성공적인 클라우드 전환을 위한 단계별 보안 전략

2024-08-02 천준호

보안은 클라우드 전환을 주저하게 만드는 가장 큰 원인입니다. 2023년 KPMG와 Cybersecurity Insiders의 조사에 따르면, 클라우드 도입 시 보안 문제를 가장 큰 장애 요인으로 꼽았습니다. KPMG의 2023년 클라우드 전환 설문조사에서 응답자의 절반 이상이 보안 문제를 이유로 클라우드 도입을 주저한다고 답했으며, Cybersecurity Insiders의 조사에서도 비슷한 결과가 나타났습니다. 하지만 보안 문제가 해결된다면 클라우드 전환은 더욱 가속화될 수 있습니다.

기업의 클라우드 인프라 전환 단계는 크게 ‘초창기’, ‘과도기’, ‘정착기’ 3단계로 나누어 볼 수 있습니다.

클라우드 보안의 단계적 접근

클라우드 전환 초창기는 기업의 업무 시스템 중 규모가 작고 중요도가 낮은 시스템 위주로, 시범적으로 전환되는 시기입니다. 이 경우는 일부 인프라만 클라우드로 전환된 상태로 대부분의 보안 위협이 Legacy와 동일하기 때문에 기존 보안 솔루션과 수작업에 의한 보안 진단을 통해 대응 가능합니다. 그러나 시범 적용 단계였던 초창기가 지나고 기업의 주요 업무 시스템의 일부 또는 전체가 클라우드로 전환되는 과도기의 경우, 워크로드의 일부 또는 전체를 클라우드 특성에 맞게 재개발하게 되고 개발 방법론도 DevSecOps와 CI/CD 체계로 전환됨에 따라 Legacy 환경처럼 수작업에 의한 보안 관리로는 취약점의 발견과 조치가 어려워집니다. 마지막으로 클라우드 전환 정착기는 모든 워크로드가 처음부터 클라우드상에서 개발되는 단계를 의미합니다. 정착기는 Legacy와는 다른 클라우드를 위한 보안이 필요한 시기입니다. CSP Native 보안 기능을 활용하거나 3rd Party 클라우드 보안 솔루션을 적절하게 활용할 수 있어야 합니다.

이 리포트에서는 클라우드 전환 단계별로 고려해야 하는 클라우드 보안 전략을 상세히 살펴보겠습니다.

클라우드 전환 초창기 - 초기 단계

클라우드 전환 초창기의 주요 보안 위협은 보안 정책과 진단 부재에 의한 혼란입니다. 클라우드 특성이 반영된 보안 정책을 선제적으로 수립하여 혼선을 방지해야 합니다. 클라우드 도입 단계에서 가장 먼저 착수해야 할 일은 클라우드 특성이 반영된 보안 정책을 수립하는 것입니다. 기존 Legacy 환경의 보안 정책을 그대로 클라우드에 적용하는 것은 위험합니다. 클라우드는 인프라 생성과 폐기가 빈번하기 때문에, 이를 고려한 보안 정책이 필요합니다. 클라우드 환경에서는 네트워크 경계가 모호해져서 모든 접근을 검증하고 인증하는 제로 트러스트(Zero Trust) 모델을 적용합니다. 이를 통해 내부자와 외부자의 모든 접근을 동일하게 간주하고 검증하는 철저한 보안 체계를 구축할 수 있습니다. 클라우드 인프라의 생성과 폐기가 빈번하게 이루어지므로, 수작업으로 보안을 관리하기 어렵습니다. 따라서 자동화된 보안 도구를 사용하여 실시간으로 보안 상태를 점검하고, 보안 정책 위반을 자동으로 탐지하고 조치해야 합니다.

한 글로벌 금융 회사는 클라우드로 전환하는 과정에서 철저한 보안 정책 수립을 통해 성공적으로 전환을 이루었습니다. 초기 단계에서 제로 트러스트 모델을 도입하여 모든 접근을 철저히 검증하고, 자동화된 보안 도구를 활용해 실시간으로 보안 상태를 모니터링했습니다. 이를 통해 초기 전환 단계에서의 보안 위협을 최소화하고, 안정적인 클라우드 운영을 시작할 수 있었습니다.

클라우드를 도입하는 경우 외부 공격뿐만 아니라 내부자의 실수나 고의에 의한 보안 사고 가능성도 인정하고 이를 탐지, 대응하는 절차를 마련해야 합니다. 클라우드는 인터넷이 되는 곳이라면 어디서든 접근할 수 있어서 물리적 접근 제어만으로는 보안이 어렵습니다. 심지어 CSP 콘솔을 통해 인프라 생성/삭제와 보안 기능의 설정/해제까지 가능하므로, 각 CSP 콘솔의 기능을 클릭하는 순서까지 정확히 기재된 보안 진단과 조치 가이드를 제공해야 합니다. 취약점 진단 기준을 새로 수립하고, 이를 정기적으로 업데이트하여 최신 위협에 대응해야 합니다.

