[아이티데일리] 디지털 전환(Digital Transformation)을 위한 핵심 기술로 클라우드가 각광받으면서 클라우드 기반의 인프라와 플랫폼, 서비스를 채택하는 개인과 기업이 빠르게 늘고 있다. 그러나 한편으로는 클라우드 사용이 늘어난 만큼 보안 문제 역시 함께 대두되는 상황이다. 특히 하루가 다르게 진화하는 해커들의 범행 수법으로 인해 피해 사례와 피해 금액이 해가 갈수록 빠르게 늘어나고 있다.

견고한 줄 알았던 클라우드 보안에 문제가 생기는 이유는 간단하다. 바로 보안의 ‘기본’을 지키지 않는 사용자의 부주의가 가장 큰 원인으로 꼽히고 있는 것이다. 하지만 상당수의 사용자들은 클라우드 서비스 공급 기업(CSP)이 당연히 보안을 책임져줄 것으로 생각하고 있어 인식의 차이가 발생하고 있다. 이에 전문가들은 클라우드 보안에 대한 사용자의 인식 제고와 함께 CSP들의 노력이 함께 맞물려야만 보다 안전한 클라우드 환경을 만들 수 있다고 조언하고 있다.

# 지난 2월의 한 월요일, 2020년부터 유명 글로벌 기업의 클라우드 서비스를 이용하고 있는 A사의 전산 담당자는 주말 사이 비정상적인 클라우드 이용이 감지됐다는 메일을 받았다. 관리 계정에 들어가 보니, 클라우드 이틀 치 이용료 1억 원이라는 과금 내역이 찍혀 있었다. 지난 토요일, A사의 클라우드 계정이 도용당해 해당 클라우드 CPU가 암호화폐 채굴에 쓰이고 있었던 것이었다. A사는 클라우드 공급사 측에 해킹으로 발생한 사용료를 면제해 달라고 요청했다. 하지만 공급사의 반응은 부정적이었다.

# 구글의 소프트웨어 엔지니어 B씨도 자신의 클라우드가 해킹되는 과정을 실시간으로 목격했다. 해킹 감지 메일을 본 B씨는 불과 몇 분 사이 자신의 계정 내 가상머신(VM) 서버 수백 개가 생성된 것을 확인했다. B씨는 즉시 서비스를 중지했지만, 해킹 10여분 만에 50여만 원의 피해를 봤다. 그의 중국인 친구가 깃허브(GitHub)에 클라우드 계정의 소스 코드를 올린 것이 화근이었다. B씨는 계정 탈취 후 일련의 해킹 작업이 분 단위로 진행된 것에 놀라움을 금치 못했다. 만약 해킹 사실을 일찍 발견하지 못했다면 B씨는 더 큰 피해를 볼 수 있었다.

거대 기업에서 개인에 이르기까지, 클라우드 보안 사고가 빈번하게 발생하고 있다. 피해 규모도 상상을 초월한다. 하루, 이틀 사이에 수억 원의 금전적 피해를 야기한다. 해커들의 범행 속도가 나날이 빨라지고 있기 때문이다. 2021년 발표된 ‘위협 헌팅 보고서’에 따르면, 해커가 첫 침투부터 공격을 확산하는 데 총 1시간 32분이 소요된다고 한다. 이는 전년 대비 3배나 빨라진 속도다.

클라우드 서비스가 디지털 혁신의 핵심 도구로 자리 잡으면서, 많은 기업과 개인이 클라우드 서비스에 발을 들이고 있다. 하지만 늘어나는 수요와 더불어 보안 사고도 증가하고 있다는 점이 문제다. 특히 아주 사소한 이유로 사고가 일어난다는 점에서 사용자들의 각별한 주의가 요구된다. 클라우드 시대를 맞아 최근 어떤 보안 사고가 일어나고 있는지, 그 대비책은 무엇인지 살펴본다.

