클라우드 안정성·효율성 보장하는 CWPP

홈 > 뉴스 > 테크가이드 > 보안

클라우드 안정성·효율성 보장하는 CWPP

[클라우드 내비게이터] ‘워터링홀’ 전락한 클라우드, 보안 방법 마련해야…CWPP로 클라우드 타깃 공격 방어

관련기사

퍼블릭 클라우드 보호 기술 경쟁 시작

2019년 10월 07일 17:04:06

데이터넷

webmaster@datanet.co.kr

[데이터넷] 클라우드 성장 속도가 가파르게 상승하고 있지만, 여전히 많은 기업·기관은 ‘보안’을 우려하며 클라우드 이전을 주저하고 있다. 기업과 개인의 정보가 클라우드에 집중되면서, 공격자는 클라우드를 ‘워터링홀(Watering Hole)’로 여기고, 그 안에서 공격 대상을 찾고 기다리며, 취약한 대상을 공격한다.

클라우드 보안 문제를 해결하지 않으면 클라우드 전환에 속도를 낼 수 없다. 2018년 포브스는 “2020년까지 기업 워크로드의 83%는 클라우드에서 운영 될 것”이라고 전망한 바 있지만, 보안 우려가 높은 상황에서 클라우드 이전은 쉽지 않다.

‘책임공유모델’에 따라 보안 책임 분산

퍼블릭 클라우드는 사업자와 사용자의 책임을 나누는 ‘책임공유모델(Shared Responsibility Model)’에 입각해 운영된다. 대부분의 클라우드 제공 업체는 제공되는 모든 서비스를 실행하는 인프라 즉 하드웨어, 소프트웨어, 네트워킹 등을 보호하는 것이 그들의 책임이며, 기업의 클라우드 워크로드는 그들의 책임이라고 할 수 없다.

따라서 클라우드 이전 시 기업·기관의 책임 범위를 확인하고, 클라우드에 배포된 자산과 컴퓨팅 리소스에 대한 보안 정책을 마련해야 한다. 또한 여러 복합적인 위협으로부터 애플리케이션을 보호하고 성능을 최적화시켜 줄 수 있는 보안 솔루션이 필요하다.

클라우드 보안을 기존 데이터센터 보안과 비슷하다고 생각하고 ‘단일 데이터센터 보안’에서 ‘다중 데이터센터 보안’으로 변경 되는 것이라고 전제할 수 있다. 이 같은 접근은 옳지 않다. 일반 데이터센터는 내부에 위치한 네트워크 자원을 보호하기 위해 내부자 위협 보호와 외부 위협에 대한 경계선 방어를 통해 충분한 보안을 유지 할 수 있지만, 퍼블릭 클라우드 보안은 내부로 생각하는 모든 네트워크 자원이 외부로 인식돼 단순하게 외부 위협을 막기 위한 경계선 방어를 하기 어렵다.

이런 구조적인 약점을 이용해 외부에서 계정을 탈취하고, 퍼블릭 클라우드 상의 데이터 유출을 한다 거나 퍼블릭 클라우드 자원에 액세스해 정상적인 작업 및 서비스를 방해하는 공격 및 공격자들이 회사 자원을 도용하고 비용을 증가시키는 형태의 공격을 하게 된다.

<그림 1> 일반 데이터센터와 퍼블릭 클라우드 보안 비교

다음은 퍼블릭 클라우드 서비스를 사용하는 사진 컬렉션 앱 서비스 기업이 당한 클라우드 해킹 피해 사례다. 이 기업은 2000만여명의 사용자에게 퍼블릭 클라우드 서비스를 해왔다.

1단계 공격자는 스피어 피싱으로 합법적인 사용자를 해킹 한다.

2단계 관리자 계정을 손상시킨 후 자신의 API 액세스 키를 생성한다.

3단계 공격자는 확보된 사용 권한에 액세스해 자신의 역할에 허용된 사용 권한과 작업을 매핑 한다.

