구멍난 클라우드 보안
구멍난 클라우드 보안
클라우드 보안 챙겼니?
'아차'하는 순간 다 털린다
  • 김현동
  • 승인 2019.06.10 13:58
  • 댓글 0
이 기사를 공유합니다

생체인증, 지문인식, 홍채인증

보안도 클라우드에 맞춰 진화 中




[2019년 06월 10일] - 전통적인 하드웨어 기반을 고수하던 기업 전산실의 논지는 이와 같다. “보안 측면에서 직접 관리하는 것만 믿을 수 있다.” “남의 서비스에 올라타 남의 손을 빌리는 건 우리 데이터를 남의 손에 맡기는 형국” “나의 자산을 언제든지 들여다볼 수 있는 슈퍼유저 권한을 위탁해 놓고 안전하다는 건 어폐!” 이는 곧 먼저 올라탄 기업을 제외한 후발주자의 클라우드(SaaS) 합류를 주저하게 만드는 결정적인 근거로 작용했다.

그러던 것이 거스를 수 없는 시류가 되자 부랴부랴 흐름에 올라타는 기업의 숫자는 날로 증가추세다. 아직은 윗분들의 보수적인 가치관에서는 의구심이 채 가시지 않은 탓에 하이브리드 형태의 클라우드 구현에 비중을 높이고 있다는 것이 하나의 특징인 것.

중요한 데이터는 기업 내에 둔 자체 서버에 보관하고, 그렇지 않은 데이터 즉 부서별 빈번하게 액세스가 이뤄지는 데이터는 클라우드 기반에 양분하는 형태로 구현에 나선 상황. 하지만 뜻하지 않게 지적된 한 가지 문제 해결책 앞에서 다수 기업이 골머리를 앓고 있다.

온프레미스에서 파이어월, IPS 등으로 관리받던 서비스가 클라우드로 옮겨 타면서 보안 공백에 노출하는 문제가 발생한다. 이전에 운영하던 곳과 같은 정책과 비슷한 수준의 관리가 이뤄져야 하지만 운영 환경과 구동 환경이 달라지면서 담겨있던 데이터까지 위협에 노출될 위기다. 사실상 보안장비만 들이면 끝나던 것이 클라우드에서는 애초에 불가능한 상태다.

미적지근한 국내 보안 시장
해외선 시장 선점에 혈안
180도 달라지는 분위기 만연

여전히 한발 앞서있는 하드웨어 기반 보안서비스. 그와 달리 최첨단이라 일컫는 클라우드 기반 보안서비스는 부진을 면치 못하고 있다. 중소규모 서비스 제공사가 보안이라는 이름을 달고 서비스를 선보였으나 상당수가 오픈소스 기반이기에 무결점을 담보할 수 없다. 혹은 제한된 기능만 간신히 구현해 안전하다고 외치는 형국이라 이 또한 제대로 된 대책에서는 한발 뒤로 물러난 상태다.

시장조사업체 가트너는 클라우드 보안 시장 규모를 오는 2020년까지 90억 달러로 전망했다. 클라우스 성장세와 발맞춰 관련 수요 증가도 이뤄질 거라는 의미다. 그렇다면 보안 시장은 어떻게 대응하고 있을까? 아쉽게도 국내 보안기업의 클라우드 보안 포트폴리오는 여전히 불만족스럽다. 펜타시큐리티시스템이 클라우드 기반의 웹 방화벽 서비스를 내세웠고, 베스핀글로벌은 GuardDuty 침대위협 보안관제 서비스로 대응에 나섰다. 지란지교시큐리티는 기존에 서비스하던 구축형 서비스를 클라우드로 전환해 서비스하는 것이 전부다.

하지만 해외로 눈을 돌리면 국내 상황과 정 반대 분위기다. 미래 먹거리를 두고 치열한 경쟁이 이어지고 있다. 당장 시만텍만 해도 사용자와 인프라를 양분해 각각 용도에 맞는 보안 서비스를 제시했다. 그중 퍼블릭 인프라에 적용 가능한 솔루션인 클라우드 워크로드 프로텍션(Cloud Workload Protection, CWP)으로 시장 대응에 적극적이다.