클라우드 관리 실태 ‘위험’…취약한 비밀번호에 계정 뚫린다

최근 클라우드 보안 사고는 업계의 가장 뜨거운 화두라 할 수 있다. 지난 2021년 11월 팔로알토네트웍스가 발표한 ‘IT 보안의 시작은 자산 파악’ 보고서에 따르면, 아시아태평양 지역 내 보안 사고의 79%가 클라우드에서 발생한 것으로 파악됐다. 탈레스(Thales)의 2021년 글로벌 클라우드 보안 연구 보고서에서도 지난 12개월 동안 클라우드 사용 기업의 40%가 클라우드 기반 데이터 침해를 경험했다고 응답한 것으로 조사됐다.

이처럼 빈번한 클라우드 보안 사고의 원인은 의외로 간단했다. 바로 취약한 비밀번호 때문이었다. 탈레스의 2021년 연구 결과를 보면, 응답자의 83%가 ‘클라우드에 저장된 민감 데이터의 절반을 암호화하지 않았다’고 답했다. 또한 지난해 11월 구글이 발표한 보안 보고서인 ‘위협 지평(Threat Horizons)’에서도 해킹된 계정의 48%가 약한 비밀번호를 설정하거나 비밀번호를 아예 설정하지 않은 것으로 드러났다. 이처럼 많은 클라우드 이용자들이 계정 정보를 안전하게 관리하지 못하고 있으며, 이로 인해 보안상의 위험에 노출되어 있음을 방증하는 많은 사례들이 지적되고 있다.

내 클라우드가 해커의 암호화폐 채굴장으로

암호화되지 않은 클라우드는 치명적인 결과로 이어질 수 있다. 최근 발생하는 클라우드 해킹 유형 가운데 가장 두드러지는 것은 바로 △‘계정 탈취’와 △‘불법 암호화폐 채굴’ 등 2가지를 꼽을 수 있다.

먼저 크리덴셜 스터핑(Credential Stuffing)이라고도 불리는 계정 탈취는 불법적인 경로로 유출된 로그인 정보를 여러 다른 웹 사이트 등의 온라인 계정에 무작위로 대입해 사용자의 계정에 로그인하는 수법이다. 유출된 정보로 로그인에 성공할 경우, 해당 계정 내에 악성코드를 설치해 개인은 물론 기업에게까지 피해를 준다. 마이크로소프트(MS)에 따르면, 2021년 한 해 동안 MS가 차단한 크리덴셜 스터핑 공격 사례 수는 약 260억 회에 달할 정도라고 한다.

이처럼 빈발하는 크리덴셜 스터핑 후에는 또 다른 공격이 이어진다. 최근 몇 년간 급격히 늘어난 이 범행 수법은 바로 ‘크립토재킹(Cryptojacking)’이라고 불리는 공격이다. 크립토재킹이란 ‘암호화폐’를 뜻하는 크립토커런시(Crypto)와 ‘납치’라는 뜻의 하이재킹(jacking)을 합성한 단어다. 즉 해커가 타인의 컴퓨터에 악성코드를 심어, 해당 컴퓨팅 자원을 암호화폐를 채굴하는 데 사용하는 범죄 수법이다. 2021년 11월 구글에 따르면 해킹된 구글 클라우드 계정의 86%가 불법 암호화폐 채굴에 악용된 것으로 조사됐을 정도로 최근 크립토재킹 공격이 만연하고 있다.

이처럼 해커들이 암호화폐 채굴 자원으로 클라우드를 공략하는 데는 이유가 있다. 클라우드는 인터넷을 통해 컴퓨팅 자원을 무제한으로 사용할 수 있는 서비스이기 때문이다. 클라우드 계정 내에 악성코드만 설치하면, 타인의 명의로 가상화된 컴퓨팅 자원을 단시간 내 최대한 많이 가로채 사용함으로써 거액의 암호화폐를 채굴할 수 있는 것이다. 그리고 이렇게 크립토재킹으로 채굴된 암호화폐는 해커들의 지갑으로 들어간다. 반면에 암호화폐를 채굴하는 데 쓰인 클라우드 사용에 대한 거액의 요금은 고객이 그대로 떠안게 된다.