4단계 공격자는 사용자 DB의 스냅샷을 생성해 사용자 권한을 악용하기 시작한다. 이 단계 까지도 비정상적인 활동이 일어났지만, 보안 담당자의 눈에 쉽게 띄지 않았다.

5단계 DB 스냅샷 프로세스가 너무 오래 걸리므로 공격자는 마스터 DB를 재설정 한 후 DB를 직접 제어했다. 이 작업으로 인해 정상적인 작동이 중단돼 공격이 감지됐다.

6단계 공격자는 마스터 DB 암호를 재설정 한 후 개인 고객 데이터를 추출하고 공개적으로 복사했다.

이 기업은 이 모든 상황을 발견한 후에도 공격을 막기 위해 2시간 이상의 시간이 더 필요 했으며, 그때까지 데이터가 도난당하는 것을 시켜 보고만 있어야 했고, 결국 2100만명의 사용자 계정이 유출 됐다.

위 사례를 보면, 공격자는 모든 단계에서 데브옵스(DevOps) 엔지니어 또는 권한이 있는 사람이면 실행할 수 있는 일반적인 작업을 이용했다는 것을 알 수 있다. 공격자가 탈취한 시스템 관리자 계정에는 아주 많은 권한이 부여돼 있었다. 초기 단계에서 공격을 인식할 수 있었다면 마지막 사용자 계정 정보 유출까지 진행되지 않고, 공격 단계에서 중단될 수도 있었다. 즉 초기 탐지와 사용자의 과도한 권한에 대한 모니터링 할 수 있었다면 쉽게 막을 수도 있었을 것이다.

CWP, 자동화된 공격 탐지 제공

클라우드와 같은 가상화 환경의 취약점은 가상화 환경에서의 다양한 공격 경로를 통한 악성코드 전파가 용이하다는 점과 악의적인 내부자 또는 관리자 실수에 의해 정보 유출이나 손실이 발생 할 위협이 크다는 것이다. 특히 자원을 공유하고 정보가 집중화 돼 있는 클라우드 환경에서 침해 사고가 발생하면, 자원을 공유하는 모든 사용자의 서비스에 장애가 발생 할 수 있으며, 분산 처리에 따른 데이터 암호화, 사용자 인증, 접근제어 등의 보안 정책을 적용하기 힘들다.

이런 문제를 해결 해 줄 수 있는 클라우드 워크로드 보호(Cloud Workload Protection) 솔루션은 전반적인 클라우드 보안 상태와 기업의 워크로드를 보호 해 줄 수 있어야 하며, 일부 사용자의 과도한 권한에 대해 모니터링 할 수 있어야 하고, 서버 및 클라이언트에 에이전트를 설치하지 않고 분석이 가능한 솔루션이어야 한다. 또한 단순한 공격 탐지가 아닌 시스템이 자동으로 공격의 상황을 분석해 전반적인 상황을 인식 할 수 있는 공격 체인을 보여 줄 수 있어야 한다.

<그림 2> 라드웨어 CWP 서비스 플로우

현재 클라우드 워크로드 보호 플랫폼(CWPP) 시장은 2018년 예상, 10억3000만 달러에서 2023년 21억4000만 달러로 성장해 새로운 클라우드 워크로드를 지원하는 보안 솔루션으로 영역을 넓히게 될 것으로 예상 된다.

이미 우리는 클라우드 환경으로 빠른 속도로 진입하고 있다. 이런 변화에 기업이 충분히 대처하지 못한다면 급속도로 경쟁력을 잃을 것이다. 기업의 클라우드 워크로드를 보호하고 클라우드 기반 공격 경로로부터 개별 클라우드 작업을 보호하기 위해 적극적으로 클라우드 워크로드에 대한 보안을 검토해, 클라우드 서비스의 안정성과 효율성을 보장해야 할 것이다.

글: 김태영 라드웨어코리아 클라우드 보안팀 부장