클라우드 서비스 규모에 따라 달라지는 보안 거버넌스
지금까지 클라우드 환경의 특징과 보안 아키텍처를 수립하고 클라우드 서비스 제공자가 제공하는 여러 가지 보안 기능에 대해 살펴봤습니다. 클라우드 환경의 보안 아키텍처를 수립한 이후에는 어떻게 해야 할까요? 바로 보안 거버넌스(Security Governance) 체계를 정립해야 합니다. 보안 거버넌스란, 수립된 보안 아키텍처를 현장에 맞게 변화하는 상황에 따라 맞춰가는 활동인데요. 우리가 운영하는 클라우드 규모에 따라 클라우드 서비스의 보안 거버넌스를 어떻게 가져가야 하는지 살펴보겠습니다.
# 소규모 클라우드 보안 거버넌스
소규모 클라우드를 이용하는 주된 목적 중 하나는 비용과 인력 부족을 해결하기 위한 경우가 많은데요. 최소한의 비용으로 솔루션이나 서비스를 개발하기 위해 클라우드를 사용합니다. 이런 경우에는 제품이나 서비스 수준에 따라 3단계로 보안 거버넌스를 운영할 수 있습니다.
보안 기본정책 관리는 클라우드에서 제공하는 자체 보안 기능입니다. 비용이 발생하지 않는 범위 내에서 보안 수준을 높이는 방법이죠. 온 프레미스와 같이 계정, 접근 제어, 로그 설정 등 보안 설정을 하고 커뮤니티와 교육 등을 통해 클라우드 서비스의 활용 능력을 향상시킬 수 있고, 클라우드 관리 콘솔을 활용하여 클라우드 자체 기능으로 관리를 할 수 있습니다.
과기정통부에서는 클라우드 환경에서 보안 기술·서비스 적용 및 인식을 높이기 위해 클라우드 이용 기업의 CEO, 실무자를 대상으로 클라우드 보안 전문교육을 하고 있습니다. 중소·영세기업의 안전한 클라우드 서비스 개발을 위해 소스 코드 보안 취약점 사전진단 및 보안 컨설팅도 하고 있으니, 본인이 소속된 회사가 해당 지원을 받을 수 있는지 확인해 보면 좋겠죠?
클라우드 서비스 규모가 점점 더 커지는 경우도 발생하는데요. 보다 전문적인 클라우드 보안 서비스를 위해 CASB(Cloud Access Security Broker)나 클라우드 보안 관제와 같은 서비스를 추가 검토할 수 있습니다. CASB는 클라우드 서비스 사용자와 클라우드 서비스 제공자 사이에서 위치한 허브라고 볼 수 있는데요. 클라우드 환경에서 중앙 데이터 인증과 암호화 등 보안 기능을 제공합니다. 사용자가 클라우드에 접속하기 전에 사용자 접근 인증, 웹 애플리케이션의 트래픽 필터링, ID 관리, SSO Single Sign On, 개인정보 보호법에 따른 규칙과 정책 준수 등을 관리하고 가시성을 높여줍니다.
# 대규모 클라우드 보안 거버넌스
대규모 클라우드 서비스를 관리하려면 이용과 해지 프로세스가 필요합니다. 여러 가지 퍼블릭 클라우드를 사용하는 멀티 클라우드나 온 프레미스와 퍼블릭 클라우드를 함께 사용하는 하이브리드 클라우드와 같이 다양한 클라우드 환경이 존재할 수 있기 때문에 보안 위협 대응과 모니터링을 위한 클라우드 보안관제도 필수적입니다.
클라우드 보안 설정과 보안 점검 프로세스의 3가지 측면에서 보안 거버넌스를 수립할 수 있습니다.
첫 번째, 클라우드 사용과 해지 프로세스를 수립하는 것입니다. 클라우드의 생성과 해지는 자산 관리, 현황 관리의 시작이죠. 클라우드를 각 부서에서 개별적으로 신청할 경우 기업 데이터가 외부 클라우드로 노출되는 부분을 통제하기 어렵습니다. 다시 말해, 클라우드 서비스의 신청자와 신청 목적을 정확히 관리하지 못하면 어떤 데이터가 외부 클라우드 서비스로 전달되고, 어떤 사용자가 데이터에 접근하는지 통제할 수 없습니다. 특히 테스트나 개발 목적으로만 사용하고 관리하지 않고 있는 클라우드 서비스야말로 보안 취약점으로 볼 수 있습니다. 임시 사용 목적으로 구축했다는 생각에 보안 설정이나 계정에 대한 접근 제어, 액세스 키 등이 관리되지 않아 불필요한 리소스 생성이나 해킹에 악용될 수 있죠.
