4차 산업, 디지털 트윈, 인공지능 플랫폼 시대에 클라우드(cloud)는 이제는 없어서는 안 될 필수 인프라가 되었다. 클라우드가 없다면 현재 기준 우리 일상의 상당 부분은 20년 이전으로 후퇴할 만큼 의존도가 높은 상태이며, 향후 몇 년 이내에 IT 인프라의 대부분은 클라우드 환경에서 운영 될 것으로 예상된다.
정부는 110대 국정과제 중에 ‘민간 클라우드 우선 이용’을 제시했다. 정부 방침에 따라 현실에 맞는 예산 투자와 제도적 발전도 뒷받침 되어야 마땅하지만 보안대책이 우선 수반되는 것이 가장 중요하다.
기본적인 보안대책으로 시스템 보안 솔루션은 방화벽, IPS, DDoS, NAC, 접근제어 등을 활용해 왔다. 클라우드 환경에서는 물리적 보안영역은 필요가 없으며, 시스템 보안인 해커 등 외부의 침입방지와 내부자 리스크 관리가 최대의 과제이다.
클라우드 보안사고 일부는 접근키를 탈취해 정보를 빼내가거나 탈취한 접근키로 다른 사이트를 해킹하고 암호화폐를 채굴하는 경우가 있었다. 해커들이 클라우드 보안 취약점을 끊임없이 찾아내며 위협이 가시화되고 있어 완벽한 보안대책이 급선무다.
미국의 경우 NIST(국립표준기술연구소)에서 클라우드에 관한 각종 규정을 정의하고 상세 점검 내용 등을 자세히 정리해주고 있다. 우리나라도 상세 규정을 통해 어떤 기능을 활용하고 어떤 데이터를 분석해야 클라우드상 위험이 바로 탐지하고, 공격을 받을 경우 피해를 최소화할 수 있는지에 대해 꾸준히 연구 발전되어야 한다.
클라우드 보안을 위해 가장 필요한 부분은 바로 클라우드상의 이벤트 로그를 잘 정리하고 분석하는 것이다. 보통 레거시 환경 보안에서는 트래픽 패킷 분석, 시스템이나 웹 로그 등을 중요하게 생각한다.
클라우드라는 플랫폼에서는 생성하는 수많은 이벤트 로그가 있다. 가령 클라우드 콘솔에 접속한다든지, 콘솔상에서 어떤 메뉴를 선택해서 설정을 한다든지, 클라우드 자산을 삭제한다든지 등 모든 사용자 행위와 CLI(사용자인터페이스)를 통해 내리는 명령, 사용자의 행위에 대한 시스템의 응답 등은 모두 이벤트 로그로 기록되게 된다.
클라우드 사업자마다 로그를 생성하는 기준은 다르겠지만, 클라우드 사업자는 생성된 로그를 API(운영체계가 제공하는 함수의 집합체)를 통해 제공하게 된다. 이런 이벤트 로그를 실시간 연동하고 필요시 인공지능을 통해 분석할 경우 클라우드상의 위험을 탐지할 수 있는 필수적인 보안 솔루션을 완성할 수 있을 것이라 생각한다.
클라우드 이벤트 로그에 대한 분석은 해킹 사고가 발생할 경우 더욱 위력을 발휘할 수 있다. 바로 ‘클라우드 포렌식’에 해당되는 해커의 행위를 추적할 수 있는 증적자료이기 때문이다. 해커는 이벤트 로그를 지우거나 로그를 발생시키는 기능을 OFF시킬 수 있으니 보안대책으로 이런 부분을 최우선 감시대상으로 삼아야 된다.
최근 국내 업체에서 다양한 클라우드 보안제품이 출시되고 있다. 취약점을 인공지능 기반으로 이상 징후를 탐지하는 기능까지 개발되고 있다. 네이버, KT등 대기업도 있지만 그중 아스트론시큐리티의 경우는 글로벌과 국내 클라우드까지 지원하는 솔루션으로 공공기관 등에서 사용하기 적합하게 개발되고 있는 등 중소기업도 상당히 많다.
결론적으로 클라우드 보안은 완벽한 규정도 중요하지만 이벤트 로그를 섬세하게 관리하는 것이 기본이라는 것을 다시 한 번 강조하고 싶다. 다양한 보안솔루션 업체들도 보안제품 개발에 몰두하며 환경에 맞게 통합 플랫폼 보안으로 발전되길 기대한다.
류원호 국민대-세종대 겸임교수, 한국항공우주정책·법학회 이사