클라우드 보안에서 중요한 핵심은 클라우드와 레거시 보안 모델의 차이를 정확하게 이해하는 것이라고 생각합니다.
레거시 환경에 익숙한 사람들은 흔히 클라우드를 단순히 인프라만 가상화된 환경으로 보고, 기존과 동일한 보안 방식을 그대로 적용해도 문제없다고 생각합니다. 이러한 접근은 절반만 맞고 절반은 틀렸다고 할 수 있습니다.
온프레미스 보안모델
온프레미스 보안 모델은 주로 경계 중심의 보안 접근 방식을 취합니다.
내부와 외부가 명확히 구분되며, DMZ를 기준으로 내부는 신뢰 가능한 영역으로 간주하여 비교적 자유로운 통신을 허용하는 것이 대표적인 특징입니다.
클라우드 보안 모델
하지만 클라우드 보안모델은 어떨까요?
클라우드 보안 모델은 온프레미스와 근본적으로 다릅니다.
클라우드는 인터넷을 통해 자원을 접근하고 관리하기 때문에 내부와 외부의 경계가 매우 모호해집니다.
이러한 이유로 클라우드 환경에서는 모든 접근을 신뢰하지 않고, 접근 시마다 지속적으로 인증과 검증을 수행하는 '제로 트러스트(Zero Trust)' 보안 모델을 적용하는 것이 필수적입니다. 이 방식은 국경에서 입국·출국할 때 매번 철저한 검사를 받는 과정과 비슷합니다.
또한 클라우드 보안에서는 기존의 보안 3요소(기밀성, 무결성, 가용성)에 추가로 '책임 추적성(Accountability)'이라는 요소가 중요하게 부각됩니다. 책임 추적성을 확보하기 위해서는 IAM(Identity and Access Management)과 역할(Role) 관리가 필수적으로 요구됩니다.
2개의 보안모델을 비교하자면 아래와 같습니다.
클라우드 환경으로 전환하면서 공격 표면이 증가하고 인프라 구조가 복잡해짐에 따라 보안의 중요성은 더욱 커졌습니다.
보안문제는 CSP(클라우드서비스 제공자) 책임 아닌가요?
일부 사람들은 클라우드 보안의 모든 책임이 클라우드 서비스 제공자(CSP)에게 있다고 생각할 수 있습니다. 그러나 클라우드 보안에서는 고객과 CSP 간의 공동 책임 모델을 사용합니다.
비유하자면 숙박업소의 방을 빌렸을 때 건물 내 치안관리는 숙박업체가 책임져야 하지만, 방 키관리는 방을 사용하는 사람 책임입니다. 마찬가지로 클라우드도 클라우드를 제공하는 사람의 책임과 클라우드를 사용하는 사람의 책임이 나누어져 있습니다.
아래 AWS 공동책임모델 그림을 보면 알 수 있듯이 방화벽, 접근 제어, 암호화 및 데이터 보안과 같은 영역은 고객이 책임지고 관리해야 하며, 하드웨어, 네트워크, 시스템 등 기반 시설은 CSP가 책임집니다.
또한, IaaS, PaaS, SaaS와 같은 서비스 유형에 따라 고객과 CSP의 책임 범위가 다르게 적용됩니다.
클라우드 보안에서 추가된 영역
앞서 언급했지만, 클라우드 보안에서는 기존 보안 영역에 더해 책임 추적성(Accountability)이 강조되고 있으며, 특히 IAM(Identity and Access Management)과 역할(Role) 관리의 중요성이 높아지고 있습니다.
SK쉴더스의 클라우드 보안진단 가이드에서도 계정 및 권한 관리 영역이 상위 등급으로 강조된 것을 볼 수 있습니다.
이러한 보안 문제를 최소화하기 위해 각 계정에 필요한 최소한의 권한만 부여하는 '최소 권한 원칙'을 준수해야 하며, 각 계정과 리소스의 실시간 상태를 지속적으로 추적 및 관리하는 것이 필수적입니다.
참고자료
- https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=EducationData_main&nttId=12615&pageIndex=3
- https://www.skshieldus.com/uploads/files/20240416/20240416180036051.pdf
- https://www.fsec.or.kr/bbs/detail?menuNo=222&bbsNo=11562
- https://isms.kisa.or.kr/main/csap/notice/
- https://image.ahnlab.com/img_upload/product/2312222136546029.pdf