두 번째, 클라우드 보안 관제 프로세스를 운영하는 것입니다. 클라우드 환경은 책임 추적성 확보가 중요하다고 말씀드렸었죠? 보안 사고 발생 후 조사를 위해 클라우드 서비스 제공사에게 로그를 요청할 수 있지만, 충분한 로그가 없을 경우가 많습니다. 따라서 클라우드 사용 시 보안 관제를 꼭 적용해야 합니다. 클라우드 전담 부서는 클라우드 서비스별로 보안과 관련된 시나리오를 만들고 클라우드에서 제공하는 API나 로그 설정을 이용하여 여러 클라우드 서비스에 대한 모니터링을 수행해야 합니다.
서비스별 사용 서버 현황을 주기적으로 모니터링하면서 사용되는 서버 숫자가 갑자기 증가하거나 감소하는 경우가 생기면, 보안 부서와 클라우드 사용 부서에 연락해 해당 클라우드 서비스의 계정 탈취 여부나 악성코드 감염에 대한 보안 감사를 진행합니다. 예를 들어, 서버 CPU 점유율이 갑자기 높아질 때는 채굴 프로그램이나 악성코드 감염을 의심할 수 있는데요. 이럴 경우 해당 서버를 격리하고 클라우드 방화벽 로그 설정 분석과 특정 IP 전송 여부를 조회하면서 보안부서와 함께 사고조사에 들어갑니다.
삼성SDS도 멀티 클라우드 환경에 대한 클라우드 보안 서비스를 제공하고 있습니다. 제공하는 서비스로는 SECaaS(Security as a Service: 클라우드 보안 서비스) 기반 웹 방화벽(Web Application Firewall), DDoS(Distributed Denial of Service Attack) 관제 서비스, 호스트 기반 침입탐지시스템(Intrusion Detection System) 서비스 등이 있습니다.
보안 거버넌스 수립을 위해 고려할 세 번째 측면은 클라우드 보안 설정과 보안점검 프로세스 운영입니다. 최근 클라우드 서비스 제공사에서 클라우드 시큐리티 관련 서비스를 추가해 보안 설정이나 위험한 클라우드 환경에 대한 정보제공을 하고 있는데요. 기업 보안 설정과 보안 기준 충족을 위한 자동화 도구를 개발하여 실시간으로 변경되는 자원에 대한 보안 설정과 보안점검 항목을 지속적으로 업데이트하고, 자동화하기 위한 노력을 하고 있습니다.
클라우드 서비스의 내부 관리 정책이나 설정 방법은 변화하는 환경에 따라 바뀔 수 있는데요. 기업에서 요구하는 보안 정책을 설정하기 위한 보안 가이드가 클라우드 서비스 별로 각각 다를 수 있기 때문에 클라우드 서비스 제공자별로 보안 설정 가이드도 필요합니다.
자동화가 가능한 항목과 수동으로 점검해야 할 항목을 구분해서 수동 점검 항목을 자동화할 수 있는 방법을 지속적으로 연구할 필요도 있습니다. 보안점검은 최대한 자동화하고 사각지대가 없도록 보안 거버넌스를 지속적으로 관리해나가야만 클라우드 보안 거버넌스를 확보할 수 있습니다.
다음 시간에서는 현장에서 발생할 수 있는 클라우드 보안 이슈 사례와 해결 방법에 대해 알아보겠습니다.
+ 클라우드 보안 입문서를 소개합니다! <클라우드 x 보안 실무 가이드> 저자 인터뷰
+ 언제 어디서나 마음대로 사용하는 클라우드
+ 클라우드 서비스를 선택하는 방법 ‘클라우드의 유형과 서비스 종류 알아보기’
+ 클라우드 서비스의 장·단점과 국내외 시장 동향
+ 클라우드 환경의 속성과 보안 특수성
+ 클라우드 환경의 공통 보안 서비스와 네트워크 보안 서비스
+ 클라우드 환경 내 컴퓨팅 자원과 애플리케이션 자원의 보안 서비스
+ 콘텐츠 보안과 클라우드 보안운영 서비스
+ 가용성 측면의 클라우드 보안 아키텍처
+ ‘성능과 보안의 양립점 찾기’ 성능 향상을 위한 클라우드 보안 아키텍처
+ 데이터 안전성을 위한 클라우드 보안 아키텍처
+ 비용 효율을 위한 클라우드 보안 아키텍처
+ DevOps 환경의 클라우드 보안 아키텍처
+ 파이썬을 활용한 클라우드 서비스 보안 관리
+ Ansible을 활용하여 클라우드 내 외부 침입 방어하기
출처: 클라우드 x 보안 실무 가이드(황치하·양지언 지음)
