기업들은 운영 개선과 혁신 촉진을 위해 점점 더 클라우드 서비스에 의존하고 있다. 이러한 사용 증가로 클라우드 환경을 타깃으로 하는 사이버 공격도 늘어나 강력한 클라우드 보안의 필요성이 강조되고 있다.

최근 사고 사례가 이 문제의 심각성을 보여준다. 4월 AT&T는 해킹 포럼에 고객 개인정보가 노출되면서 5100만 명의 고객이 데이터 유출 피해를 입었다고 발표했다. 홈디포(Home Depot)는 SaaS 벤더 중 일부가 직원 데이터 일부를 실수로 노출시켜 표적 공격용 피싱에 활용될 수 있었다고 확인했다. 로쿠(Roku)는 3월 초, 1만 5천 건 피해 사례 이후 57만 6천 건의 계정이 크리덴셜 스터핑 시도에 대한 경고를 발령했다. 사이버시큐리티 벤처스(Cybersecurity Ventures)는 2024년 전 세계 사이버 범죄 비용이 9조 5천억 달러에 이를 것으로 예측했다.

따라서 기업은 직면한 위협과 중요 데이터 보호 및 인프라 무결성을 보장하는 방법을 이해해야 한다. 주요 과제와 이행할 모범 사례를 살펴보면 향후 위험을 성공적으로 방어할 수 있을 것이다.

클라우드 위협의 진화

클라우드 기반 서비스의 확산으로 전 세계 해커의 공격 수도 크게 증가했다. 온라인상 정보가 많아지면서 범죄자들이 다양한 취약점을 노리는 새로운 해킹 방법을 찾아냈다.

이런 취약점으로 인해 비밀번호와 같은 민감 정보가 들어 있는 중요한 파일이 유출되어 추가 네트워크 침해로 이어질 수 있다. 공유 책임 모델에서 모든 것이 연결되어 있으므로 고객과 클라우드 서비스 공급업체(CSP) 모두 인프라 관련 부분을 포함한 클라우드 환경 보안에서 중요한 역할을 한다.

클라우드 고유의 취약점도 주요 문제가 되었다. 예를 들어, S3 버킷 노출이나 액세스 제어 실패 등의 설정 미비로 인한 대형 데이터 유출 사고가 발생했다. 내부자 위협과 권한 있는 액세스 관리도 위험 요인이다. 권한이 높은 내부자나 계정 해킹 시 큰 피해가 발생할 수 있기 때문이다.

클라우드 보안 과제

클라우드 사용 시 기업이 다뤄야 할 보안 과제는 다음과 같다.

⦁데이터 유출 및 무단 액세스: 데이터 유출은 가장 일반적인 공격 형태다. 해커나 기타 수단으로 시스템에 불법 침입해 민감 정보를 탈취한다.

⦁규정 준수: 지역별로 기업의 고객 데이터 관리 법률이 제정되면서 클라우드 운영 기업은 이를 준수해야 한다. 위반 시 막대한 벌금과 신뢰 상실로 인해 기업이 붕괴될 수 있다. 또한 NIST 사이버보안 프레임워크, ISO 27001 등 기관 표준을 따르면 민감 데이터 보호와 강력한 보안 태세 유지에 도움이 된다.

⦁하이브리드 클라우드 환경: 온프레미스 인프라와 공용 클라우드 서비스를 결합한 하이브리드 클라우드 아키텍처는 추가 보안 문제를 제공한다. 환경 간 데이터 이동 시 유출이나 무단 액세스 위험이 있다. VPN 연결 취약, 방화벽 오설정 등 상호연결 문제로 클라우드 리소스가 공격에 노출될 수 있다.

⦁제3자 클라우드 서비스: 제3자 클라우드 서비스 및 공급업체 활용 시 추가 위험이 따른다. 보안 상태, 규정 준수 정책, 데이터 보호 조치 등을 철저히 검증하면 위험을 줄일 수 있다.

클라우드 보안 모범 사례

기업은 다층 보호 계획을 수립해 효과적으로 클라우드 환경을 방어할 수 있다. 이 방식은 액세스 제한, 데이터 암호화, 지속적인 모니터링, 정기 보안 감사 등 여러 단계에서 보안 조치를 마련하는 것이다.

⦁액세스 제어: 클라우드 리소스 보호를 위해 액세스 제어가 필수적이다. 역할 기반 액세스 제어(RBAC), 다단계 인증(MFA), 최소 권한 원칙 등 강력한 ID 및 액세스 관리(IAM) 방법을 구현하면 무단 액세스 시도를 차단할 수 있다. 안전한 액세스 관리 체계를 유지하려면 모든 사용자 권한을 정기적으로 검토하고 감사해야 한다.

⦁데이터 암호화: 데이터 암호화를 통해 무단 액세스를 차단할 수 있다. AWS KMS, 애저 키볼트 등 암호화 관리 서비스를 사용하면 안전한 키 저장소와 관리가 가능하다.

⦁모니터링 및 탐지: 지속적인 모니터링과 실시간 위협 탐지는 진행 중인 공격을 즉시 식별할 수 있어 효과적인 보안 대응 계획 수립의 주요한 기반이 된다. 클라우드 네이티브 모니터링 도구와 통합된 보안 정보 이벤트 관리(SIEM) 솔루션을 통해 중앙집중식 로깅이 가능하며 실시간 알림과 사고 대응 기능을 제공한다.

