[데이터넷] 강화되는 규제도 클라우드 위협 수준을 높인다. 공공 클라우드를 위한 CSAP, 금융 클라우드를 위한 CSP 안전성 평가, 의료 분야 클라우드 EMR 인증제, 개인정보보호법 등 여러 규제를 지켜야 한다. 금융·공공 망 분리 완화 조치에 따라 내부망에서도 클라우드 사용이 가능하지만, 까다로운 규제 요구사항을 만족시켜야 한다.

유럽을 시작으로 세계 여러 나라에서 ‘클라우드 주권(소버린 클라우드, Sovereign Cloud)’을 강조하고 있는 것도 클라우드 규제 리스크로 지목된다.

2020년을 전후로 미국 빅테크 기업들이 전 세계 IT 시장을 독점하는 것을 경계하기 위해 유럽을 중심으로 디지털 주권 강화 움직임이 시작됐다. 러시아-우크라이나 전쟁 발발을 비롯한 지정학적 긴장 고조로 디지털 주권의 중요성이 더욱 높아지게 됐다.

소버린 클라우드는 그 일환으로 제안된 개념으로, 데이터 저장 위치, 접근 방법, 관리 감독 등의 통제권을 해당 국가 또는 지역이 갖도록 보장한다. 국가 안보와 기밀정보, 개인정보 보호, 기술 주권 확보 등을 목표로 한다. 가트너는 세계 시장에 서비스를 공급하는 다국적 기업 중 디지털 주권 전략을 마련한 기업이 2025년 10% 미만 수준에서 2029년 50% 이상으로 증가할 것으로 내다봤다.

소버린 클라우드를 강조하면 우리나라에 데이터센터나 리전을 구축하지 않은 다국적 클라우드 서비스 사용에 한계가 있다. 그래서 토종 클라우드를 보호하는 효과가 있지만, 토종 클라우드를 ‘우물 안 개구리’로 만들고, 국내 클라우드 산업 성장을 저해한다는 문제도 있다.

모든 부서 협력해 클라우드 보안 전략 마련해야

클라우드는 산업의 근본을 바꾸는 ‘파괴적 혁신’의 동인이 되고 있지만, 그만큼 심각한 보안 위협을 안고 있다. 클라우드는 쉽게 사용할 수 있지만, 관리와 통제가 어려우며, 제3자 및 공급망으로 인한 리스크도 점점 높아지고 있다.

클라우드 네이티브 기술이 빠르게 진화하면서 클라우드 효율성과 민첩성을 높이고 있지만, 이 새로운 환경에서 발생하는 위협에는 제대로 대응하지 못하고 있다. 클라우드 네이티브 환경의 특수성을 이해하지 못한 상태에서 기존 보안 기술과 방법으로 대응하려다 보니, 보안이 위협을 제대로 막지 못하면서 클라우드를 방해하는 걸림돌이 되고 있다.

클라우드 네이티브와 하이브리드 클라우드 환경을 보호하기 위해 다양한 기술과 방법론이 제안되고 클라우드 기술과 활용사례가 너무 빠르게 변하기 때문에 보안 부채(Security Debt)를 해결하기가 난망하다.

클라우드 전환 전략을 수립·이행할 때 반드시 ‘제로 트러스트’ 원칙을 기반으로 해야 한다. 현재 운영 중인 클라우드 환경을 파악하고, 위협을 예측하며 대응책을 마련해야 한다. 더불어 클라우드 운영과 개발, 보안팀은 물론이고 법률 조직과 모든 현업부서가 협력해 최적의 보안 대응 전략을 세워야 한다.

이를 위한 구체적인 이행 방안은 다음과 같이 제시할 수 있다.

클라우드 자산 파악: 현재 운영 중인 클라우드 자산을 파악하고, 정책과 구성 오류, 취약점, 오남용된 권한, 방치된 계정이나 데이터가 있는지 파악한다. 불필요한 자산은 모두 제거하되, 해당 자산과 연결된 서비스에 영향을 주는지 확인한다.

최소권한 원칙 적용: 모든 계정에 최소권한을 부여해 권한 오남용을 막는다. 제로 트러스트 원칙 하에 모든 권한을 비신뢰 상태로 설정한 후, 필요할 때 필요한 만큼 권한을 부여하는 정책을 자동화한다.

데이터 식별과 보호: 관리하는 데이터를 모두 파악해 중요도와 규제 상황에 맞게 암호화, 키관리, 접근제어를 적용한다. 민감 데이터에 대한 의심스러운 활동은 지속적으로 모니터링하며, 잠재적 위협을 신속하게 조사하고 분류한다.

취약점 식별과 조치: 클라우드 자산의 취약점을 파악하고, 서비스 영향도를 파악해 패치 우선순위를 분석하고 조치한다. 지속적인 취약점 관리와 공격표면 관리, 침투테스트를 통해 공격자의 침투 가능성을 낮춘다.

공격 경로 우선순위 지정: 클라우드 전체를 검사·모니터링하고, 공격 경로를 파악, 우선순위에 따라 보안 조치를 취한다. 특히 핵심 자산에 대한 공격 경고를 정확하게 파악하며, 상황에 맞는 위험분석을 수행한다.

시프트 레프트와 시프트 라이트(Shift-left and Shift-Right): 클라우드 서비스 개발, 배포, 운영의 전 과정에서 중단 없는 보안 점검으로 침해 가능성을 낮춘다. 지속적인 취약점과 설정오류, 권한 오남용을 모니터링하며, 새로운 취약점 및 공격 가능성을 찾아 조치한다.

AI 활용: 클라우드 전반에서 AI를 이용한 보안을 적용한다. 자산 식별부터 설정오류 및 취약점 탐지, 최소권한 설정, 공격 경로 파악, 위협 탐지와 대응 과정에 AI를 적용해 직원의 업무를 줄이고 직원이 보지 못하는 위협을 찾고 연관 관계를 파악해 조치한다.

클라우드 보안 전문 조직 활용: 내부 인력의 클라우드 보안 역량을 높여 클라우드 위협을 신속하게 식별하고 조치할 수 있도록 한다. 필요 시 외부 대응 전문조직이나 MDR 서비스를 이용하는 것도 좋은 방법이다.

파일럿을 통한 효과 검증: 처음부터 전체 클라우드에 새로운 보안 기술을 적용하지 말고, 중요도가 낮은 서비스에 먼저 적용해 안전성과 효율성을 확인한 후 단계적으로 확장한다. 서비스 공급사에서 제공하는 POC나 테스트 프로그램을 이용해 보는 것도 좋은 방법이다.