트랜드 마이크로는 딥 시큐리티(Deep Security)를 내세웠다. 서버에 설치해 동작하는 포괄적 의미에서의 통합보안 솔루션이다. 워치가드(WatchGuard)도 전통적인 붉은색 하드웨어 기반의 보안 솔루션을 클라우드로 옮겨왔다. 하이브리드 클라우드 기반 기업이라면 모두 대응 가능한 솔루션이다. 프랜차이즈 혹은 지사와 같은 형태의 네트워크에서 통합관리에 유리하다.

가장 난해한 보안 로그인 절차
사전 허가받은 대상만 접속허용
휴대 단말기 스마트폰에 주목

따져봐야 할 관건은 관리다. 아무리 효과적인 보안장비를 도입하고 보안 관리를 강화한 들 관리가 제때 이뤄지지 않으면 이 또한 무용지물인 것. 그 점에서 인프라 관리의 효율성을 높이는 기준점은 관리자 로그인이다. 취약과 완벽의 적절한 균형이 어느 한쪽으로 기우는 순간 가려져 있던 결점이 드러난다.

그 때문에 많은 기업이 전자인증절차를 날로 강화하는 데 주력하지만 뜻하지 않게 문제에 봉착하는 이유는 단순히 막기 위한 목적이 편의성을 앞서는 데 있다. 즉 보안은 사용자 편의라는 측면을 가로막는 인상을 심는 순간 ‘불편’을 안긴다. 최근 멀티팩터 인증 도입이 활발하게 이뤄지고 있지만, 현장에서 들리는 목소리는 불만족스럽다. 불편을 야기 위한 인증이 아닌 보안에 효과적인 인증 절차의 도입이 이뤄지지 않고 있다는 방증이다.

활발하게 논의가 이뤄지고 있는 앞면 인식, 지문인식, 홍채 인식은 스마트폰에서는 이미 상용화한 기술이다. 보안인증서 혹은 패턴 그리고 전통적인 비밀번호 방식은 의미가 없다. 특정 IP 대역만 접근하는 방식은 보안면에서 효과적이나 관리 편의가 매우 낮다. 이 점에서 고려될 기술은 스마트폰에서 검증된 생체인증을 연동하는 방법이다.


기업의 운영 환경이 클라우도 전환되고, 과거의 정책은 구시대적인 발상으로 밀려난 상태다. 서버에 접근한 수퍼유저 권한을 획득하고 해킹하던 영화 속의 한 장면은 더는 존재하지 않는다. 어디에 위치한 줄도 모르고 찾는다고 해도 수천 대로 이뤄진 클라우드 클러스터링 노드 중 한 가지만 콕 집어내 해킹하느니 관리자 권한 탈취가 더 효율적인 상황.

지난 2018년 시스코는 네트워크 인증 보안 업체 듀오를 23억 달러에 인수한 바 있다. 사용자와 기기의 신뢰도를 검증해 무결점 인증을 보장하는 핵심 기술을 지닌 기업이다. 팔로알토는 멀티 클라우드 플랫폼 보호를 목적으로 한 VM 시리즈를 내세웠다. 애플리케이션 제어, 사용자 및 콘텐츠 인지 기능과 멀티팩터 인증(MFA)을 통합 구현한다. 아카마이는 원격 사용자, 분산된 비즈니스 환경을 위한 제로 트러스트 보안 모델을 갖췄다. 계정 인증과 싱글사인온(SSO), 멀티팩터 인증(MFA)을 지원하는 계정 인지 기반 프락시로 구성했다.

워치가드도 스마트폰을 이용한 다중 인중 솔루션 어스포인트(AuthPoint)를 기반으로 인증과정의 ID/패스워드 분실 또는 해킹, 도난으로 인한 네트워크 중단이나 데이터 유출 가능성을 낮추는 데 주력하고 있다. 이들 플랫폼은 모두 사용자와 단말의 무결성을 확인하고 중앙에서 관리는 데 유력한 기능을 보장한다.

지루하게 이어지고 있는 창과 방패의 싸움. 랜섬웨어 제작자가 약 2조 3천억 원의 금전 탈취에 성공해 사이버 인질극을 중단할 거라는 소식에 많은 보안전문가는 그저 실소를 금치 못했다. 기업의 정보 탈취가 결국에는 돈이 된다는 것이 입증된 사례 앞에서 지금까지와 같은 정책만으로 신뢰성이 유지될 거라 예상한 다면 그거야 말로 오산이라는 의미다.


By 김현동 에디터 hyundong.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