 상황을 피하자.
– IT 보안 시스템을 직접 운영할 수 없는 상황이라면 클라우드 보안을 적용하자.
– 비용 때문에 보안을 제대로 할 수 없는 스타트업은 클라우드 보안 서비스를 쓰자.
클라우드 시대의 보안, 이렇게 하면 된다.