공급사 vs. 사용자, 클라우드 해킹 책임 공방

이처럼 클라우드 보안 사고가 발생할 경우에는 책임 소재가 쟁점이 된다는 점도 주목해볼 만하다. 보다 구체적으로 이야기하면 클라우드 공급사(CSP)와 이용자 중 “누가 미승인 사용료를 부담하느냐”는 것이다.

이에 대해 국내외 CSP들은 기본적으로 “크리덴셜 스터핑으로 인한 보안 사고에는 책임이 없다”는 입장을 보이고 있다. 그 근거는 CSP 간 통용되는 보안 정책인 ‘공동 책임 모델’과 관련이 깊다. 공동 책임 모델은 공급사와 사용자가 클라우드 보안 책임을 ‘공유’ 한다는 개념이다. 이 모델에 따르면, 클라우드 인프라 자체에 대한 보안은 물론 공급사가 책임진다. 서비스형 인프라(IaaS) 클라우드를 예로 든다면, CSP가 책임지는 인프라 영역은 하드웨어, 네트워크 등이다. 반면에 비밀번호 설정, 데이터 관리, 관리자 접근 권한 부여 등 사용자가 직접 운영하는 ‘내부 영역’은 사용자 관할이라는 것이다. 따라서 사용자가 계정 관리를 부실하게 해 보안 사고가 났다면, 그 피해는 사용자가 감당해야 한다는 것이 공급사의 기본 입장이다.

반면 사용자들의 생각은 다르다. 일반적으로 사용자들은 공급사가 모든 클라우드 보안 사고를 해결해 줄 것이라고 기대하는 경향이 있다. CSP들이 “인프라는 맡기고, 개발에만 몰두하라”고 이야기하기에 이 같은 기대를 하는 것이다. 이와 함께 과거 온프레미스 보안 정책에 익숙한 사용자들이 많기 때문이기도 하다. 온프레미스 환경에서는 보안 사고가 발생하면, 사고의 책임을 온프레미스 소유자에게 물을 수 있다. 하지만 클라우드 서비스는 공동 책임 모델에 따라 공급자와 고객사가 책임을 각각 진다. 여기서부터 입장 차이가 생기는 것이다.

실제로 국내의 한 클라우드 관리 서비스 공급사(MSP) 관계자는 미승인 사용료를 둘러싼 CSP와 사용자 간 갈등을 중재하는 데 애를 먹고 있다고 설명했다. 이 관계자에 따르면, 2021년부터 현재까지 전체 고객사 중 약 5%가 CSP 측에 미승인 사용료를 구제해 달라는 요청을 하고 있다고 한다. 그러나 이에 대해 CSP 측은 대부분 구제 책임이 없다는 기조로 대응하고 있다는 것이다. 클라우드 도입 시 양자 간의 책임 영역을 사전에 정확히 협의해야 하는 이유가 여기에 있다.

공급사는 ‘안전망 강화’, 사용자는 ‘기본에 충실’

클라우드를 안전하게 이용할 수 있는 환경을 조성하는 것은 공급자와 사용자 모두에게 이득이다. 공급자는 클라우드 보안에 대한 시장의 우려를 해소해 더 많은 수요를 창출할 수 있다. 사용자들 역시 클라우드의 이점을 충분히 활용할 때 사업의 성과를 극대화할 수 있다. 이처럼 클라우드의 혜택을 풍요롭게 누리기 위해서는 공급자와 사용자가 공동의 노력을 기울여야 한다는 게 많은 전문가들의 의견이다.