한 중소기업은 클라우드로 전환하는 과정에서 CSP 콘솔을 통한 인프라 관리가 미숙해 보안 사고가 발생할 뻔한 사례가 있었습니다. 이를 해결하기 위해 정기적인 취약점 진단을 도입하고, CSP 콘솔 사용 가이드를 정교하게 작성하여 모든 관리자가 숙지하도록 했습니다. 그 결과, 이후 클라우드 인프라 관리에서 발생할 수 있는 보안 사고를 사전에 예방할 수 있었습니다.

클라우드 전환 과도기 - 가속화 단계

과도기는 주요 업무 시스템의 일부 또는 전체가 클라우드로 전환되는 시기입니다.

클라우드 인프라의 변화

DevSecOps와 CI/CD 체계를 도입하며, 수작업 보안 관리로는 취약점 발견과 조치가 어려워집니다. 개발과 보안을 동시에 고려하는 DevSecOps 체계를 도입하여, 개발 단계부터 보안을 내재화해야 합니다. 이를 통해 개발 속도를 유지하면서도 보안성을 확보할 수 있습니다. 지속적인 통합과 배포를 의미하는 CI/CD 체계를 도입하여, 코드를 지속적으로 통합하고 배포하는 과정에서 자동화된 보안 검증을 수행합니다. 이를 통해 보안 위협을 신속하게 발견하고 대응할 수 있습니다.

한 IT 스타트업은 빠른 제품 개발과 배포를 위해 CI/CD 체계를 도입했지만, 초기에는 보안이 미흡했습니다. 이를 해결하기 위해 DevSecOps를 도입하고, 개발 단계에서부터 보안을 내재화했습니다. 코드 변경 시 자동으로 보안 검증이 이루어지도록 CI/CD 파이프라인을 구성한 결과, 보안성을 높이면서도 빠른 배포 속도를 유지할 수 있었습니다.

컨테이너 이미지를 정기적으로 스캔하고, CVE(Common Vulnerability & Exposures) 데이터베이스를 활용하여 취약점을 탐지합니다. 특히 인터넷에서 다운로드한 컨테이너 이미지에는 다수의 취약점이 존재할 수 있으므로, 이를 철저히 검증해야 합니다. CWPP(Cloud Workload Protection Platform)는 컨테이너 환경에 특화된 보안 솔루션으로, Registry에 등록된 컨테이너 이미지의 알려진 취약점을 진단하고, 체크리스트 기반으로 컨테이너가 구동되는 Docker, K8s, VM Instance 등을 런타임으로 진단합니다. CWPP는 컨테이너 이미지의 취약점을 정기적으로 스캔하고, 컨테이너가 구동되는 환경을 실시간으로 모니터링합니다. 이를 통해 컨테이너의 짧은 라이프사이클에서도 높은 보안성을 유지할 수 있습니다.

한 대형 제조업체는 클라우드 전환 과도기에서 컨테이너를 적극 활용했습니다. 그러나 초기에는 컨테이너 이미지의 취약점 관리가 미흡하여 보안 문제가 발생할 뻔했습니다. 이를 해결하기 위해 CWPP를 도입하고, 모든 컨테이너 이미지를 정기적으로 스캔했습니다. 그 결과, 컨테이너 환경의 보안을 강화하고, 안전하게 클라우드 전환을 진행할 수 있었습니다.

CSPM(Cloud Security Posture Management)은 클라우드의 Misconfiguration을 탐지하기 위한 솔루션입니다. 클라우드 인프라와 보안 설정의 취약한 설정을 자동으로 탐지하고, 이를 바로잡는 기능을 제공합니다. 이를 통해 보안 사고의 주요 원인인 Misconfiguration을 최소화할 수 있습니다.

한 헬스케어 기업은 클라우드 전환 과정에서 CSPM을 도입하여 클라우드 인프라의 보안 설정을 철저히 관리했습니다. CSPM을 통해 클라우드 설정의 Misconfiguration을 자동으로 탐지하고, 실시간으로 보안 상태를 모니터링한 결과, 보안 사고를 사전에 방지하고 안정적인 클라우드 운영을 유지할 수 있었습니다.

클라우드 전환 정착기 - 최적화 단계

정착기는 모든 워크로드가 처음부터 클라우드에서 개발되는 단계를 의미합니다. 이 단계에서는 CSP Native 보안 기능과 3rd Party 클라우드 보안 솔루션을 적절하게 활용해야 합니다.

