2024-03-28 21:00 (목)
[인터뷰] 하시코프 김정훈 전무 “클라우드 보안사고 급증...클라우드 접근키에 대한 보안 표준화 수립할 시점"
상태바
[인터뷰] 하시코프 김정훈 전무 “클라우드 보안사고 급증...클라우드 접근키에 대한 보안 표준화 수립할 시점"
  • 길민권 기자
  • 승인 2023.03.15 15:33
이 기사를 공유합니다

”클라우드 접근키 보안, 하시코프 볼트 통해 보안 문제점 해결”
하시코프 김정훈 전무가 클라우드 보안위협과 볼트에 대해 설명하고 있다.
하시코프 김정훈 전무가 클라우드 보안위협과 볼트에 대해 설명하고 있다.

“디지털 트렌스포메이션을 위해 클라우드 도입이 가속화되고 있습니다. 특히 멀티/하이브리드 클라우드로 전환이 급증하고 있습니다. 하지만 클라우드로 전환은 지금까지 지켜온 물리보안이 모두 사라지고 우리의 정책이 아닌 CSP 정책에 따라야 하는 상황입니다. 하지만 클라우드 접근키 관리가 제대로 안돼 데이터 유출 사고는 급증하고 있으며 더욱 증가할 위험에 노출돼 있습니다. 이 부분을 커버할 새로운 방법, 새로운 정책이 필요해 졌습니다.” -하시코프 김정훈 전무-

멀티/하이브리드 클라우드 도입이 모든 산업 분야로 확산되고 더욱 가속도가 붙을 전망이다. 하지만 클라우드로의 전환이 새로운 보안 문제를 야기하고 있다. 

지금까지 데이터센터를 안전하게 지키기 위해 물리적 보안과 시스템적 보안 등 많은 보안규칙과 정책을 세웠다. 물리적 보안은 데이터센터 출입관리, 신원확인, 노트북 반입금지, 그리고 시스템 보안은 방화벽, IPS, DDoS, NAC, 접근제어 등 보안솔루션을 통해 이루어졌다. 

◆클라우드 확산에 따른 보안 위협 증가

반면 클라우드로의 전환은 지금까지 지켜왔던 물리적 보안이 모두 사라지는 것을 의미한다. 여기서 발생할 수 있는 보안위협에 대응할 수 있는 대책을 마련해야 하는 상황이다. 

지난 2년간의 보안 침해 사고 통계를 보면, 데이터 누출 증가량이 380% 증가했고, 이 원인의 82%가 인적 요소에 기인하고 있다. 또 도용된 자격증명으로 인한 사고가 90%에 달한다. 공공망과 관련된 침해 비율도 62%나 되고 있다. 

또 멀티·하이브리드 클라우드에서는 경계가 사라진다. 신뢰할 수 있는 접근이 없어진다고 할 수 있다. 예전에 데이터센터는 트러스트존, 언트러스트존을 구분해 신뢰할 수 있는 존과 신뢰할 수 없는 존을 구분했었지만 이제는 더이상 그러한 개념은 사라졌다. 그만큼 조직의 데이터가 위협에 노출되고 있는 것이다. 

최근 발생한 클라우드 보안사고 사례를 보면, △AWS 접근권한, 즉 접근키를 탈취해 639만명의 고객정보가 유출된 사고 △실제로 유효한 퍼블릭 클라우드 접근키 160억건이 인터넷에 공개되고 있다는 내용 △안드로이드와 IOS 앱 수천개를 조사한 결과, AWS 접근키가 소스코드에 그대로 기입되어 있다는 것. 이런 접근키를 통해 실제로 클라우드에 접속해 정보들을 볼 수 있었다는 내용 등 다양한 위협 사례가 많고 이런 위협에 대응해야 한다는 경고로 인식해야 한다. 

하시코프 김정훈 전무는 이러한 클라우드 보안 사고의 대부분은 퍼블릭 클라우드 접근키 유출이 원인이라고 말한다. 

◆클라우드 보안, 현재 문제점은 무엇이고 어떻게 대응해야 하나

김정훈 전무는 현재 클라우드 보안에 어떤 문제점들이 있는지 설명했다. 

클라우드에 접근하기 위해서는 접근 계정에 대한 접근키가 있어야 한다. 기존의 패스워드 대장처럼 이들을 하나의 파일에 정리한다. 어플이케이션의 경우에는 소스코드에 평문으로 기입된다. 너무나 위험한 방식이지만 이런 방식에 대해 지금까지 위험하다고 인지하지 못하고 있었다. 