먼저 공급자는 보안에 대한 이해도가 낮은 고객을 고려한 눈높이 정책을 수립할 필요가 있다. 클라우드 저변이 확대됨에 따라, 보안 역량이 제각각인 고객들도 유입되고 있다. 다양한 고객층을 수용할 수 있도록 클라우드 안전망을 강화하는 안을 고민해야 한다. 이를 위해서는 첫째, 클라우드 계정 로그인 시 다요소 인증(MFA)을 강제하는 방안을 고려해야 한다. 다요소 인증이란 아이디와 비밀번호 입력 외에도 생체 인식, 휴대폰 인증 등 추가로 신원 인증을 할 수 있는 이중, 삼중의 안전장치를 의미한다. 현재 상당수의 CSP들은 다요소 인증 이용 여부를 사용자의 재량에만 맡기고 있다. 하지만 다요소 인증을 필수 조건으로 설정하면 해커들의 계정 탈취를 예방할 수 있다.

둘째, 평소 대비 클라우드 사용량이 급격히 상승했을 경우 클라우드를 자동 차단하는 대책도 참고해야 한다. 오늘날의 사이버 범죄는 속도전이다. 현재처럼 비정상 이용을 탐지하고 사용자에게 경고만 하는 정책으로는 거액의 해킹 피해를 막기 어렵다는 게 전문가들의 지적이다. 따라서 고객사와 협의 후 특정 수준 이상으로 사용량이 초과될 시 서비스를 중단시키는 장치를 궁리해 볼 필요가 있다.

셋째, 사용자와 CSP는 서로의 책임 사항을 명확히 정리해야 한다. 고객이 책임져야 하는 영역이 무엇이고, 발생 가능한 보안 사고는 무엇인지 사전에 충분히 논의할 필요가 있다.

한편으로 사용자들은 ‘기본’에 충실하면 된다. 대부분의 사람들은 천재적인 해커가 고도의 해킹 수법을 써서 계정을 탈취한다고 여긴다. 하지만 클라우드 보안 사고의 상당수는 운영자의 실수에서 기인한다. 시장 조사 기업인 가트너는 2022년까지 발생할 클라우드 보안 사고의 최소 95%가 운영자의 잘못에 의한 것이라고 전망했을 정도다. 이는 즉 기본만 잘 지켜도 클라우드 사고를 막을 수 있다는 뜻이다. 가장 중요한 예방책은 다요소 인증이다. 다요소 인증을 사용하면 해커가 클라우드 계정 정보를 알고 있어도 후속 인증 단계에서 해커의 침투를 차단할 수 있다.

엑세스 키(Access Key) 관리도 기본 중에 기본이다. 깃허브와 같은 공개된 플랫폼에 액세스 키를 게재하는 것은 절대 금물이다. 최근 해커들은 깃허브에서 계정 정보를 얻어 클라우드 해킹을 감행한다. 마지막으로 자체적인 보안 관리에 자신이 없다면, 클라우드 관리 서비스 공급사(MSP)에 클라우드 보안을 위탁하는 것도 대안이 될 수 있다. MSP는 고객사의 클라우드 운영과 보안 전반을 지원해줄 수 있다.

보안 현주소 직시 필요

“클라우드는 우리가 책임질게요, 당신은 비즈니스에만 집중하세요”

많은 CSP들이 ‘쉽고 편리한 클라우드’를 앞세워 고객을 유치하고 있다. 하지만 한편으로 CSP들은 ‘클라우드를 모두 책임진다’는 문구를 문자 그대로 해석하는 사용자들까지 헤아려야만 한다. 클라우드 시장 규모가 나날이 확대되고 있지만, 보안 의식은 아직 성숙하지 않았음을 직시할 때다. 트럼프 전 미국 대통령의 트위터 계정, 샤넬코리아의 클라우드 계정도 누구나 쉽게 추측할 수 있는 비밀번호를 설정한 탓에 해킹을 당했다. 국내·외의 이름난 정치 조직이나 대기업마저도 보안의 기본을 놓친다. 클라우드가 사회 전반에 안전하게 안착할 수 있도록, 공급사가 사용자와 보폭을 맞추려는 노력이 필요한 시점이다.