CSP Native vs 3rd Party 보안 솔루션 비교

AWS, Azure, Google Cloud 등 주요 CSP가 제공하는 네이티브 보안 기능을 적극 활용합니다. 예를 들어, AWS의 GuardDuty, Azure의 Security Center, Google Cloud의 Security Command Center를 사용하여 위협 탐지와 대응을 자동화합니다. CSP Native 보안 기능은 호출 횟수당, 또는 사용할 때만 지불하는 Pay-per-use 방식으로 비용 효율적입니다. 또한, 별도의 계약과 구매 프로세스 없이 CSP 콘솔에서 클릭 몇 번만으로 즉시 사용할 수 있습니다. 멀티 클라우드 및 하이브리드 클라우드 환경에서는 통합 보안 관리 플랫폼을 사용하여 모든 클라우드와 온프레미스 인프라의 보안 상태를 일원화된 대시보드에서 관리합니다.

한 글로벌 리테일 기업은 클라우드 전환 정착기에서 AWS의 GuardDuty와 같은 CSP Native 보안 기능을 적극 활용했습니다. 이를 통해 보안 위협을 자동으로 탐지하고, 실시간으로 대응하면서도 높은 보안 수준을 유지할 수 있었습니다.

멀티 클라우드 및 하이브리드 클라우드 환경에서는 CSP마다 Native 보안 기능을 사용하기 위한 요금뿐만 아니라 인적 학습 비용도 발생합니다. 이를 해결하기 위해 통합 보안 관리 플랫폼을 사용하여 모든 클라우드와 온프레미스 인프라의 보안 상태를 일원화된 대시보드에서 관리합니다. 최신 위협 정보를 실시간으로 수집하고 분석하여 빠르게 대응할 수 있는 보안 인텔리전스 체계를 구축합니다. 이를 통해 새로운 위협에 신속하게 대응하고, 보안 사고를 미연에 방지할 수 있습니다.

한 금융 기관은 멀티 클라우드 환경에서의 보안을 강화하기 위해 통합 보안 관리 플랫폼을 도입했습니다. 이를 통해 모든 클라우드 인프라와 온프레미스 시스템의 보안 상태를 중앙에서 모니터링하고 관리할 수 있었습니다. 또한, 보안 인텔리전스 체계를 구축하여 최신 위협에 신속하게 대응함으로써 금융 데이터를 안전하게 보호할 수 있었습니다.

클라우드 보안의 역량은 곧 클라우드 자체의 역량으로 귀결됩니다. 따라서 클라우드 및 클라우드 보안과 관련된 내부 운영 인력들의 역량 강화를 위해 정기적인 교육과 훈련을 실시해야 합니다. 자체 인력의 역량 강화가 어려운 경우, Managed Service Provider (MSP) 또는 Managed Security Service Provider (MSSP) 등을 통해 전문적인 도움을 받는 것이 좋습니다. 이를 통해 클라우드 보안의 복잡성을 해결하고, 안정적인 클라우드 운영을 유지할 수 있습니다.

한 대기업은 클라우드 전환 정착기에 내부 운영 인력의 보안 역량 강화를 위해 정기적인 교육 프로그램을 도입했습니다. 클라우드 보안 전문가를 초청하여 최신 보안 트렌드와 기술을 교육하고, 실제 사례를 기반으로 한 실습을 통해 실무 능력을 향상시켰습니다. 이를 통해 내부 보안 인력의 역량을 강화하고, 안정적인 클라우드 보안 체계를 유지할 수 있었습니다.

결론

클라우드 전환은 단순 인프라 전환이 아닌, 보안 정책과 보안 시스템의 전환을 포함합니다. 각 전환 단계에 맞는 최신 보안 전략을 수립하고 현재의 클라우드 전환 단계에 따라 적절한 보안 조치를 취함으로써 안전하고 효율적인 클라우드 환경을 구축할 수 있습니다. 이 리포트를 통해 클라우드 전환의 각 단계에서 필요한 보안 전략을 파악하고, 이를 실천하여 성공적인 클라우드 전환을 이루시기 바랍니다.

이 글이 좋으셨다면 구독&좋아요

여러분의 “구독”과 “좋아요”는
저자에게 큰 힘이 됩니다.

천준호 보안 전문가

삼성SDS 클라우드보안서비스그룹

지난 10여년의 절반은 클라우드 조직에서 보안 업무를, 나머지 절반은 보안 조직에서 클라우드를 담당했습니다. 지금은 신생 클라우드보안서비스그룹이 다양한 경험을 가진 동료들이 모여 새로운 기회를 얻는, 이민자의 부서가 될 수 있도록 노력하고 있습니다.

성공적인 클라우드 전환을 위한 단계별 보안 전략

클라우드 전환 초창기

클라우드 전환 과도기

클라우드 전환 정착기

클라우드 전환 초창기 - 초기 단계

클라우드 전환 과도기 - 가속화 단계

Legacy

Virtualized

Container

클라우드 전환 정착기 - 최적화 단계

비용 효율성

가용성

탄력성

도입 및 전환 속도

Multi 클라우드

Hybrid 클라우드

난이도 및 기술지원

결론