"클라우드 대세를 거스를 수 없지만 사용자들은 보안 우려를 떨치지 못하고 있다. 어떻게 SaaS 사용의 보안성을 충족해야 할까. 섀도IT(Shadow IT) 가시성을 확보하고 민감한 데이터에 세분화된 제어를 적용해야 한다. 탈취 시도로부터 계정을 보호하는 기능과 정책을 갖추고, 로컬 수준의 보안을 달성하면서 클라우드의 이점을 가져가는 형태를 취해야 한다."
시만텍 고재훈 부장은 12일 서울 잠실 롯데호텔에서 지디넷코리아가 개최한 제14회 어드밴스드컴퓨팅컨퍼런스(ACC)에서 '클라우드 시대, 보안은 어떻게 준비할 것인가'라는 주제강연을 통해 이같이 말했다.
기업용 애플리케이션 사용자 수와 함께 SaaS 중심의 클라우드 확산이 두드러지는 추세다. 기업의 프라이빗 클라우드는 서비스형인프라(IaaS) 형태로 기존 자체시스템처럼 보호하는 관점으로 다뤄졌지만 외부 서비스업체의 SaaS에 같은 접근방법을 적용할 수 없어 문제다.
기본적으로 기업들은 클라우드 영역에서 애플리케이션과 관련된 규제준수, 보안위협을 크게 우려하는 것으로 타나났다. 시만텍 설문조사 결과 기업 IT담당자 91%는 클라우드 애플리케이션의 컴플라이언스 확인에 따른 스트레스가 가장 높다고 응답했다. 올해 클라우드 관련 우선시된 내부 보안위협은 데이터손실, 부적절한 직원교육 등이었고 외부 보안위협은 데이터유출, 계정도용 등이었다.
이에 더해 고 부장은 "SaaS는 모든 걸 클라우드가 처리하는 환경이라 기존 시스템 중심 보안 트렌드와 전혀 다르다"고 지적했다. SaaS 보안성 충족을 위해 가시성 확보, 사용자 인증, 디바이스인증기반 데이터 보호를 위한 기술이 필요하다고 설명했다.
가시성을 확보하려면 기업이 클라우드서비스 중 쓰는 것과 쓰지 않는 것을 구별해야 한다. 쓰는 것은 기업내 사용자의 통신을 허용하고 쓰지 않는 서비스는 차단해야 한다. 이를 위해선 흔히 '섀도IT'라 불리는, IT담당자가 파악하지 못하고 있는 애플리케이션의 명세를 확보해야 한다.
고 부장은 "기업내 비공인 클라우드 애플리케이션 사용비중은 72%에 달하는 것으로 확인됐고, IT담당자에게 예측케 한 내부 클라우드 애플리케이션 사용 개수는 40~50개였는데 실제로는 700~800개가 쓰이고 있었다"며 "어떤 클라우드서비스가 쓰이는지 알지 못하면 그걸 제어할 방법도 없다"고 말했다.
가시성뿐아니라 사용자인증과 디바이스인증을 통한 데이터보호 역시 중요한 요소다.
여러 보안장비를 붙여 시스템간 경계 영역을 감시하는 체계는 클라우드 영역에 적용할 수 없다. 클라우드에서 계정도용이나 탈취에 대비할 수단은 사용자계정뿐인데, 이를 아이디와 패스워드 하나만으로 인증케 하는건 위험안 일이다. 기본적으로 투팩터 인증을 적용해야 한다.
또 사용자 인증 후 해당 PC 등 접근 기기가 업무용으로 허용돼 있는지 판단하는 디바이스인증 과정이 필요하다. 클라우드에 올린 데이터가 허용된 기기로 움직이는지 파악하고, 관리대상이 아닌 기기로 접근되는지 감시하거나 그런 접근시 데이터를 암호화해 이용을 제한해야 한다.
하지만 기존 일반적인 보안시스템으로는 이런 가시성 확보, 데이터 보호 요건이 충족되지 않는다.
고 부장은 "해커나 비정상행위를 하는 이용자가 로컬 시스템 대상 접근시 기존 보안기술로 잡아낼 수 있지만, 클라우드상의 기업 계정을 노리고 탈취를 시도할 때 기존 보안기술은 전혀 영향을 주지 않아 위협을 파악할 방법이 없다"고 말했다.
이런 기준을 충족하려면 클라우드서비스 사업자와 사용자, 두 개체의 중간에 기업의 보안정책, 데이터접근 정책을 구성할 수 있는 위치에 별도의 솔루션이 놓여야 한다. 이처럼 기업의 보안정책, 인증, SSO, 권한 부여, 로깅, 경고, 맬웨어 탐지, 데이터 암호화 및 토큰화를 통합 관리하는 솔루션을 가트너는 '클라우드액세스시큐리티브로커(CASB)라고 정의했다.
고 부장은 시만텍의 SaaS 보안정책 구성 및 CASB 솔루션 활용 시나리오를 제시했다.
보안정책 구성은 기업 내부에서 어떤 서비스를 쓰고 말지 판단해 만들어야 한다. 관련 기능을 제공하는 보안장비의 웹로그를 통해 사용할 클라우드, 쓰지 않아야 할 클라우드를 판단할 수 있다. 어떤 클라우드앱이 어떤 보안기능을 얼마나 지원하는지에 대한 정보도 함께 필요하다.
시만텍은 기존 환경에서 사내 보안 게이트웨이를 거치지 않고 클라우드서비스로 접근하는 여러 기기의 행위 또한 확인할 필요가 있다는 입장이다. 일차적으로 이는 SaaS 제공업체가 제공하는 API를 통해 가능하다. 사용자의 접속, 로그인, 데이터 공유 행위를 살펴 그 위험도 판단, 내부 데이터의 공유 여부와 다루는 주체에 대한 가시성을 확보할 수 있다.
하지만 모든 SaaS업체가 API를 제공하는 건 아니다. 시만텍은 CASB 게이트웨이 모듈을 추가해 데이터센터에서 API를 제공하지 않는 클라우드서비스로 들어가는 트래픽을 들여다보고 가시성을 추가 확보할 수 있다고 설명했다.
관련기사
- "IT인프라에 AI 입히기, 바로 적용할 수 있다"2017.07.12
- 팔로알토네트웍스 "악성코드 1년에 5억개, 새 보안아키텍처 필요"2017.07.12
- “쓰레기 데이터라는 것은 없다”2017.07.12
- 정부통합전산센터, 4차산업혁명 어떻게 수행하나2017.07.12
고 부장은 "이로써 시스템 외부에서 동작하는 클라우드서비스도 시스템 내부 인프라처럼 사용간에 빈틈없는 정책을 구성해 적용할 수 있다"며 "민감한 파일 유출 방지, 콘텐츠 자동분류, 위협 판정을 통한 트랜잭션 실시간 차단 등 클라우드 애플리케이션이 다루는 콘텐츠, 컨텍스트 기반의 정책 설정과 집행을 세분화해 제어할 수 있다"고 말했다.
이어 "CASB와 함께 클라우드 보안을 위해 검토해야 할 영역으로 계정에 로그인한 사람이 실제 사용자가 맞는지 확인하는 '투팩터인증' 솔루션이 필요하고, 또 서버에 올린 데이터가 권한을 가진 사용자에게만 정상적으로 제공되고 그밖에 비인가 사용자, 디바이스 접근시 내용을 알아볼 수 없게 또는 제공을 거부하는 기능을 갖춘 솔루션이 필요하다"고 덧붙였다.