[新사이버 위협③]"공공기관도 클라우드 쓴다고"….늘어나는 해킹 접점

공공·민간 클라우드 활용 확대 본격화…문제는 공격 표면 증가

여러 클라우드 동시에 쓰는 멀티클라우드·IoT도 일관된 보안 어려워

보안 내재화·통합 보안 전략 필요해…잠재적인 위협 조기 발견도 중요

[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = #2019년 미국의 주요 금융기관 중 하나인 캐피탈 원은 대규모 데이터 유출 사고를 겪었다. 이 사고로 약 1억600만명의 개인정보가 유출됐으며, 이 중에는 14만개의 사회보장번호와 8만개의 은행 계좌번호가 포함됐다.

공격자는 캐피탈 원의 웹 애플리케이션 방화벽(WAF)의 설정 오류를 이용해 SSRF(Server-Side Request Forgery)라는 취약점을 공격했다. 이를 통해 아마존웹서비스(AWS)의 메타데이터 서비스에 접근해 민감한 정보를 탈취했다. 이 사건은 클라우드 환경에서의 보안 취약성이 얼마나 심각한 결과를 초래할 수 있는 지를 보여준 사례로 꼽힌다.

디지털 전환 핵심동력 '클라우드·IoT'…사이버 위협도 크게 늘어

디지털 전환이 가속화되면서 공공·민간 할 것 없이 클라우드와 사물인터넷(IoT) 기기의 사용이 급증하고 있다.

우리 정부는 오는 2030년까지 공공기관에서 활용 중인 대부분의 시스템을 클라우드로 전환하겠다는 계획을 세우고 이를 추진해 나가고 있으며, 민간에서도 일찌감치 국내외 최신 클라우드 기술을 빠르게 도입하고 있다.

공공기관과 민간 기업은 클라우드 도입을 통해 생산성과 효율성을 획기적으로 높이고 있지만, 동시에 새로운 사이버 공격 지점(표면)이 급격히 늘어난 것도 사실이다.

클라우드 플랫폼은 해커가 공격할 수 있는 접점이 많다. 클라우드는 인터넷 기반으로 작동하기 때문에 사용자가 데이터를 저장하거나 애플리케이션을 운영하는 모든 지점이 해커의 잠재적인 공격 목표가 된다. 특히 클라우드 환경에서는 여러 지역에 분산된 서버와 연결되며 이러한 분산된 인프라가 해커들에게 추가적인 공격 경로를 제공한다.

아울러 기존 IT 환경, 특히 전통적인 기존 시스템에서는 조직이 오랜 기간 동안 보안 대비 태세를 강화해 왔다. 그러나 클라우드 환경은 구조가 복잡하며, 많은 조직이 클라우드 서비스에 대한 경험과 기술력이 부족한 상황이다.

최근엔 공공·민간 할 것 없이 여러 클라우드 공급자의 서비스를 동시에 활용하는 '멀티 클라우드' 전략이 주목 받고 있는데 이는 데이터의 유연성과 확장성을 높이는 반면, 관리 복잡성을 키운다는 우려도 있다.

공격자들은 이러한 복잡성을 악용해 클라우드 인프라의 취약점을 노리고 있으며 기업과 기관은 일관된 보안 운영 체계를 구축하는 데 어려움을 겪고 있다.

클라우드를 통해 구동하는 사물인터넷(IoT) 기기의 확산도 이와 같은 문제를 야기한다.

IoT 기기가 클라우드와 연결된 경우, 단 한 번의 해킹으로 전체 네트워크에 침투할 가능성이 커진다. 예컨대 IP 카메라나 스마트 가전이 해킹될 경우, 개인 사생활 정보 유출은 물론 클라우드 저장 데이터까지 위험에 처할 수 있다.

따라서 클라우드와 IoT는 디지털 전환의 핵심 동력임과 동시에 새로운 보안 과제를 던지고 있다는 게 전문가들의 설명이다.

보안 내재화 필수…멀티 클라우드 환경에선 통합 보안 관제 체계 구축 해야

이러한 위협이 커지면서 공공기관과 기업 모두 클라우드 보안 강화를 위한 전략 수립이 절실하다.

'클라우드 보안의 역량은 곧 클라우드 자체의 역량'이라는 게 보안 업계와 전문가들의 설명이다. 이들은 '보안 내재화(Security by Design)'를 강조한다.

보안 내재화란 시스템 설계 초기 단계부터 보안을 염두에 두고 개발·운영 전 과정에 이를 반영하는 방식이다. 이는 기존의 사후 보안 패치 방식에서 벗어나 보안 리스크를 사전에 차단할 수 있는 효과적인 접근법으로 평가받고 있다.

이 가운데 데브섹옵스(DevSecOps)는 클라우드와 IoT 보안을 강화하는 방법론으로 주목받고 있다. 데브섹옵스는 개발(Dev)과 운영(Ops) 과정에 보안(Sec)을 통합하는 방식으로, 보안 검사를 자동화하고 코드 작성 단계부터 잠재적 취약점을 발견해 수정할 수 있도록 한다.

이를 기반으로 멀티클라우드 환경에서는 각 클라우드 플랫폼이 서로 다른 보안 체계와 설정을 갖추고 있어, 통합적인 보안 전략이 반드시 필요하다.

여러 클라우드 환경에서 발생하는 보안 이벤트를 한 곳에서 모니터링하고 관리할 수 있는 통합 보안 관제 체계를 구축하고, 사용자의 신원을 항상 확인하며 최소 권한 원칙을 기반으로 불필요한 데이터 접근을 차단하는 '제로트러스트(Zero Trust)' 보안 모델로 접근 통제를 강화해야 한다.

또 모든 데이터는 이동 중이든 저장 중이든 암호화돼야 하고 정기적인 보안 설정 점검과 업데이트도 필요하다. 잠재적인 위협을 조기에 발견하는 것도 중요한데, 클라우드 환경에서 생성되는 로그를 통합 관리하고 이를 분석할 수 있는 보안 정보 및 이벤트 관리(SIEM) 도구를 활용하면 보안 사고에 신속히 대응할 수 있다.

이글루코퍼레이션 관계자는 "클라우드 환경은 동적으로 변화하며 새로운 위협이 끊임없이 등장하기 때문에 보안을 정기적으로 점검하고 업데이트해야 하며, 이러한 지속적인 관리 체계는 단순히 문제가 발생한 후 대응하는 것을 넘어, 위협을 사전에 예측하고 방지할 수 있는 프로세스를 포함해야 한다"고 설명했다.

☞공감언론 뉴시스 chewoo@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개