패스워드 관리 대장의 경우 이 파일 자체가 유출 대상이 될 수 있고, 최근에는 퇴사자나 협력업체 직원의 관리 소홀로 인한 유출이 대부분이며 이를 통한 사고가 증가하고 있다. 

애플리케이션의 경우는 보다 심각하다. 접근키가 그대로 소스코드에 기입되기 때문에 소스코드 유출로 인해 사고가 발생하고 있는 것이다. 오픈소스 커뮤니티가 활성화 되면서 자연스럽게 소스코드를 공유해 재활용하는데, 이때 개발자의 의도와 관계없이 접근키가 공유되는 경우가 많다. 해커들은 공유되어 있는 소스코드들 중 퍼블릭 클라우드 접근키를 검색해 공격에 이용하고 있다.  

그는 패스워드 관리 대장을 통해 퍼블릭 클라우드에 접근하고, 애플리케이션은 소스코드에 클라우드 접근키를 직접 기입함으로써 퍼블릭 클라우드에 접근하는 것은 유출 위험도가 매우 높은 상황이라고 경고하고 이런 문제를 해결해 나가야 한다고 강조했다. 

◆”클라우드 접근키 보안, 하시코프 볼트(Vault) 통해 보안 문제점 해결”

김 전무는 “하시코프 볼트를 통해 이러한 문제점을 해결할 수 있다. 모든 접근키는 볼트에 중앙저장하고 필요할 때 이를 발급해 주는 형식이다. 사용자와 애플리케이션 모두 퍼블릭 클라우드에 접근하기 위해서 볼트에게 접근키를 신청해야 한다. 이때 볼트는 신청주체의 신원을 확인하고 필요한 만큼의 권한만 부여해 접근키를 발급해 준다. 이렇게 발급받은 접근키로 퍼블릭 클라우드에 접근하는 형식”이라며 “사용자는 GUI나 CLI를 통해 접근키를 신청해야 하며, 앱은 소스코드에 접근키 획득 절차만 기입하게 된다. 이렇게 되면, 패스워크 대장을 통한 관리가 필요없어지고, 소스코드에 접근키를 직접 기입할 필요도 없어 안전한 클라우드 접속이 가능해 진다”고 설명했다.  

볼트(Vault)는 민감한 정보 관리 자동화 솔루션이다. 다양한 비밀 정보를 중앙에 통합 저장한다. 서비스의 엑세스를 위해 필요한 인증 정보 및 클라이언트간의 전송 중인 모든 키를 중앙에 통합해 관리한다.  

또 접근 권한 정책 적용으로 비밀 정보 보안 강화가 가능하다. 다양한 클라우드 운영 환경의 시스템, 애플리케이션 및 민감한 데이터를 보호하기 위해 토큰, 암호, 인증서, 암호화키를 모두 암호화하고, 접근 권한에 대한 정책 설정으로 보안을 강화한다. 

그리고 키 라이프 사이클의 자동화가 가능하다. 접속을 위해 필요한 암호 정보는 사용 시간 정책에 따라 신규 생성 및 폐기의 라이프사이클 자동으로 수행한다. 

김 전무는 “볼트로 부터 접근키를 발급받는 절차는 호텔의 체크인 절차와 유사하다. 호텔 객실을 이용하기 위해 카드키를 발급받으려면 호텔 리셉션으로 제일 먼저간다. 그리고 신분증이나 여권을 통해 우리가 누군지를 증명한다. 그럼 리셉션에서는 예약을 확인해 우리에게 맞는 객실을 할당하게 된다. 카드키에 예약 조건을 적용하게 된다. 예를 들어 객실은 208호이며, 이 카드키가 갈 수 있는 층은 2층뿐이며, 기간은 3일 등의 조건이 부여된다. 카드키에 이러한 조건 적용이 완료되면 카드키를 이용자에게 발급한다. 그럼 이 카드키를 가지고 2층까지 엘리베이터를 타고 208호에 들어갈 수 있다. 당연히 다른 객실에는 못들어갈 것이며 엘리베이터를 타고 다른 층으로 이동도 할 수 없다. 그리고 단 3일만 이용할 수 있다. 이 카드키는 객실에 대한 임시 출입 허가증인 것이다. 볼트를 통한 클라우드 접근키 발급 방법도 호텔 체크인 절차와 매우 유사하다”고 설명했다. 