⦁보안 감사: 클라우드 인프라 내 취약성을 식별하려면 정기적인 보안 평가와 감사가 필수적이다. 침투 테스트, 취약점 스캐닝, 구성 검토 등을 통해 잠재적인 격차를 사전에 적극적으로 노출시켜 개선할 수 있다.

⦁인식 제고 및 교육: 직원 대상 정기 웹 세미나, 교육을 통해 피싱 사기, 사회공학 공격 등 잠재적 위험을 알려야 한다. 그렇지 않으면 보안 인식 제고 조치를 무시하여 사이버 위협에 더 취약해진다.

⦁패치 관리: 알려진 취약점을 해커가 악용하지 못하도록 견고한 패치 관리 프로세스가 필수적이다. 시스템, 라이브러리, 애플리케이션을 정기적으로 업데이트하고 패치하면 모든 시스템과 소프트웨어가 최신 상태로 안전해진다.

하이브리드 클라우드 보안 고려사항

온프레미스 인프라와 공용 클라우드가 결합된 하이브리드 클라우드 환경에는 독특한 보안 과제가 있다. 데이터 유출이나 무단 액세스를 방지하려면 안전한 마이그레이션 도구와 기술이 필수적이다. 데이터를 전송하기 전에 암호화하고 마이그레이션 중 양쪽 끝단에서 제어를 해야 관련 위험을 줄일 수 있다.

하이브리드 클라우드 환경의 네트워크 분할에는 철저한 상호연결 계획이 필요하다. 방화벽 연결, 방화벽 및 네트워크 액세스 제어를 신중하게 구성하여 온프레미스 리소스와 클라우드 호스팅 리소스 간에 승인된 트래픽만 이동하도록 해야 한다.

하이브리드 클라우드 환경 전반의 가시성을 확보하려면 위협 탐지 능력 향상을 위한 중앙집중식 모니터링이 필요하다. SIEM 솔루션을 통해 온프레미스와 클라우드 시스템의 보안 로그를 수집하면 기업의 보안 상태에 대한 통합된 관점을 얻을 수 있다.

미래 동향과 대비

기업이 클라우드 컴퓨팅을 더욱 적극적으로 수용할수록 새로운 트렌드에 대비해야 한다. 디바이스나 위치에 관계없이 지속적인 인증과 권한 부여를 가능케 하는 제로 트러스트 보안 모델이 점점 인기를 얻고 있다.

클라우드 보안 솔루션에 인공지능(AI)과 머신러닝(ML) 기술이 통합되기 시작했다. AI/ML 알고리듬으로 방대한 보안 관련 정보를 분석하면 실시간으로 이상 징후를 탐지해 지능형 공격을 사전에 방어할 수 있다.

DevOps 파이프라인의 새로운 트렌드는 시프트 레프트(Shift-Left) 보안 접근법이다. 개발 초기 단계에 보안 테스트와 통제를 통합하면 프로덕션 환경에 배포되기 전에 취약점을 발견하고 수정할 수 있다.

데이터 보호 규정이 변화하고 있어 지속적인 규정 준수와 이행이 필수적이다. 기업은 클라우드 배포가 업계 표준과 모범 사례를 준수하는지 확인하며, 변화하는 규정 요구사항을 계속 파악해야 한다.

기업과 클라우드 서비스 공급업체 간 위협 인텔리전스 공유가 새로운 위협 대응에 매우 중요하다. 위협 정보, 침해 지표(IoC), 모범 사례를 공유하면 공동 방어 체계를 구축할 수 있다. 클라우드 보안에 선제적으로 대응하려면 잠재적 위험에 계속 경계하면서도 기존 방식을 잊지 않고 새로운 접근법을 받아들일 수 있는 열린 자세가 필요하다.

선제적이고 준비된 자세

혁신과 민첩성을 위해서는 기업이 클라우드를 도입할 때 보안을 최우선 과제로 삼아야 한다. 변화하는 위협 환경과 클라우드 고유의 과제에 대응하려면 다층적인 사전 예방적 접근 방식이 필요하다.

증가하는 디지털 위협으로부터 보호하기 위해 기업은 강력한 액세스 통제, 데이터 암호화, 지속적 모니터링, 정기 보안 감사, 보안 인식 제고 및 교육 등의 모범 사례를 따를 수 있다. 안전한 데이터 이동, 네트워크 분할, 중앙 집중식 가시성 등 하이브리드 클라우드 보안 고려사항 또한 온프레미스와 클라우드 경계를 넘나드는 데이터 보호에 중요하다.

궁극적으로 클라우드 보안 개선은 기업과 서비스 제공업체가 공동 노력해야 한다. 기업은 직원들에게 위협 인식 문화를 심어주고, 최신 기술을 활용하며, 데이터가 클라우드로 안전하게 이동할 수 있도록 노력하는 업계 관계자들과 긴밀히 협력해야 한다.

*필자 라치트 굽타는 정보 보안 분야에서 14년 이상의 광범위한 경험을 보유한 사이버 보안 전문가다. 모바일 및 클라우드 보안을 전문으로 하는 그는 진화하는 디지털 위협으로부터 조직을 적절하게 보호해 왔다. 라치트는 조지아공과대학에서 사이버 보안 석사 학위를 취득했다.

(* 이 칼럼은 GTT KOREA의 편집 방향과 다를 수 있습니다.)