퍼블릭 클라우드에 접근하기 위해 볼트에 신원확인, 즉 인증을 한다. 인증방법은 단순 ID/PW 일 수도 있고, 기존에 사용하는 솔루션인 AD, Okta 등과 연동해 진행할 수도 있다.

인증절차가 완료되면 볼트는 퍼블릭 클라우드에 신규 접근키를 생성한다. 이 때 조건들, 즉 정책을 적용해 생성한다. 예를들어, AWS에만 들어갈 수 있으며 그 중에서도 S3 서비스만 들어갈 수 있고 접근 허용 기간은 1일뿐 등이다. 

또 접근자가 어디서 접근하는지를 접근자의 IP주소를 통해 확인하고 일치하지 않으면 접근을 거부하게 설정할 수도 있다. 이런 정책이 적용된 접근키를 신청자에게 발급하게 된다. 신청자는사람일 수도 있고 애플리케이션일 수도 있다. 이렇게 발급 받은 접근키를 이용해 퍼블릭 클라우드에 접근할 수 있게 된다. 

볼트는 클라우드에 접근할 수 있는 임시 접근키를 발급하는 솔루션이다. 이를 통해 클라우드 접근키 관리 부실로 인해 발생할 수 있는 보안위협을 사전에 예방할 수 있게 된다. 

◆”클라우드 접근키에 대한 보안 표준화를 수립할 시점”

김 전무는 “아직 많은 기업과 기관에서 클라우드 접근키에 대한 표준화된 보안 정책을 세우지 않고 있다. 클라우드로의 전환이 증가하면서 관련 보안사고는 더욱 자주 그리고 대규모로 발생할 수 있다. 지금이 하시코프와 함께 클라우드 접근키에 대한 보안 표준화를 수립해야 할 시점”이라며 “지난 10년간 대규모 침해를 경험한 기업에서 볼트를 도입한 비율이 80%나 된다. 더 나아가 하시코프와 함께 제로트러스트 아키텍처를 수립하고 있는 고객사도 3천개가 넘고 있다”고 강조했다. 

그는 현재 데이터베이스 비밀번호 관리의 문제점으로 시크릿 스프롤, 시크릿 배포/갱신, 작업 수동화, 시크릿의 주기적인 변경 불가능 등을 들며 “하시코프 볼트가 이 문제를 해결할 유일한 솔루션이다. 또 멀티 클라우드를 지원하는 솔루션은 볼트가 유일하다. 하시코프 볼트는 검증된 솔루션이다. CNCF의 자료를 보면 이미 바로 사용할 수 있는 ADOPT에 분류되어 있고, 이미 많은 기업과 기관에서 광범위하게 사용하고 있다”고 전했다. 

하시코프(HashiCorp)는 멀티 클라우드를 위한 인프라 자동화 소프트웨어 분야의 전문기업이다. 기업들은 하시코프 소프트웨어 제품군을 통해 일관된 워크플로우를 구축하고, 인프라 프로비저닝, 보안, 네트워킹 및 애플리케이션 배포와 같은 클라우드 자동화를 위한 SOR(System of Record)을 구현할 수 있다. 

하시코프의 제품 포트폴리오는 베이그런트(VagrantTM), 패커(PackerTM), 테라폼(Terraform®), 볼트(VaultTM), 컨설(Consul®), 노마드(NomadTM), 바운더리(Boundary), 웨이포인트(Waypoint™)로 구성되어 있다. 오픈소스, 엔터프라이즈, 관리형 클라우드 서비스 버전으로 제공된다. 


★G-PRIVACY 2023 개최★

▶상반기 최대 개인정보보호&정보보안 컨퍼런스! 

▶공무원 및 일반기업 CISO, CPO, 보안실무자 7시간 보안교육 이수!

▶2023년 보안업무에 필요한 최신 실무 정보 및 보안솔루션 정보가 한 눈에!

-주최: 데일리시큐

-후원: 관계 기관

-참가대상: 전국 공공·지자체·교육기관·금융기관·일반기업 CPO, 개인정보보호 담당자, CISO, 정보보안 책임자, 실무자 등

-일시: 2023년 3월 23일(오전 9시~오후 5시 00분)

-장소: 더케이호텔서울 2층 가야금홀

-인원: 공공기관, 지자체, 공기업, 일반기업, 금융기관보안담당자 1,000명 이상

-사전등록클릭

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★